Cisco UC Integration for Microsoft Lync 10.6 管理ガイド
証明書検証の設定
証明書検証の設定

証明書検証の設定

Cisco UC Integration for Microsoft Lync では、証明書の検証を使用して、サーバとのセキュア接続を確立します。

セキュア接続の確立を試行するとき、サーバは Cisco UC Integration for Microsoft Lync に証明書を提供します。 Cisco UC Integration for Microsoft Lync は、それらの証明書を Microsoft Windows の証明書ストアにある証明書と照合して検証します。 クライアントが証明書を検証できない場合、ユーザは、証明書を受け入れるかどうかの確認を求められます。

必要な証明書

セキュアな接続を確立するために、次の証明書が提供されます。

[サーバ(Server)] 証明書
Cisco Unified Communications Manager HTTP(Tomcat)
Cisco Unity Connection HTTP(Tomcat)

特記事項

  • クラスタ内の各ノード(サブスクライバとパブリッシャの両方を含む)は、Tomcat サービスを実行し、クライアントに HTTP 証明書を提供できます。 クラスタ内の各ノードの証明書に署名する必要があります。
  • クライアントと Cisco Unified Communications Manager との間で SIP シグナリングのセキュリティを確保するには、Certification Authority Proxy Function(CAPF)登録を使用します。

認証局により署名された証明書の取得

シスコは、次の認証局(CA)のいずれかにより署名されたサーバ証明書を使用することを推奨します。

  • パブリック CA

    サードパーティ企業が、サーバの識別情報を確認し、信頼できる証明書を発行します。

  • プライベート CA

    自身でローカルの CA を作成および管理し、信頼できる証明書を発行します。

署名プロセスは、各サーバごとに異なり、サーバのバージョン間でも異なります。 各サーバのすべてのバージョンに関する詳細な手順については、このマニュアルの範囲外になります。 CA により署名された証明書を取得する方法の詳細な指示については、該当するサーバのマニュアルを参照してください。 以下のステップでは、手順の概要を示します。

手順
    ステップ 1   クライアントに証明書を提示できる各サーバで証明書署名要求(CSR)を作成します。
    ステップ 2   CA に各 CSR を送信します。
    ステップ 3   CA が各サーバに発行する証明書をアップロードします。

    証明書署名要求の形式と要件

    パブリック CA は、通常 CSR に特定の形式に確認するよう要求します。 たとえば、パブリック CA は、次のような CSR を受け入れる場合があります。

    • Base 64 エンコードである。
    • @&! などの文字を [組織(Organization)] や [OU] などのフィールドに含めない。
    • サーバの公開キーで特定のビット長を使用する。

    同様に、複数ノードから CSR を送信すると、パブリック CA は、すべての CSR で情報の整合性がとれていることを必要とする場合があります。

    CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。

    FQDN あたり証明書 1 つ:いくつかのパブリック CA は、完全修飾ドメイン名(FQDN)あたり 1 つの証明書にのみ署名します。

    証明書のサーバ識別情報

    CA は、署名プロセスの一部として証明書にサーバ ID を指定します。 クライアントがその証明書を検証する場合、次のことを確認します。

    • 信頼できる機関が証明書を発行している。
    • 証明書を提示するサーバの識別情報は、証明書に明記されたサーバの識別情報と一致します。

    (注)  


    パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。

    ID フィールド

    クライアントは、識別情報の一致に関して、サーバ証明書の次の識別子フィールドを確認します。

    • HTTP 証明書
      • SubjectAltName\dnsNames
      • Subject CN

    ヒント


    [件名 CN(Subject CN)] フィールドには、左端の文字としてワイルドカード(*)を含めることができます。たとえば、*.cisco.com のようになります。

    ID の不一致の防止

    ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。

    サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。

    クライアント コンピュータのルート証明書のインポート

    サーバ証明書はクライアント コンピュータの信頼ストアに存在する関連のルート証明書が必要です。 Cisco UC Integration for Microsoft Lyncは、サーバが信頼ストアのルート証明書に対して提示する証明書を検証します。

    パブリック CA によって署名されたサーバ証明書を取得する場合、パブリック CA はすでにクライアント コンピュータの信頼ストアで提示されるルート証明書を持っている必要があります。 この場合、クライアント コンピュータのルート証明書をインポートする必要はありません。

    次の場合、Microsoft Windows 証明書ストアにルート証明書をインポートする必要があります。

    • 証明書がプライベート CA などの信頼ストアではない CA によって署名されます。
      • [信頼されたルート証明機関(Trusted Root Certification Authorities)] ストアにプライベート CA 証明書をインポートします。
    • 証明書には自己署名します。
      • [エンタープライズ信頼(Enterprise Trust)] ストアに自己署名した証明書をインポートします。
    重要: ルート証明書が信頼ストアにない場合、Cisco UC Integration for Microsoft Lyncは環境内の各サーバからの証明書を受け入れるようユーザに指示します。

    クライアントがユーザ証明書を受け入れるよう指示すると、ユーザは次のことを実行することができます。

    • 証明書の受け入れ
      • クライアントは、[エンタープライズ信頼(Enterprise Trust)] ストアに証明書を保存します。
    • 証明書の拒否
      • クライアントは、次のように動作します。
        • 証明書を保存しない。
        • サーバに接続しない。
        • エラー通知を表示する。

    ユーザがクライアントを再起動した場合、再度証明書を受け入れるように指示します。

    次のことを含め、Microsoft Windows 証明書ストアに証明書をインポートする適切な方式を使用できます。 証明書のインポートの詳細については、Microsoft 社の適切なマニュアルを参照してください。

    • 個別に証明書をインポートするために、[証明書のインポート ウィザード(Certificate Import Wizard)] を使用します。
    • Microsoft Windows Server で CertMgr.exe コマンドライン ツールを使用してユーザに証明書を展開します。

      (注)  


      このオプションでは、Microsoft 管理コンソールの CertMgr.msc ではなく、Certificate Manager ツールの CertMgr.exe を使用する必要があります。
    • Microsoft Windows Server でグループ ポリシー オブジェクト(GPO)を使用してユーザに証明書を展開します。