Cisco Unified Communications Manager セキュリティ ガイド、リリース 10.0(1)
デフォルトのセキュリティ設定
デフォルトのセキュリティ設定

目次

デフォルトのセキュリティ設定

この項では、デフォルトのセキュリティ設定について説明します。

デフォルトのセキュリティ機能

デフォルトのセキュリティは、次の自動セキュリティ機能を Cisco Unified IP Phone に提供します。

  • 電話機設定ファイルの署名。

  • 電話機設定ファイルの暗号化のサポート。

  • Tomcat および他の Web サービス(MIDlet)での https。

Cisco Unified Communications Manager Release 8.0 以降では、CTL クライアントを実行せずに、これらのセキュリティ機能をデフォルトで使用できます。

信頼検証サービス

信頼検証サービス(TVS)は、デフォルトのセキュリティの主要コンポーネントです。 TVS を使用すると、HTTPS を確立しているときに、Cisco Unified IP Phone で EM サービス、ディレクトリ、および MIDlet などのアプリケーション サーバを認証できます。

TVS で提供される機能は次のとおりです。

  • スケーラビリティ:Cisco Unified IP Phone のリソースは、信頼する証明書の数に影響されません。

  • 柔軟性:信頼証明書の追加または削除が、システム内で自動的に反映されます。

  • デフォルトのセキュリティ:メディアおよびシグナリングのセキュリティ以外の機能はデフォルトのインストールに含まれており、ユーザ操作は必要ありません。


(注)  


セキュアなシグナリングおよびメディアを有効にするには、CTL とクラスタを混合モードに設定する必要があります。 CTL は、CTL クライアントまたは CLI コマンドの utils ctl update CTLFile を使用して作成できます。


TVS の説明

信頼検証サービスの基本概念は次のとおりです。

  • TVS は、Cisco Unified Communications Manager サーバで稼働して、Cisco Unified IP Phone の代わりに証明書を認証します。

  • 信頼できる証明書をすべてダウンロードするのではなく、Cisco Unified IP Phone では TVS を信頼するだけで済みます。

  • TVS 証明書およびいくつかのキー証明書が、初期信頼リスト(ITL)ファイルという新しいファイルにまとめられます。

  • ITL ファイルは、ユーザ操作なしで自動的に生成されます。

  • ITL ファイルは、Cisco Unified IP Phone によってダウンロードされ、ここから信頼情報が取得されます。

初期信頼リスト

Cisco Unified IP Phone には、次のタスクを実行するために初期信頼リスト(ITL)が必要です。

  • 設定ファイルの署名の認証

  • CAPF との安全な通話(設定ファイルの暗号化をサポートするための前提条件)

  • TVS に対する信頼(特に https 証明書の認証)

Cisco Unified IP Phone に既存の CTL ファイルがない場合、最初の ITL ファイルが(CTL ファイルの場合と同様に)自動的に信頼されます。 後続の ITL ファイルが TFTP サーバの CallManager 証明書に関連付けられている同じ秘密キーで署名されているか、または TVS で署名者に応じた証明書を返すことができる必要があります。

Cisco Unified IP Phone に既存の CTL ファイルがある場合は、その CTL ファイルを使用して ITL ファイルの署名を認証します。

ITL ファイル

ITL ファイルには、初期信頼リストが格納されます。 ITL ファイルは CTL ファイルと同じ形式で、基本的には CTL ファイルの小型版または縮小版です。 ITL ファイルに適用される属性は、次のとおりです。

  • CTL ファイルとは異なり、ITL ファイルはクラスタのインストール時にシステムによって自動的に作成され、内容の変更が必要になった場合には、自動的に更新されます。

  • ITL ファイルに eToken は不要です。 このファイルはソフト eToken(TFTP サーバの CallManager 証明書に関連付けられている秘密キー)を使用します。

  • ITL ファイルは、ブート時またはリセット時に CTL ファイル(ある場合)がダウンロードされた後すぐに、Cisco Unified IP Phone によってダウンロードされます。

