Cisco CallManager セキュリティ ガイド Release 5.0(1)
Cisco CTL クライアントの設定
Cisco CTL クライアントの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco CTL クライアントの設定

Cisco CTL クライアントの概要

Cisco CTL クライアントの設定用チェックリスト

Cisco CTL Provider サービスのアクティブ化

Cisco CAPF サービスのアクティブ化

TLS 接続用ポートの設定

Cisco CTL クライアントのインストール

Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行

Cisco CTL クライアントの設定

CTL ファイルの更新

CTL ファイル エントリの削除

クラスタ全体のセキュリティ モードの更新

Cisco CTL クライアントの設定内容

Cisco CallManager クラスタのセキュリティ モードの確認

Smart Card サービスの Started および Automatic への設定

セキュリティ トークン パスワード(etoken)の変更

Cisco IP Phone 上の CTL ファイルの削除

Cisco CTL クライアントのバージョンの特定

Cisco CTL クライアントの確認とアンインストール

その他の情報

Cisco CTL クライアントの設定

この章は、次の内容で構成されています。

「Cisco CTL クライアントの概要」

「Cisco CTL クライアントの設定用チェックリスト」

「Cisco CTL Provider サービスのアクティブ化」

「Cisco CAPF サービスのアクティブ化」

「TLS 接続用ポートの設定」

「Cisco CTL クライアントのインストール」

「Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行」

「Cisco CTL クライアントの設定」

「CTL ファイルの更新」

「CTL ファイル エントリの削除」

「クラスタ全体のセキュリティ モードの更新」

「Cisco CTL クライアントの設定内容」

「Cisco CallManager クラスタのセキュリティ モードの確認」

「Smart Card サービスの Started および Automatic への設定」

「セキュリティ トークン パスワード(etoken)の変更」

「Cisco IP Phone 上の CTL ファイルの削除」

「Cisco CTL クライアントのバージョンの特定」

「Cisco CTL クライアントの確認とアンインストール」

「その他の情報」

Cisco CTL クライアントの概要

デバイス認証、ファイル認証、およびシグナリング認証は、Certificate Trust List(CTL; 証明書信頼リスト)ファイルの作成に依存します。このファイルは、USB ポートのある単一の Windows ワークステーションまたはサーバに Cisco Certificate Trust List(CTL)クライアントをインストールおよび設定したときに作成されます。


) CTL クライアント用としてサポートされる Windows のバージョンは、Windows 2000 と Windows XP です。



ヒント Terminal Services は、Cisco CTL クライアントのインストールに使用しないでください。シスコは、Cisco Technical Assistance Center (TAC)がリモートでトラブルシューティングおよび設定作業を行えるように Terminal Services をインストールしています。


CTL ファイルには、次のサーバまたはセキュリティ トークンのためのエントリが含まれています。

Site Administrator Security Token(SAST)

同一のサーバで実行される Cisco CallManager および Cisco TFTP

Certificate Authority Proxy Function (CAPF)

CTL ファイルには、各サーバのサーバ証明書、公開鍵、シリアル番号、シグニチャ、発行者名、件名、サーバ機能、DNS 名、および IP アドレスが含まれます。CTL ファイルを作成したら、
Cisco CallManager Serviceability で Cisco CallManager および Cisco TFTP サービスを、これらのサービスを実行するクラスタ内のすべてのサーバで、再起動する必要があります。次回、電話機を初期化するときには、CTL ファイルが TFTP サーバからダウンロードされます。CTL ファイルに自己署名証明書を持つ TFTP サーバ エントリが含まれている場合、電話機は .sgn 形式の署名付き設定ファイルを要求します。どの TFTP サーバにも証明書がない場合、電話機は署名なしファイルを要求します。


) Cisco CallManager ノードのホスト名は、CTL クライアントがインストールされているリモート PC で解決可能である必要があります。そうでない場合、CTL クライアントは正しく動作しません。


Cisco CallManager Administration は、etoken を使用して、CTL クライアントとプロバイダーとの間の TLS 接続を認証します。

Cisco CTL クライアントの設定用チェックリスト

表3-1 に、初めて Cisco CTL クライアントをインストールおよび設定する場合に実行する設定作業のリストを示します。

 

