Cisco Finesse 管理ガイド Release 10.0(1)
Live Data の証明書
Live Data の証明書

Live Data の証明書

Finesse および Cisco Unified Intelligence Center に HTTPS を使用する場合、Finesse および Cisco Unified Intelligence Center で提供される自己署名証明書を使用するか、サードパーティ ベンダーから取得するか組織内で生成した CA 証明書をインストールする必要があります。 この付録では、自己署名証明書を使用するか、CA 証明書を生成してアップロードする手順について説明します。

Live Data への自己署名証明書の追加

Finesse と Cisco Unified Intelligence Center の両方が自己署名証明書とともにインストールされます。 次の手順では、これらの自己署名証明書を使用します。 ただし、自己署名証明書を使用する場合、[Live Data] ガジェットを使用できるようにするには、エージェントがサインイン時に Finesse デスクトップで証明書を受け入れる必要があります。 この要件を回避するには、代わりに CA 証明書を指定します。 サードパーティ証明書のベンダーから CA 証明書を取得するか、組織内で生成することができます。

手順
    ステップ 1   Cisco Unified Intelligence Center で Cisco Unified Operating System にサインインします(http://Cisco Unified Intelligence Center サーバのホスト名/cmplatform)。
    ステップ 2   [Security] メニューで [Certificate Management] を選択します。
    ステップ 3   [Find] をクリックします。
    ステップ 4   [tomcat.pem] をクリックします。 tomcat.pem がリストにない場合は、[Generate New] をクリックし、[Certificate Name] ドロップダウン リストから [tomcat] を選択します。
    ステップ 5   [Download] をクリックして、ファイルをデスクトップに保存します。 ホスト名「Cisco Unified Intelligence Center publisher」と「Cisco Unified Intelligence Center subscriber」が含まれる証明書をダウンロードする必要があります。
    ステップ 6   プライマリ Finesse サーバで Cisco Unified Operating System にサインインします(http://Finesse サーバのホスト名/cmplatform)。
    ステップ 7   [Security] メニューで [Certificate Management] を選択します。
    ステップ 8   [Upload Certificate] をクリックします。
    ステップ 9   [Certificate Name] ドロップダウン リストで、[tomcat-trust] を選択します。
    ステップ 10   [Browse] をクリックして、tomcat.pem ファイル(Cisco Unified Intelligence Center のパブリッシャとサブスクライバの証明書)のロケーションを参照してください。
    ステップ 11   [Upload File] をクリックします。
    ステップ 12   Cisco Tomcat を再起動します。

    Live Data 用の CA 証明書の取得およびアップロード

    Cisco Unified Intelligence Center パブリッシャ サーバおよび Finesse プライマリ サーバの両方で次の手順を実行する必要があります。 Cisco Unified Communications Operating System Administration から証明書管理ユーティリティを使用します。

    [Cisco Unified Communications Operating System Administration] を開くには、ブラウザで次の URL を入力します。

    https://Finesse サーバまたは Cisco Unified Intelligence Center サーバのホスト名/cmplatform

    手順
      ステップ 1   CSR を作成します。
      1. [Security][Certificate Management] > [Generate CSR] を選択します。
      2. [Certificate Name] ドロップダウン リストで、[tomcat] を選択します。
      3. [Generate CSR] をクリックします。
      ステップ 2   CSR をダウンロードします。
      1. [Security] > [Certificate Management] > [Download CSR] を選択します。
      2. [Certificate Name] ドロップダウン リストで、[tomcat] を選択します。
      3. [Download CSR] をクリックします。
      ステップ 3   CSR を使用して、認証局から署名付きのアプリケーション証明書と CA ルート証明書を取得します。
      ステップ 4   証明書を受け取ったら、[Security] > [Certificate Management] > [Upload Certificate] を選択します。
      ステップ 5   ルート証明書をアップロードします。
      1. [Certificate Name] ドロップダウン リストで、[tomcat-trust] を選択します。
      2. [Upload File] フィールドで [Browse] をクリックし、ルート証明書ファイルを参照します。
      3. [Upload File] をクリックします。
      ステップ 6   アプリケーション証明書をアップロードします。
      1. [Certificate Name] ドロップダウン リストで、[tomcat] を選択します。
      2. [Root Certificate] フィールドで、CA ルート証明書の名前を入力します。
      3. [Upload File] フィールドで [Browse] をクリックし、アプリケーション証明書ファイルを参照します。
      4. [Upload File] をクリックします。
      ステップ 7   アップロードが完了した後で、プライマリ Finesse サーバで CLI にアクセスします。
      ステップ 8   utils service restart Cisco Finesse Notification Service コマンドを入力して、Cisco Finesse Notification サービスを再起動します。
      ステップ 9   utils service restart Cisco Tomcat コマンドを入力して、Cisco Tomcat サービスを再起動します。
      ステップ 10   Cisco Unified Intelligence Center パブリッシャ サーバにルート証明書およびアプリケーション証明書をアップロードします。
      ステップ 11   アップロードが完了した後で、Cisco Unified Intelligence Center サーバで CLI にアクセスします。
      ステップ 12   utils service restart Intelligence Center Openfire Service コマンドを入力して、Intelligence Center Openfire サービスを再起動します。
      ステップ 13   utils service restart Intelligence Center Reporting Service コマンドを入力して、Intelligence Center Reporting サービスを再起動します。

      内部での証明書の作成

      Microsoft Certificate Server の設定

      この手順は、展開に Windows Server 2008 の Active Directory サーバが含まれていることを前提としています。 Windows 2008 ドメイン コントローラの Active Directory 証明書サービス ロールを追加するには、次の手順を実行します。