ITL ファイルの内容

ITL ファイルには、次の証明書が含まれます。

  • TFTP サーバの CallManager 証明書。 この証明書を使用すると、ITL ファイルの署名および電話機設定ファイルの署名を認証できます。

  • クラスタ内のすべての TVS 証明書。 この証明書を使用すると、電話機は TVS と安全に通信して証明書認証を要求できます。

  • CAPF 証明書。 この証明書を使用すると、設定ファイルの暗号化をサポートできます。 ITL ファイルに必須というわけではありませんが(TVS で認証できる)、CAPF 証明書によって CAPF への接続が簡易化されます。

CTL ファイルと同様に、ITL ファイルには証明書ごとに 1 つのレコードが格納されます。 各レコードの内容は次のとおりです。

  • 証明書

  • Cisco Unified IP Phone による簡易検索のために事前抽出された証明書フィールド

  • 証明書権限(TFTP、CUCM、TFTP+CCM、CAPF、TVS、SAST)

TFTP サーバの CallManager 証明書は、次の 2 つの異なる権限を持つ 2 つの ITL レコードに含まれています。

  • TFTP または TFTP+CCM 権限:設定ファイルの署名を認証します。

  • SAST 権限:ITL ファイルの署名を認証します。

ITL ファイルと CTL ファイルのインタラクション

Cisco Unified IP Phone では、クラスタのセキュリティ モード(非セキュアまたは混合モード)を確認するのに依然として CTL ファイルを使用します。 CTL ファイルは、Cisco Unified Communications Manager 証明書を Cisco Unified Communications Manager レコードに格納することによって、クラスタ セキュリティ モードを追跡します。

ITL ファイルにも、クラスタ セキュリティ モードを示す情報が格納されます。

IP Phone の ITL ファイルの更新

ITL ファイルが電話機にインストールされている、[デフォルトのセキュリティ(Security By Default)] を使用する Cisco Unified CM Release 8.0 以降での集中 TFTP では、TFTP 設定ファイルを検証しません。 次の手順は、リモート クラスタの電話機を集中 TFTP 構成に追加する前に完了する必要があります。

手順
    ステップ 1   集中 TFTP サーバで、エンタープライズ パラメータ Prepare cluster for pre CM-8.0 rollback を有効にします。
    ステップ 2   TVS および TFTP を再起動します。
    ステップ 3   すべての電話機をリセットし、ITL 署名検証を使用不可にする新規 ITL ファイルをダウンロードすることを検証します。
    ステップ 4   https の代わりに http を使用するように、エンタープライズ パラメータ Secure https URLs を設定します。

    自動登録

    クラスタが非セキュア モードの場合、システムによって自動登録がサポートされます。 また、デフォルトの設定ファイルに対する署名も行われます。 デフォルトのセキュリティをサポートしていない Cisco Unified IP Phone には、署名されていないデフォルトの設定ファイルが提供されます。


    (注)  


    混合モードでは、自動登録はサポートされません。


    Cisco Unified IP Phone サポート一覧の入手

    Cisco Unified Reporting を使用することによってデフォルトでセキュリティをサポートする Cisco Unified IP Phone の一覧を取得できます。 Cisco Unified Reporting を使用するには、次の手順を実行します。

    手順
      ステップ 1   Cisco Unified Reporting のメイン ウィンドウで、[System Reports] をクリックします。
      ステップ 2   [System Reports] リストから、[Unified CM Phone Feature List] をクリックします。
      ステップ 3   [Feature] プルダウン メニューから、適切な機能を選択します。
      ステップ 4   [Submit] をクリックします。

      次の作業

      Cisco Unified Reporting の使用方法の詳細については、『Cisco Unified Reporting Administration Guide』を参照してください。

      証明書の再生成

      Cisco Unified Communications Manager の証明書の 1 つを再生成する場合には、この項の手順を実行する必要があります。


      注意    


      証明書を再生成すると、システムの動作に影響する場合があります。 また、証明書がアップロードされている場合に証明書を再生成すると、サードパーティが署名した証明書を含む既存の証明書が上書されます。 詳細については、『Cisco Unified Communications Operating System Administration Guide』を参照してください。


      CAPF 証明書の再生成

      CAPF 証明書を再生成するには、次の手順を実行します。


      (注)  


      CAPF 証明書がパブリッシャ上にある場合は、ITL ファイルを更新するために自動的に再起動する電話機を監視できます。


      手順
        ステップ 1   CAPF 証明書を再生成します。

        Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。

        ステップ 2   CTL ファイルを使用している場合は、CTL クライアントを再実行する必要があります。

        Cisco Unified Communications Operating System Administration Guide』の第 4 章「Configuring the Cisco CTL Client」を参照してください。