表3-1 Cisco CTL クライアントの設定用チェックリスト

設定手順
関連手順および関連項目

ステップ 1

クラスタにある各 Cisco CallManager の Cisco CallManager Serviceability で Cisco CTL Provider サービスをアクティブにします。

ヒント Cisco CallManager のアップグレード前にこのサービスをアクティブにした場合は、サービスを再度アクティブにする必要はありません。アップグレード後にサービスは自動的にアクティブになります。

 

「Cisco CTL Provider サービスのアクティブ化」

ステップ 2

最初のノードの Cisco CallManager Serviceability で Cisco Certificate Authority Proxy サービスをアクティブにします。


ワンポイント・アドバイス Cisco CTL クライアントをインストールして設定する前にこの作業を実行すれば、CAPF を使用するために CTL ファイルを更新する必要がなくなります。


 

「Certificate Authority Proxy Function サービスのアクティブ化」

ステップ 3

デフォルト設定を使用しない場合は、TLS 接続用のポートを設定します。

ヒント これらの設定を Cisco CallManager のアップグレード前に設定した場合、設定は自動的に移行されます。

 

「TLS 接続用ポートの設定」

ステップ 4

Cisco CTL クライアント用に設定するサーバについて、少なくとも 2 つのセキュリティ トークンとパスワード、ホスト名または IP アドレス、およびポート番号を入手します。

「Cisco CTL クライアントの設定」

ステップ 5

Cisco CTL クライアントをインストールします。

「システム要件」

「インストール」

「Cisco CTL クライアントのインストール」

ステップ 6

Cisco CTL クライアントを設定します。

「Cisco CTL クライアントの設定」

Cisco CTL Provider サービスのアクティブ化

Cisco CTL クライアントの設定後、このサービスによってクラスタのセキュリティ モードがノンセキュア モードからセキュア モードに変更され、サーバ証明書が CTL ファイルに転送されます。その後、このサービスによって CTL ファイルがすべての Cisco CallManager および Cisco TFTP サーバに転送されます。

サービスをアクティブにしてから Cisco CallManager をアップグレードした場合、Cisco CallManager によってサービスはアップグレード後に自動的に再度アクティブになります。


ヒント クラスタ内のすべてのサーバで Cisco CTL Provider サービスをアクティブにする必要があります。


サービスをアクティブにするには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Serviceability で Tools > Service Activation の順に選択します。

ステップ 2 Servers ドロップダウン リスト ボックスで、Cisco CallManager サービスまたは Cisco TFTP サービスをアクティブにしたサーバを選択します。

ステップ 3 Cisco CTL Provider サービス オプション ボタンをクリックします。

ステップ 4 Save をクリックします。

ステップ 5 クラスタ内のすべてのサーバで、この手順を実行します。


) Cisco CTL Provider サービスをアクティブにする前に、CTL ポートを入力できます。デフォルトのポート番号を変更する場合は、「TLS 接続用ポートの設定」を参照してください。


ステップ 6 サービスがクラスタ内のすべてのサーバで実行されていることを確認します。サービスの状態を確認するには、Cisco CallManager Serviceability で Tools > Control Center - Feature Services の順に選択します。


 

追加情報

詳細については、「関連項目」を参照してください。

Cisco CAPF サービスのアクティブ化

このサービスのアクティブ化については、「Certificate Authority Proxy Function サービスのアクティブ化」を参照してください。


ワンポイント・アドバイス Cisco CTL クライアントをインストールして設定する前にこの作業を実行すれば、CAPF を使用するために CTL ファイルを更新する必要がなくなります。


TLS 接続用ポートの設定

ポートが現在使用中の場合や、ファイアウォールを使用していてファイアウォール内のポートを使用できない場合には、異なるポート番号の設定が必要になることもあります。

Cisco CTL Provider の TLS 接続用デフォルト ポートは 2444 です。Cisco CTL Provider ポートでは Cisco CTL クライアントからの要求を監視します。このポートでは、CTL ファイルの取得、クラスタ全体のセキュリティ モード設定、CTL ファイルの TFTP サーバへの保存、クラスタ内の Cisco CallManager および TFTP サーバ リストの取得などの、Cisco CTL クライアントの要求を処理します。