      手順
        ステップ 1   [Start] をクリックし、[Computer] を右クリックし、[Manage] を選択します。
        ステップ 2   左側のペインで [Roles] をクリックします。
        ステップ 3   右側のペインで [Add Roles] をクリックします。

        [Add Roles Wizard] が開きます。

        ステップ 4   [Select Server Roles] 画面で、[Active Directory Certificate Services] チェックボックスをオンにし、[Next] をクリックします。
        ステップ 5   [Introduction to Active Directory Certificate Services] 画面で、[Next] をクリックします。
        ステップ 6   [Select Role Services] 画面で、[Certification Authority] チェックボックスをオンにし、[Next] をクリックします。
        ステップ 7   [Specify Setup Type] 画面で、[Enterprise] を選択し、[Next] をクリックします。
        ステップ 8   [Specify CA Type] 画面で、[Root CA] を選択し、[Next] をクリックします。
        ステップ 9   [Set Up Private Key] でCA の暗号化を設定し、[Configure Cryptography for CA]、[Configure CA Name]、[Set Validity Period]、および [Configure Certificate Database] の各画面で [Next] をクリックし、デフォルト値を受け入れます。
        ステップ 10   [Confirm Installations Selections] 画面で、情報を確認し、[Install] をクリックします。

        CA 証明書のダウンロード

        この手順は、Windows 証明書サービスを使用していることを前提としています。 認証局からルート CA 証明書を取得するには、次の手順を実行します。 ルート証明書を取得した後、各ユーザが Finesse へのアクセスに使用するブラウザにその証明書をインストールする必要があります。

        手順
          ステップ 1   Windows 2008 ドメイン コントローラで、CLI コマンド certutil -ca.cert ca_name.cer を実行します。
          ステップ 2   ファイルを保存します。 後で参照できるように、ファイルを保存した場所を書き留めておきます。

          Internet Explorer のルート証明書の組み込み

          グループ ポリシーが Active Directory ドメインによって適用される環境では、ルート証明書を各ユーザの Internet Explorer に自動的に追加できます。 証明書を追加すると、構成に関するユーザ要求が自動的に簡素化されます。


          (注)  


          証明書の警告を回避するには、各ユーザがデスクトップにアクセスするために Finesse サーバの完全修飾ドメイン名(FQDN)を使用する必要があります。


          手順
            ステップ 1   Windows 2008 ドメイン コントローラで、[Start] > [Administrative Tools] > [Group Policy Management] をクリックします。
            ステップ 2   [Default Domain Policy] を右クリックし、[Edit] を選択します。
            ステップ 3   Group Policy Management Console で、[Computer Configuration] > [Policies] > [Window Settings][Security Settings][Public Key Policies] に移動します。
            ステップ 4   [Trusted Root Certification Authorities] を右クリックし、[Import] を選択します。
            ステップ 5   ca_name.cer ファイルをインポートします。
            ステップ 6   [Computer Configuration][Policies] > [Windows Settings] > [Security Settings] > [Public Key Policies] > [Certificate Services Client - Auto-Enrollment] に移動します。
            ステップ 7   [Configuration Model] リストから、[Enabled] を選択します。
            ステップ 8   ドメインとオープン インターネット エクスプローラの一部であるコンピュータでユーザとしてサインインします。
            ステップ 9   ユーザが証明書を持っていない場合は、ユーザのコンピュータ上で gpupdate.exe/tartget:computer /force コマンドを実行します。

            Internet Explorer ブラウザの証明書の設定

            CA 証明書を取得してアップロードした後、すべてのユーザが証明書を受け入れるか、証明書がグループ ポリシーによって自動的にインストールされる必要があります。

            ユーザがドメインに直接ログインしていない環境や、グループ ポリシーが使用されていない環境では、システム内のすべての Internet Explorer ユーザが、証明書を受け入れるように次の手順を一度実行する必要があります。

            手順
              ステップ 1   Windows Explorer で、ca_name.cer ファイルをダブルクリックし、[Open] をクリックします。
              ステップ 2   [Install] [Install Certificate] > [Next] > [Place all certificates in the following store] をクリックします。
              ステップ 3   [Browse] をクリックし、[Trusted Root Certification Authorities] を選択します。
              ステップ 4   [OK] をクリックします。
              ステップ 5   [Next] をクリックします。
              ステップ 6   [Finish] をクリックします。

              認証局(CA)から証明書をインストールしようとしていることを示すメッセージが表示されます。

              ステップ 7   [Yes] をクリックします。

              インポートが成功したことを示すメッセージが表示されます。

              ステップ 8   証明書がインストールされたことを確認するには、Internet Explorer を開きます。 ブラウザのメニューから、[Tools][Internet Options] を選択します。
              ステップ 9   [Content] タブをクリックします。
              ステップ 10   [Certificates] をクリックします。
              ステップ 11   [Trusted Root Certification Authorities] タブをクリックします。
              ステップ 12   新しい証明書がリストに表示されることを確認します。

              Firefox ブラウザの証明書の設定

              システム上のすべての Firefox ユーザが次の手順を一度実行して、証明書を受け入れる必要があります。


              (注)  


              証明書の警告を回避するには、各ユーザがデスクトップにアクセスするために Finesse サーバの完全修飾ドメイン名(FQDN)を使用する必要があります。


              手順
                ステップ 1   Firefox ブラウザのメニューから、[Options] を選択します。
                ステップ 2   [Advanced] をクリックします。
                ステップ 3   [Certificates] タブをクリックします。
                ステップ 4   [View Certificate] をクリックします。
                ステップ 5   [Import] をクリックし、ca_name.cer ファイルを参照します。