        ステップ 3   CAPF サービスを再起動します。

        Cisco Unified Communications Manager セキュリティ ガイド』の「Certificate Authority Proxy Function サービスのアクティブ化」を参照してください。


        TVS 証明書の再生成

        TVS 証明書の再生成に手動による手順は必要ありません。


        (注)  


        TVS 証明書と TFTP 証明書の両方を再生成する場合は、TVS 証明書を再生成し、再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。


        TFTP 証明書の再生成

        TFTP 証明書を再生成するには、次の手順に従います。


        (注)  


        複数の証明書を再生成する場合は、TFTP 証明書を最後に再生成する必要があります。 再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。 この手順に従わないと、すべての Cisco Unified IP Phone から手動で ITL ファイルを削除することが必要になる場合があります。


        手順
          ステップ 1   TFTP 証明書を再生成します。

          Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。

          ステップ 2   TFTP サービスがアクティブ化されていた場合は、すべての電話機の自動による再起動が完了するまで待ちます。
          ステップ 3   クラスタが混合モードの場合は、CTL クライアントを実行します。

          第 4 章「Cisco CTL クライアントの設定」を参照してください。

          ステップ 4   クラスタが EMCC 構成の一部の場合は、一括証明書プロビジョニングの手順を繰り返します。

          Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。


          Tomcat 証明書の再生成

          CAPF 証明書を再生成するには、次の手順を実行します。

          手順
            ステップ 1   Tomcat 証明書を再作成します。

            Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。

            ステップ 2   Tomcat サービスを再起動します。

            Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。

            ステップ 3   クラスタが EMCC 構成の一部の場合は、一括証明書プロビジョニングの手順を繰り返します。

            Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。


            TFTP 証明書の再生成後のシステム バックアップ手順

            ITL ファイルの信頼アンカーは、TFTP 秘密キーというソフトウェア エンティティです。 サーバがクラッシュするとキーが失われ、電話機は新しい ITL ファイルを検証できなくなります。

            Cisco Unified Communications Manager リリース 8.0 では、TFTP 証明書と秘密キーの両方がディザスタ リカバリ システムによってバックアップされます。 秘密キーを保護するために、バックアップ パッケージは暗号化されます。 サーバがクラッシュすると、以前の証明書およびキーが復元されます。

            TFTP 証明書が再生成された場合は、常に新しいシステム バックアップを作成する必要があります。 バックアップ手順については、『Disaster Recovery System Administration Guide』を参照してください。

            Cisco Unified Communications Manager リリース 7.x からリリース 8.6 以降へのリフレッシュ アップグレード

            クラスタをリリース 7.x からリリース 8.6 以降にアップグレードするには、次の手順に従います。

            手順

            手順
              ステップ 1   通常のクラスタ アップグレード手順に従います。 詳細については、『Cisco Unified Communications Operating System Administration Guide』の第 7 章「"Software Upgrades"」を参照してください。
              ヒント   

              クラスタ内のすべてのノードを Cisco Unified Communications Manager のリリース 8.6 以降にアップグレードした後、さらに、ここに示すすべての手順に従って Cisco Unified IP Phone をシステムに登録する必要があります。

              ステップ 2   次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。
              • Cisco Unified Communications Manager Release 7.1(2)
                • 7.1(2) のすべての正規リリース

                • 007.001(002.32016.001) よりも前の 712 のすべての ES リリース

              • Cisco Unified Communications Manager Release 7.1(3)
                • 007.001(003.21900.003) = 7.1(3a)su1a よりも前の 713 のすべての正規リリース

                • 007.001(003.21005.001) よりも前の 713 のすべての ES リリース

                  (注)     

                  CTL クライアントの実行方法の詳細については、第 4 章「Cisco CTL クライアントの設定」を参照してください。

              ステップ 3   Cisco Unified IP Phone が自動的に再起動され、Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。
              注意       

              クラスタを回復できるようにするには、Disaster Recovery System(DRS)を使用してクラスタをバックアップしておく必要があります。

              ステップ 4   クラスタをバックアップします。

              DRS を使用してクラスタをバックアップするには、『Disaster Recovery System Administration Guide』を参照してください。


