Cisco Finesse 管理ガイド Release 10.0(1)
セキュリティの管理
セキュリティの管理

セキュリティの管理

HTTP と HTTPS のサポート

Cisco Finesse の管理コンソールとエージェント デスクトップは HTTP とセキュア HTTP(HTTPS)の両方をサポートします。 HTTPS を使用して管理コンソールにアクセスするには、ブラウザで次の URL を入力してください(ここで、hostname はプライマリ Finesse サーバのホスト名):

https://hostname:8445/cfadmin

HTTP を使用して管理コンソールにアクセスするには、ブラウザのアドレスバーで次の URL を入力してください(ここで、hostname はプライマリ Finesse サーバのホスト名):

http://hostname/cfadmin

同様に、エージェントとスーパーバイザは、次のように HTTP または HTTPS を使用して自分のデスクトップにアクセスできます。

  • http://Finesse サーバのホスト名(HTTP を介してデスクトップにアクセスする場合)
  • https://Finesse サーバのホスト名(HTTPS を介してデスクトップにアクセスする場合)

HTTPS アクセスのために、Finesse で提供される自己署名証明書を信頼するように選択するか、CA 証明書をアップロードして、ブラウザのセキュリティ警告を排除できます。

デフォルトでは、HTTPS アクセスが有効になっています。 Cisco Finesse HTTPS Redirect CLI コマンドを実行して HTTPS を無効にし、Finesse Administration Console とエージェント デスクトップの両方に HTTP アクセスを許可することができます。

Finesse への HTTPS 要求を実行するカスタム ガジェットを追加する場合、そのガジェットの Finesse サーバに対する証明書を追加する必要があります。

Cisco Finesse HTTPS リダイレクト

Cisco Finesse HTTPS リダイレクトを有効にすると、Finesse デスクトップおよび管理コンソールにアクセスするために HTTPS が適用されます。 Cisco Finesse HTTPS リダイレクトが有効な場合、HTTP を介してデスクトップにアクセスしようとするエージェントやスーパーバイザが HTTPS にリダイレクトされます。 HTTP を介して管理コンソールにアクセスしようとする管理者も、HTTPS にリダイレクトされます。

Cisco Finesse HTTPS リダイレクトが無効の場合、デスクトップおよび管理コンソールには HTTP または HTTPS を介してアクセスできます。


(注)  


このコマンドは、Finesse REST API には影響しません。


Cisco Finesse HTTPS リダイレクトのステータスが有効か無効かを表示するには、以下のコマンドを実行します。

  • Cisco Finesse HTTPS リダイレクトのステータスを取得するには:utils finesse application_https_redirect status このコマンドは、Cisco Finesse HTTPS リダイレクトが現在、システム上で有効か無効かを表示します。
  • Cisco Finesse HTTPS リダイレクトを有効にするには:utils finesse application_https_redirect enable Cisco Finesse HTTPS リダイレクトを有効にする前に、Cisco Tomcat サービスを停止する必要があります。 このサービスを停止するには、次のコマンドを使用します。utils service stop Cisco Tomcat。 Cisco Tomcat サービスが停止していない場合、Cisco Finesse HTTPS リダイレクトを有効にするコマンドは失敗します。 また、このコマンドは、Cisco Finesse HTTPS リダイレクトがすでに有効の場合にも失敗します。 Cisco Finesse HTTPS リダイレクトを有効にした後、コマンド utils service start Cisco Tomcat を使用して Cisco Tomcat サービスを開始します。
  • Cisco Finesse HTTPS リダイレクトを無効にするには:utils finesse application_https_redirect disable Cisco Finesse HTTPS リダイレクトを無効にする前に、Cisco Tomcat サービスを停止する必要があります。 このサービスを停止するには、次のコマンドを使用します:utils service stop Cisco Tomcat Cisco Tomcat サービスが停止していない場合、Cisco Finesse HTTPS リダイレクトを無効にするコマンドは失敗します。 また、このコマンドは、Cisco Finesse HTTPS リダイレクトがすでに無効の場合にも失敗します。 Cisco Finesse HTTPS リダイレクトを無効にした後、コマンド utils service start Cisco Tomcat を使用して Cisco Tomcat サービスを開始します。

自己署名証明書の信頼

Administration Console またはエージェント デスクトップにサインインするたびにブラウザの警告が表示されないようにするために、Finesse で提供される自己署名証明書を信頼します。

HTTPS を使用していない場合や、CA 証明書をアップロード済みである場合は、この手順をスキップできます。

手順
    ステップ 1   ブラウザで、Administration Console の URL(https://プライマリ Finesse サーバのホスト名:portnumber/cfadmin)またはエージェント デスクトップの URL(https://プライマリ Finesse サーバのホスト名)を入力します。
    ステップ 2   使用しているブラウザに対して、次の表の手順を実行します。
    オプション 説明