Ethernet Phone ポートは、SCCP 電話機からの登録要求を監視します。ノンセキュア モードの場合、電話機はポート 2000 を介して接続されます。セキュア モードの場合、Cisco CallManager の TLS 接続用ポートは Cisco CallManager ポート番号に 443 を加算(+)した番号になるため、Cisco CallManager のデフォルトの TLS 接続は 2443 になります。ポートが現在使用中の場合や、ファイアウォールを使用していてファイアウォール内のポートを使用できない場合にのみ、この設定を更新します。

SIP Secure ポートを使用すると、Cisco CallManager は SIP 電話機からの SIP メッセージを傍受できます。デフォルト値は 5061 です。このポートを変更した場合は、Cisco CallManager Serviceability で Cisco CallManager サービスを再起動し、SIP 電話機をリセットする必要があります。


ヒント ポートを更新した後は、Cisco CallManager Administration で Cisco CTL Provider サービスを再起動する必要があります。

CTL ポートは、CTL クライアントが実行されているデータ VLAN に対して開いている必要があります。CTL クライアントが使用するポートは、Cisco CallManager にシグナルを戻すために、TLS を実行している電話機も使用します。これらのポートは、電話機が認証済みステータスまたは暗号化済みステータスに設定されているすべての VLAN に対して開いている必要があります。


デフォルト設定を変更するには、次の手順を実行します。

手順


ステップ 1 変更するポートに応じて、次の作業を実行します。

Cisco CTL Provider サービスの Port Number パラメータを変更するには、ステップ 2ステップ 6 を実行します。

Ethernet Phone Port または SIP Phone Secure Port の設定を変更するには、ステップ 7ステップ 11 を実行します。

ステップ 2 Cisco CTL Provider ポートを変更するには、Cisco CallManager Administration で System > Service Parameters の順に選択します。

ステップ 3 Server ドロップダウン リスト ボックスで、Cisco CTL Provider サービスを実行しているサーバを選択します。

ステップ 4 Service ドロップダウン リスト ボックスで、 Cisco CTL Provider サービスを選択します。


ヒント サービス パラメータの詳細については、疑問符またはリンク名をクリックしてください。

ステップ 5 Port Number パラメータの値を変更するには、Parameter Value フィールドに新しいポート番号を入力します。

ステップ 6 Save をクリックします。

ステップ 7 Ethernet Phone Port または SIP Phone Secure Port の設定を変更するには、Cisco CallManager Administration で System > Cisco CallManager の順に選択します。

ステップ 8 Cisco CallManager アドミニストレーション ガイド 』の説明に従い、Cisco CallManager サービスを実行しているサーバを検索します。結果が表示されたら、サーバの Name リンクをクリックします。

ステップ 9 Cisco CallManager Configuration ウィンドウが表示されたら、Ethernet Phone Port フィールドまたは SIP Phone Secure Port フィールドに新しいポート番号を入力します。

ステップ 10 電話機をリセットし、Cisco CallManager Serviceability で Cisco CallManager サービスを再起動します。

ステップ 11 Save をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

Cisco CTL クライアントのインストール

次のイベントが発生するときには、クライアントを使用して CTL ファイルを更新する必要があります。

クラスタのセキュリティ モードの最初の設定時

CTL ファイルの最初の作成時

Cisco CallManager のインストール後

Cisco CallManager サーバまたは Cisco CallManager データの復元後

Cisco CallManager サーバの IP アドレスまたはホスト名の変更後

セキュリティ トークン、TFTP サーバ、または Cisco CallManager サーバの追加後または削除後


ヒント クライアントをインストールしようとしているサーバまたはワークステーションで、Smart Card サービスが started および automatic に設定されていない場合、インストールは失敗します。


Cisco CTL クライアントをインストールするには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager アドミニストレーション ガイド 』の説明に従い、クライアントをインストールしようとする Windows ワークステーションまたはサーバから、Cisco CallManager Administration に移動します。

ステップ 2 Cisco CallManager Administration で、 Application > Plugins の順に選択します。

Find and List Plugins ウィンドウが表示されます。

ステップ 3 Plugin Type equals ドロップダウン リスト ボックスから Installation を選択し、 Find をクリックします。

ステップ 4 Cisco CTL Client を見つけます。

ステップ 5 ファイルをダウンロードするには、ウィンドウの右側の、Cisco CTL Client プラグイン名のちょうど反対側にある Download をクリックします。