              次の作業

              アップグレード後にパブリッシャがアップしたら、CAR 移行が完了するまでリブートしないでください。 このフェーズでは、旧バージョンへの切り替えおよび DRS バックアップの実行は許可されていません。 [Cisco Unifiedサービスアビリティ(Cisco Unified Serviceability)] > [ツール(Tools)] > [CDR Analysis and Reporting] に移動して CAR 移行ステータスをモニタできます。

              8.0 よりも前のリリースへのクラスタのロールバック

              クラスタを 8.0 よりも前の Cisco Unified Communications Manager のリリースにロールバックする前に、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを使用して、クラスタをロールバックするための準備を行う必要があります。

              クラスタをロールバックするための準備を行うには、クラスタ内の各サーバで次の手順に従います。

              手順
                ステップ 1   Cisco Unified Communications Manager の管理ページで、[システム(System)] > [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] の順に選択します。

                [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。

                Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを True に設定します。

                (注)     

                クラスタを 8.0 よりも前のリリースの Cisco Unified Communications Manager にロールバックする準備を行っている場合に限り、このパラメータを有効にします。 https を使用する電話機サービス(エクステンション モビリティなど)は、このパラメータが有効になっている間は動作しません。 ただし、このパラメータが有効になっていても、基本的な電話コールの発信および受信は引き続き実行できます。

                ステップ 2   Cisco Unified IP Phone が自動的に再起動され、Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。
                ステップ 3   クラスタ内の各サーバを以前のリリースに戻します。

                クラスタを以前のバージョンに戻す方法の詳細については、『Cisco Unified Communications Operating System Administration Guide』の第 7 章「Software Upgrades」を参照してください。

                ステップ 4   クラスタが以前のバージョンに切り替わるまで待ちます。
                ステップ 5   次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。
                • Cisco Unified Communications Manager Release 7.1(2)

                  • 7.1(2) のすべての正規リリース

                  • 007.001(002.32016.001) よりも前の 712 のすべての ES リリース

                • Cisco Unified Communications Manager Release 7.1(3)
                  • 007.001(003.21900.003) = 7.1(3a)su1a よりも前の 713 のすべての正規リリース

                  • 007.001(003.21005.001) よりも前の 713 のすべての ES リリース

                    (注)     

                    CTL クライアントの実行方法の詳細については、「CTL クライアントの設定」の章を参照してください。

                ステップ 6   [エンタープライズパラメータ(Enterprise Parameters)] で「Prepare Cluster for Rollback to pre 8.0」が [True] に設定されている場合は、社内ディレクトリが機能するようにするために次の変更を行う必要があります。

                [デバイス(Device)] > [デバイスの設定(Device Settings)] > [IP Phoneサービス(Phone Services)] > [社内ディレクトリ(Corporate Directory)] で、サービス URL を Application:Cisco/CorporateDirectory から http://<ipaddr>:8080/ccmcip/xmldirectoryinput.jsp に変更する必要があります。

                ステップ 7   [エンタープライズパラメータ(Enterprise Parameters)] で [クラスタを 8.0 よりも前にロールバックする準備を行う(Prepare Cluster for Rollback to pre 8.0)] が [True] に設定されている場合は、パーソナル ディレクトリが機能するようにするために次の変更を行う必要があります。

                [デバイス(Device)] > [デバイスの設定(Device Settings)] > [IP Phoneサービス(Phone Services)] > [パーソナルディレクトリ(Personal Directory)] で、サービス URL を Application:Cisco/PersonalDirectory から「http://<ipaddr>>:8080/ccmpd/pdCheckLogin.do?name=undefined」に変更する必要があります。


                戻した後のリリース 8.6 以降への再切り替え

                クラスタをリリース 7.x に戻した後でリリース 8.6 以降のパーティションに切り替える場合は、この手順に従います。

                手順
                  ステップ 1   クラスタを非アクティブのパーティションに切り替えるための手順に従います。 詳細については、『Cisco Unified Communications Operating System Administration Guide』を参照してください。
                  ステップ 2   次のいずれかのリリースを混合モードで使用していた場合、CTL クライアントを実行する必要があります。

                  Cisco Unified Communications Manager Release 7.1(2)