    Internet Explorer を使用する場合

    1. Web サイトのセキュリティ証明書に問題があることを示すページが表示されます。 [Continue to this website (not recommended)] をクリックします。 このアクションでは、Administration Console(またはエージェント デスクトップ)のサインインページが開きます。 証明書エラーはブラウザのアドレス バーに表示されます。
    2. [Certificate Error] をクリックし、[View Certificates] をクリックすると、[Certificate] ダイアログボックスが開きます。
    3. [Certificate] ダイアログボックスで、[Install Certificate] をクリックします。 これにより、証明書のインポート ウィザードが開きます。
    4. [Next] をクリックします。
    5. [Place all certificates in the following store] を選択し、[Browse] をクリックします。
    6. [Trusted Root Certification Authorities] を選択し、[OK] をクリックします。
    7. [Next] をクリックします。
    8. [Finish] をクリックします。
    9. 証明書をインストールするかどうかを尋ねる [Security Warning] ダイアログボックスが表示されたら、[Yes] をクリックします。 インポートが正常に実行されたことを示す [Certificate Import] ダイアログボックスが表示されます。
    10. [OK] をクリックします。
    11. 資格情報を入力し、[Sign In] をクリックします。

    Firefox を使用している場合

    1. この接続が信頼できない状態であることを示すページが表示されます。
    2. [I Understand the Risks] をクリックし、[Add Exception] をクリックします。
    3. [Add Security Exception] ダイアログボックスで、[Permanently store this exception] チェックボックスがオンになっていることを確認します。
    4. [Confirm Security Exception] をクリックします。 この接続が信頼できないことを示すページが自動的に閉じられ、Administration Console (またはエージェント デスクトップ)がロードされます。
    5. 資格情報を入力し、[Sign In] をクリックします。
    6. エージェント デスクトップの場合のみ、Finesse が Cisco Finesse Notification Service に接続できないことを示すエラーが表示され、Finesse サーバによって発行された証明書に対するセキュリティ例外を追加するように促されます。 [OK] をクリックします。

    CA 証明書の取得およびアップロード


    (注)  


    この手順は、HTTPS を使用している場合にだけ適用されます。

    この手順は任意です。 HTTPS を使用している場合、CA 証明書を取得してアップロードするか、Finesse で提供される自己署名証明書を使用するかを選択できます。


    サインインするたびにブラウザにセキュリティ警告が表示されないようにするには、認証局(CA)によって署名されたアプリケーション証明書およびルート証明書を取得します。 Cisco Unified Communications Operating System Administration から証明書管理ユーティリティを使用します。

    [Cisco Unified Communications Operating System Administration] を開くには、ブラウザで次の URL を入力します。

    https://プライマリ Finesse サーバのホスト名/cmplatform

    Finesse のインストール時に作成されたアプリケーション ユーザ アカウントのユーザ名とパスワードを使用してサインインします。


    (注)  


    詳細については、Cisco Unified Communications Operating System Administration オンライン ヘルプのセキュリティに関するトピックを参照してください。


    手順
      ステップ 1   CSR を作成します。
      1. [Security] > [Certificate Management] > [Generate CSR] を選択します。
      2. [Certificate Name] ドロップダウン リストで、[tomcat] を選択します。
      3. [Generate CSR] をクリックします。
      ステップ 2   CSR をダウンロードします。
      1. [Security] > [Certificate Management] > [Download CSR] を選択します。
      2. [Certificate Name] ドロップダウン リストで、[tomcat] を選択します。
      3. [Download CSR] をクリックします。
      ステップ 3   CSR を使用して、認証局から署名付きのアプリケーション証明書と CA ルート証明書を取得します。
      ステップ 4   証明書を受け取ったら、[Security] > [Certificate Management] > [Upload Certificate] を選択します。
      ステップ 5   ルート証明書をアップロードします。
      1. [Certificate Name] ドロップダウン リストで、[tomcat-trust] を選択します。
      2. [Upload File] フィールドで [Browse] をクリックし、ルート証明書ファイルを参照します。
      3. [Upload File] をクリックします。
      ステップ 6   アプリケーション証明書をアップロードします。
      1. [Certificate Name] ドロップダウン リストで、[tomcat] を選択します。
      2. [Root Certificate] フィールドで、CA ルート証明書の名前を入力します。
      3. [Upload File] フィールドで [Browse] をクリックし、アプリケーション証明書ファイルを参照します。
      4. [Upload File] をクリックします。
      ステップ 7   アップロードが完了したら、Finesse からログオフします。
      ステップ 8   プライマリ Finesse サーバで CLI にアクセスします。
      ステップ 9   utils service restart Cisco Finesse Notification Service コマンドを入力して、Cisco Finesse Notification サービスを再起動します。
      ステップ 10   utils service restart Cisco Tomcat コマンドを入力して、Cisco Tomcat サービスを再起動します。
      ステップ 11   セカンダリ Finesse サーバにルート証明書およびアプリケーション証明書をアップロードします。
      (注)     