ステップ 6 Save をクリックして、ファイルを任意の場所に保存します。

ステップ 7 インストールを開始するには、 Cisco CTL Client ファイルを保存した場所によってアイコンまたは実行ファイルになります)をダブルクリックします。


) Download Complete ボックスで Open をクリックすることもできます。


ステップ 8 Cisco CTL クライアントのバージョンが表示されるので、 Continue をクリックします。

ステップ 9 インストール ウィザードが表示されます。 Next をクリックします。

ステップ 10 使用許諾契約に同意して Next をクリックします。

ステップ 11 クライアントをインストールするフォルダを選択します。必要な場合は、Browse をクリックしてデフォルトの場所を変更することができます。場所を選択したら、 Next をクリックします。

ステップ 12 インストールを開始するには、 Next をクリックします。

ステップ 13 インストールが完了したら、 Finish をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行

Cisco CallManager 5.0(1) をアップグレードした後で CTL ファイルを変更するには、アップグレード前にインストールしていた Cisco CTL クライアントを削除し、最新の Cisco CTL クライアントをインストールし(「Cisco CTL クライアントのインストール」を参照)、CTL ファイルを再生成する必要があります。

Cisco CallManager をアップグレードする前にサーバの削除や追加を実行しなかった場合は、アップグレード後に Cisco CTL クライアントを再設定する必要はありません。Cisco CallManager のアップグレードにより、CTL ファイル内のデータは自動的に移行されます。

Cisco CTL クライアントの設定


ヒント Cisco CTL クライアントは、スケジューリングされたメンテナンス画面で設定します。これは、Cisco CallManager および Cisco TFTP サービスを実行するクラスタにあるすべてのサーバの
Cisco CallManager Serviceability で、これらのサービスを再起動する必要があるためです。


Cisco CTL クライアントは、次のタスクを実行します。

Cisco CallManager クラスタのセキュリティ モードを設定する。


ヒント Cisco CallManager Administration の Enterprise Parameters ウィンドウで、Cisco CallManager クラスタ全体のパラメータをセキュア モードに設定することはできません。クラスタ全体のモードを設定するには、CTL クライアントを設定する必要があります。詳細については、「Cisco CTL クライアントの設定内容」を参照してください。

Certificate Trust List(CTL; 証明書信頼リスト)を作成する。これは、セキュリティ トークン、Cisco CallManager、および CAPF サーバ用の証明書エントリが含まれたファイルです。

CTL ファイルによって、電話接続用の TLS をサポートするサーバが示されます。クライアントは自動的に Cisco CallManager および Cisco CAPF サーバを検出して、これらのサーバの証明書エントリを追加します。

設定時に挿入したセキュリティ トークンによって CTL ファイルが署名されます。

始める前に

Cisco CTL クライアントを設定する前に、Cisco CTL Provider サービスおよび Cisco Certificate Authority Proxy Function サービスを Cisco CallManager Serviceability でアクティブにしたことを確認します。少なくとも 2 つのセキュリティ トークンを入手します。これらのセキュリティ トークンは、Cisco certificate authority が発行します。シスコから取得したセキュリティ トークンを使用する必要があります。トークンを一度に 1 つずつサーバまたはワークステーションの USB ポートに挿入します。サーバに USB ポートがない場合、USB PCI カードを使用することができます。

次のパスワード、ホスト名または IP アドレス、ポート番号を取得します。

Cisco CallManager の管理ユーザ名とパスワード

セキュリティ トークンの管理者パスワード

これらの説明については、 表3-2 を参照してください。


ヒント Cisco CTL クライアントをインストールする前に、クラスタの各サーバへのネットワーク接続を確認します。クラスタのすべてのサーバにネットワーク接続できることを確認するには、『Cisco IP Telephony Platform Administration Guide』の説明に従い、ping コマンドを発行します。