                  • 7.1(2) のすべての正規リリース

                  • 007.001(002.32016.001) よりも前の 712 のすべての ES リリース

                  • Cisco Unified Communications Manager Release 7.1(3)

                    • 007.001(003.21900.003) = 7.1(3a)su1a よりも前の 713 のすべての正規リリース

                    • 007.001(003.21005.001) よりも前の 713 のすべての ES リリース

                      (注)     

                      CTL クライアントの実行方法の詳細については、「CTL クライアントの設定」の章を参照してください。

                  ステップ 3   Cisco Unified Communications Manager の管理ページで、[システム(System)] > [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] の順に選択します。

                  [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。

                  Prepare Cluster for Rollback to pre-8.6 エンタープライズ パラメータを [False] に設定します。

                  ステップ 4   Cisco Unified IP Phone が自動的に再起動され、Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。

                  Cisco Unified Communications Manager および ITL ファイルによるクラスタ間での IP Phone の移行

                  Cisco Unified Communications Manager 8.0(1) 以降では、新しい機能であるデフォルトのセキュリティと、初期信頼リスト(ITL)ファイルの使用が導入されました。 この新機能を使用する場合は、異なる Unified CM クラスタ間での電話機の移行時に注意して、移行のための適切な手順に従っていることを確認してください。


                  注意    


                  正しい手順に従わないと、数千台の電話機の ITL ファイルを手動で削除しなければならない状況が発生することがあります。


                  新しい ITL ファイルをサポートする Cisco Unified IP Phone では、その Unified CM TFTP サーバからこの特殊なファイルをダウンロードする必要があります。 ITL ファイルを電話機にインストールしたらすぐに、以降のすべての設定ファイルおよび ITL ファイルのアップデートを、以下のいずれかによって署名する必要があります。

                  • 電話機に現在インストールされている TFTP サーバ証明書。

                  • クラスタのいずれかの TVS サービスで検証可能な TFTP 証明書。 ITL ファイルにリストされたクラスタ内の TVS サービスの証明書を表示できます。

                  この新しいセキュリティ機能を念頭に置きながら、1 つのクラスタから別のクラスタに電話機を移動する際に発生する可能性のある 3 つの問題について考慮します。

                  1. 新しいクラスタの ITL ファイルは現在の ITL ファイルの署名者によって署名されていないため、電話機は新しい ITL ファイルまたは設定ファイルを受け入れできません。

                  2. 電話機の既存の ITL にリストされている TVS サーバは、電話機が新しいクラスタに移動されると、到達不能になる場合があります。

                  3. TVS サーバが証明書の確認のために到達可能であるとしても、古いクラスタ サーバには新しいサーバの証明書がない場合があります。

                  これら 3 つの問題のうち 1 つ以上が発生する場合に考えられる解決策の 1 つは、クラスタ間で移動しているすべての電話機から ITL ファイルを手動で削除することです。 ただし、これは電話機の台数が増えるにつれて大変な労力を必要とするため、解決策としては望ましくありません。

                  最も推奨されるオプションは、Cisco Unified CM のエンタープライズ パラメータの Prepare Cluster for Rollback to pre-8.0 を使用することです。 このパラメータを True に設定すると、電話機は、空の TVS および TFTP の証明書セクションを含む特殊な ITL ファイルをダウンロードします。

                  電話機に空の ITL ファイルがある場合、電話機は、(Unified CM 8.x よりも前のクラスタへの移行の場合)署名されていない設定ファイルを受け入れ、(別の Unified CM 8.x クラスタへの移行の場合)新しい ITL ファイルも受け入れます。

                  空の ITL ファイルは、[設定(Settings)] > [セキュリティ(Security)] > [信頼リスト(Trust List)] > [ITL] の順に選択して ITL をオンにすることにより、電話機で確認できます。 古い TVS サーバおよび TFTP サーバが以前存在していた場所には空のエントリが表示されます。

                  電話機は、新しい空の ITL ファイルをダウンロードするまでの間に限り、古い Unified CM サーバにアクセスできる必要があります。

                  古いクラスタをオンラインにしておく場合は、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを無効にして、デフォルトのセキュリティを元に戻します。