      セカンダリ サーバに対して Cisco Unified Operating System Administration を開くには、ブラウザのアドレス バーに次の URL を入力します。

      https://セカンダリ Finesse サーバのホスト名/cmplatform

      ステップ 12   セカンダリ Finesse サーバの CLI にアクセスし、Cisco Finesse Notification サービスと Cisco Tomcat サービスを再起動します。

      HTTPS ガジェットへの証明書の追加

      セキュア HTTP (HTTPS)ガジェットに対する証明書を追加すると、Finesse デスクトップにガジェットをロードし、Finesse サーバへの HTTPS 要求を正常に実行することができます。

      このプロセスでは、Finesse ガジェットのコンテナとサードパーティ ガジェットのサイト間の HTTPS 通信を可能にし、ガジェットをロードして、ガジェットがサードパーティ製サーバに対して行う API コールを実行できます。


      (注)  


      HTTPS を使用するガジェットは、そのガジェットが存在しているアプリケーション サーバとの間の HTTP 通信も使用できます。 すべてのトラフィックが安全である必要がある場合、ガジェットの開発者はアプリケーション サーバへの API コールを発信するために HTTPS を使用する必要があります。


      証明書には通常名で署名する必要があります。 デスクトップ レイアウトのガジェット URL に、(IP アドレスを使用するか、完全修飾ドメイン名を使用するかに関係なく)証明書に署名したのと同じ名前を使用する必要があります。 証明書の名前とガジェット URL の名前が一致しない場合、接続が信頼できず、ガジェットはロードされません。

      証明書の名前を検索するには、ブラウザでガジェット URL を入力します。 アドレス バーの鍵のアイコンをクリックし、[View Details] をクリックします。 通常名のフィールドを探します。

      Finesse ホストは、インストール時に入力した DNS ホストを使用して DNS でこの名前を解決できる必要があります。 Finesse が名前を解決できることを確認するには、CLI コマンド "utils network ping <ホスト名>" を実行します。

      手順
        ステップ 1   サードパーティ ガジェットのホストから tomcat.pem 証明書をダウンロードします。
        1. サードパーティ ガジェット ホストで Cisco Unified Operating System Administration(http://ホストまたは IP アドレス/cmplatform。ここで、ホストまたは IP アドレスはサードパーティ ガジェット ホストのホスト名または IP アドレス)にサインインします。
        2. [Security] > [Certificate Management] をクリックします。
        3. [Find] をクリックします。
        4. [tomcat.pem] をクリックします。
        5. [Download] をクリックして、ファイルをデスクトップに保存します。
        ステップ 2   プライマリ Finesse システムに証明書をアップロードします。
        1. プライマリ Finesse サーバで Cisco Unified Operating System Administration(http://ホストまたは IP アドレス/cmplatform。ここで、ホストまたは IP アドレスは Finesse サーバのホスト名または IP アドレス)にサインインします。
        2. [Security] > [Certificate Management] をクリックします。
        3. [Upload Certificate] をクリックします。
        4. [Certificate Name] ドロップダウン リストで、[tomcat-trust] を選択します。
        5. [参照] をクリックして、前の手順でダウンロードした tomcat.pem ファイルに移動してください。
        6. [Upload File] をクリックします。
        ステップ 3   プライマリ Finesse サーバで Cisco Tomcat を再起動します。
        ステップ 4   同期が完了したら、セカンダリ Finesse サーバで Cisco Tomcat を再起動します。

        セキュリティ パスワードまたは管理者パスワードのリセット

        セキュリティ パスワードまたは管理者パスワードをリセットする必要がある場合は、システムのコンソールで vSphere を使用して、次の手順を実行します。 コマンドを実行するシステムに対して ssh を実行できません。

        手順
          ステップ 1   次のユーザ名とパスワードを使用してプラットフォーム ウィンドウにサインインします。

          pwrecovery/pwreset

          次のメッセージが表示されます。

          Welcome to Platform password reset.

          Admin and Security password reset are possible.

          Press any key when ready.

          ステップ 2   任意のキーを押して続行します。

          次のメッセージが表示されます。

          ディスク ドライブに CD または DVD が入っている場合は、ここで取り出します。

          任意のキーを押して続行します。

          ステップ 3   ディスク ドライブにディスクがある場合は、取り出します。 準備ができたら、任意のキーを押して続行します。

          ドライブからディスクを取り出したかどうかが確認されます。

          次のメッセージが表示されます。

          Insert a valid CD or DVD into the disk drive.

          ステップ 4   CD/DVD ドライブに接続し、ISO イメージを選択します。

          ディスクを挿入したかどうかが確認されます。

          ディスクが挿入されていることが確認された後、次のオプションのいずれかを選択するように促されます。

          管理者パスワードをリセットするために「a」と入力する。

          セキュリティ パスワードをリセットするために「s」と入力する。

          終了するために「q」と入力する。

          ステップ 5   適切なオプションを選択し、新しいパスワードを指定します。

          パスワードがリセットされます。