複数の Cisco CTL クライアントをインストールした場合、Cisco CallManager では一度に 1 台のクライアントの CTL 設定情報しか受け入れません。ただし、設定作業は同時に 5 台までの Cisco CTL クライアントで実行できます。あるクライアントで設定作業を実行している間、その他のクライアントで入力した情報は Cisco CallManager によって自動的に保存されます。

Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。

CTL ファイルをクラスタ内のすべての Cisco CallManager サーバに書き込む。

CAPF capf.cer をクラスタ内のすべての Cisco CallManager 後続ノード(最初のノード以外)に書き込む。

PEM 形式の CAPF 証明書ファイルをクラスタ内のすべての Cisco CallManager 後続ノード(最初のノード以外)に書き込む。

CTL ファイルを作成した時点で USB ポートに存在するセキュリティ トークンの秘密鍵を使用して、CTL ファイルに署名する。

クライアントを設定するには、次の手順を実行します。

手順


ステップ 1 購入したセキュリティ トークンを少なくとも 2 つ入手します。

ステップ 2 次の作業のどちらかを実行します。

インストールしたワークステーションまたはサーバのデスクトップにある Cisco CTL Client アイコンをダブルクリックします。

Start > Programs > Cisco CTL Client の順に選択します。

ステップ 3 表3-2 の説明に従って、Cisco CallManager サーバの設定内容を入力し、 Next をクリックします。

ステップ 4 表3-2 の説明に従って、 Set CallManager Cluster to Secure Mode をクリックし、 Next をクリックします。

ステップ 5 設定する内容に応じて、次の作業を実行します。

セキュリティ トークンを追加するには、ステップ 6ステップ 12 を参照します。

Cisco CTL クライアント設定を完了するには、ステップ 17ステップ 21 を参照します。


注意 クライアントを初めて設定する場合、少なくとも 2 つのセキュリティ トークンが必要です。アプリケーションが要求しない限り、トークンを挿入しないでください。ワークステーションまたはサーバに USB ポートが 2 つある場合は、2 つのセキュリティ トークンを同時に挿入しないでください。

ステップ 6 アプリケーションが要求したら、現在 Cisco CTL クライアントを設定しているワークステーションまたはサーバで使用可能な USB ポートにセキュリティ トークンを 1 つ挿入して、 OK をクリックします。

ステップ 7 挿入したセキュリティ トークンについての情報が表示されます。 Add をクリックします。

ステップ 8 検出された証明書エントリがペインに表示されます。

ステップ 9 他のセキュリティ トークン(複数も可能)を証明書信頼リストに追加するには、 Add Tokens をクリックします。

ステップ 10 サーバまたはワークステーションに挿入したトークンを取り外していない場合は、取り外します。アプリケーションが要求したら、次のトークンを挿入して OK をクリックします。

ステップ 11 2 番目のセキュリティ トークンについての情報が表示されます。 Add をクリックします。

ステップ 12 すべてのセキュリティ トークンについて、ステップ 9ステップ 11 を繰り返します。

ステップ 13 証明書エントリがペインに表示されます。

ステップ 14 表3-2 の説明に従って、設定内容を入力します。

ステップ 15 Next をクリックします。

ステップ 16 表3-2 の説明に従って設定内容を入力し、 Next をクリックします。

ステップ 17 すべてのセキュリティ トークンおよびサーバを追加したら、 Finish をクリックします。

ステップ 18 表3-2 の説明に従ってセキュリティ トークンのユーザ パスワードを入力し、 OK をクリックします。

ステップ 19 クライアントによって CTL ファイルが作成されると、各サーバのウィンドウに、サーバ、ファイル ロケーション、および CTL ファイルのステータスが表示されます。 Finish をクリックします。

ステップ 20 クラスタ内のすべてのデバイスをリセットします。詳細については、「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」を参照してください。

ステップ 21 Cisco CallManager Serviceability で、クラスタ内の各サーバで実行されている Cisco CallManager および Cisco TFTP サービスを再起動します。

ステップ 22 CTL ファイルを作成したら、USB ポートからセキュリティ トークンを取り外します。すべてのセキュリティ トークンを安全な任意の場所に格納します。


 

追加情報

詳細については、「関連項目」を参照してください。

CTL ファイルの更新

次のシナリオが発生した場合、CTL ファイルを更新する必要があります。

新しい Cisco CallManager サーバをクラスタに追加した場合

クラスタ内の Cisco CallManager サーバの名前または IP アドレスを変更した場合

Cisco CallManager Serviceability で Cisco Certificate Authority Function サービスを有効にした場合