                  証明書の一括エクスポート

                  新旧両方のクラスタが同時にオンラインである場合、証明書の一括移行の方法を使用できます。

                  Cisco Unified IP Phone は、ITL ファイルまたは ITL ファイル内に存在する TVS サーバと照合して、ダウンロードされるすべてのファイルを確認することに留意してください。 電話機を新しいクラスタに移動する必要がある場合、新しいクラスタが提示する ITL ファイルは、古いクラスタの TVS 証明書ストアによって信頼されている必要があります。


                  (注)  


                  証明書の一括エクスポートの方法は、電話機を移行している間、ネットワーク接続を保ちながら両方のクラスタがオンラインである場合にだけ有効です。


                  証明書の一括エクスポートの方法を使用するには、次の手順を実行します。

                  手順
                    ステップ 1   [Cisco Unifiedオペレーティングシステムの管理(Cisco Unified Operating System Administration)] で、[セキュリティ(Security)] > [証明書の一括管理(Bulk Certificate Management)] の順に選択します。
                    ステップ 2   証明書を新しい宛先クラスタ(TFTP のみ)から中央の SFTP サーバにエクスポートします。
                    ステップ 3   証明書の一括インターフェイスを使用して、SFTP サーバで証明書(TFTP のみ)を統合します。
                    ステップ 4   元のクラスタでは、証明書の一括機能を使用して、中央の SFTP サーバから TFTP 証明書をインポートします。
                    ステップ 5   DHCP オプション 150 またはその他の方法を使用して、電話機が新しい宛先クラスタを指すようにします。

                    電話機は、新しい宛先クラスタの ITL ファイルをダウンロードし、既存の ITL ファイルと照合して確認を行います。 証明書は既存の ITL ファイル内に存在しないため、電話機は、新しい ITL ファイルの署名を確認するように古い TVS サーバに要求します。 電話機は、この要求を行うために、TCP ポート 2445 の古い元のクラスタに TVS クエリーを送信します。

                    証明書のエクスポート、統合、およびインポートのプロセスが正常に処理されると、TVS は成功したことを返し、電話機はメモリ内の ITL ファイルを新しくダウンロードした ITL ファイルで置き換えます。

                    これで電話機は、新しいクラスタから署名済みの設定ファイルをダウンロードおよび確認できます。


                    ITL ファイルの一括リセットの実行

                    Unified Communications Manager クラスタのデバイスがロックされ、信頼済みステータスを失った場合は、CLI コマンドの utils itl reset でアイデンティティ信頼リスト(ITL)の一括リセットを実行します。 このコマンドは、新しい ITL リカバリ ファイルを生成します。


                    ヒント


                    Unified Communications Manager の新規インストールを実行する場合はいつでも、できるだけ早く ITL キーをエクスポートし、 Disaster Recovery System を通じてバックアップを実行します。

                    ITL リカバリ ペアをエクスポートする CLI コマンドは次のとおりです。

                    file get tftp ITLRecovery.p12

                    SFTP サーバ(キーがエクスポートされる場所)とパスワードを入力するプロンプトが表示されます。


                    はじめる前に

                    この手順は Cisco Unified Communications Manager パブリッシャで実行してください。

                    必要に応じて、パブリッシャからキーをエクスポートします。

                    手順
                      ステップ 1   次のいずれかの手順を実行します。
                      • utils itl reset localkey を実行します。
                      • utils itl reset remotekey を実行します。

                      utils itl reset localkey については、ローカル キーがパブリッシャにあります。 この手順により、システム上の既存のファイルが取得され、そのファイルの署名がリカバリ キー署名に置き換えられて、新しい ITL ファイルが生成されます。 その後、キーがクラスタの TFTP サーバにコピーされます。

                      ステップ 2   show itl を実行してリセットが正常に行われたことを確認します。
                      ステップ 3   Cisco Unified Communications Manager の管理ページから、[システム(System)] > [エンタープライズパラメータ(Enterprise Parameters)] を選択します。

                      ステップ 4   [リセット(Reset)] を選択します。

                      デバイスが再起動されます。 ITLRecovery キーによって署名されている ITL ファイルをダウンロードして設定ファイルを受け入れる準備が完了します。

                      ステップ 5   TFTP サービスを再起動し、すべてのデバイスを再起動します。

                      デバイスにより、TFTP キーを使用して署名されている ITL ファイルがダウンロードされ、もう一度 Unified Communications Manager に正しく登録されます。