セキュリティ トークンを新たに追加または削除する必要がある場合

Cisco CallManager サーバまたは Cisco CallManager データを復元した場合


ヒント ファイルの更新は、コール処理がほとんど中断されないときに実行することを強く推奨します。


CTL ファイルにある情報を更新するには、次の手順を実行します。

手順


ステップ 1 最新の CTL ファイルを設定するために挿入したセキュリティ トークンを 1 つ入手します。

ステップ 2 インストールしたワークステーションまたはサーバのデスクトップにある Cisco CTL Client アイコンをダブルクリックします。

ステップ 3 表3-2 の説明に従って、Cisco CallManager サーバの設定内容を入力し、 Next をクリックします。


ヒント このウィンドウでは、Cisco CallManager サーバについて更新します。

ステップ 4 CTL ファイルを更新するには、 表3-2 の説明にあるように Update CTL File をクリックし、 Next をクリックします。


注意 すべての CTL ファイルを更新するには、すでに CTL ファイルに存在するセキュリティ トークンを(1 つ)USB ポートに挿入する必要があります。クライアントでは、このトークンを使用して CTL ファイルのシグニチャを検証します。CTL クライアントによってシグニチャが検証されるまで、新しいトークンは追加できません。ワークステーションまたはサーバに USB ポートが 2 つある場合は、両方のセキュリティ トークンを同時に挿入しないでください。

ステップ 5 現在 CTL ファイルを更新しているワークステーションまたはサーバで使用可能な USB ポートにまだセキュリティ トークンを挿入していない場合は、いずれかのセキュリティ トークンを挿入してから OK をクリックします。

ステップ 6 挿入したセキュリティ トークンについての情報が表示されます。 Next をクリックします。

検出された証明書エントリがペインに表示されます。


ヒント このペインでは、Cisco CallManager および Cisco TFTP エントリを更新できません。Cisco CallManager エントリを更新するには Cancel をクリックし、ステップ 2 ステップ 6 をもう一度実行します。

ステップ 7 既存の Cisco CTL エントリを更新するか、あるいはセキュリティ トークンを追加または削除する際は、次の点を考慮してください。

新しいセキュリティ トークンを追加するには、「Cisco CTL クライアントの設定」を参照する。

セキュリティ トークンを削除するには、「CTL ファイル エントリの削除」を参照する。


 

追加情報

詳細については、「関連項目」を参照してください。

CTL ファイル エントリの削除

Cisco CTL クライアントの CTL Entries ウィンドウに表示される一部の CTL エントリは、いつでも削除することができます。クライアントを開いて、CTL Entries ウィンドウを表示するプロンプトに従い、 Delete Selected をクリックしてエントリを削除します。

Cisco CallManager、Cisco TFTP、または Cisco CAPF を実行するサーバを、CTL ファイルから削除することはできません。

CTL ファイルには常に 2 つのセキュリティ トークン エントリが存在している必要があります。ファイルからセキュリティ トークンをすべて削除することはできません。

追加情報

詳細については、「関連項目」を参照してください。

クラスタ全体のセキュリティ モードの更新

クラスタ全体のセキュリティ モードを設定するには、Cisco CTL クライアントを使用する必要があります。クラスタ全体のセキュリティ モードは、Cisco CallManager Administration の Enterprise
Parameters ウィンドウで変更することはできません。

Cisco CTL クライアントの初期設定後にクラスタ全体のセキュリティ モードを変更するには、「CTL ファイルの更新」および 表3-2 の説明に従って CTL ファイルを更新する必要があります。クラスタ全体のセキュリティ モードをセキュア モードからノンセキュア モードに変更した場合、CTL ファイルはクラスタ内のサーバに存在したままですが、CTL ファイルに証明書は含まれません。CTL ファイルに証明書が存在しないため、電話機は署名なし設定ファイルを要求し、ノンセキュアとして Cisco CallManager に登録されます。

Cisco CTL クライアントの設定内容

クラスタは、 表3-2 の説明にあるように 2 つのモードのどちらかに設定できます。セキュア モードだけが認証をサポートしています。Cisco CTL クライアントに暗号化を設定する場合は、Set CallManager Cluster to Secure Mode を選択する必要があります。

表3-2 を使用して、初めての Cisco CTL クライアント設定、CTL ファイルの更新、または混合モードからノンセキュア モードへの変更を行うことができます。

 

表3-2 CTL クライアントの設定内容

設定
説明
CallManager サーバ

Hostname or IP Address

最初のノードのホスト名または IP アドレスを入力します。

Port

ポート番号を入力します。これは、指定した Cisco CallManager サーバで実行されている Cisco CTL Provider サービスの CTL ポートです。デフォルトのポート番号は 2444 です。

Username and Password

最初のノードで管理者特権を持つユーザ名とパスワードと同じものを入力します。

オプション ボタン

Set CallManager Cluster to Secure Mode

セキュア モードでは、認証済みまたは暗号化済みの Cisco IP Phone と、認証されていない Cisco IP Phone を Cisco CallManager に登録することができます。このモードでは、認証済みまたは暗号化済みのデバイスでセキュア ポートが使用されることを Cisco CallManager が保証します。


) クラスタをセキュア モードに設定すると、Cisco CallManager によって自動登録は無効になります。


 

Set CallManager Cluster to Nonsecure Mode

すべてのデバイスが非認証として Cisco CallManager に登録されます。Cisco CallManager ではイメージ認証だけをサポートします。

このモードを選択すると、CTL クライアントは CTL ファイルにあるすべてのエントリの証明書を削除しますが、CTL ファイルは引き続き指定したディレクトリに存在します。電話機は署名なし設定ファイルを要求し、ノンセキュアとして CiscoCallManager に登録されます。

ヒント 電話機をデフォルトのノンセキュア モードに戻すには、電話機およびすべての Cisco CallManager サーバから CTL ファイルを削除する必要があります。

このモードでは自動登録を使用できます。

Update CTL File

CTL ファイルの作成後にこのファイルを変更するには、このオプションを選択する必要があります。このオプションを選択すると、クラスタのセキュリティ モードは変更されません。

セキュリティ トークン

User Password

Cisco CTL クライアントを初めて設定するときは、デフォルト パスワードの Cisco123 を大文字と小文字を区別して入力し、証明書の秘密鍵を取得して CTL ファイルが署名済みであることを確認します。

Cisco CallManager クラスタのセキュリティ モードの確認

Cisco CallManager クラスタのセキュリティ モードを確認するには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Administration で System > Enterprise Parameters の順に選択します。

ステップ 2 Cluster Security Mode フィールドを見つけます。フィールド内の値が 1 と表示される場合、
Cisco CallManager クラスタはセキュア モードに正しく設定されています(詳細については、フィールド名をクリックしてください)。


ヒント この値は、Cisco CallManager Administration では変更できません。この値が表示されるのは、Cisco CTL クライアントの設定後です。


 

追加情報

詳細については、「関連項目」を参照してください。

Smart Card サービスの Started および Automatic への設定

Cisco CTL クライアント インストールにより、Smart Card サービスが無効であると検出された場合は、Cisco CTL プラグインをインストールするサーバまたはワークステーションで、Smart Card サービスを automatic および started に設定する必要があります。


ヒント サービスが started および automatic に設定されていない場合は、セキュリティ トークンを CTL ファイルに追加できません。

オペレーティング システムのアップグレード、サービス リリースの適用、Cisco CallManager のアップグレードなどを行ったら、Smart Card サービスが started および automatic になっていることを確認します。


サービスを started および automatic に設定するには、次の手順を実行します。

手順


ステップ 1 Cisco CTL クライアントをインストールしたサーバまたはワークステーションで、 Start > Programs > Administrative Tools > Services または Start > Control Panel > Administrative Tools > Services の順に選択します。

ステップ 2 Services ウィンドウで、 Smart Card サービスを右クリックし、 Properties を選択します。

ステップ 3 Properties ウィンドウに General タブが表示されていることを確認します。

ステップ 4 Startup type ドロップダウン リスト ボックスから、 Automatic を選択します。

ステップ 5 Apply をクリックします。

ステップ 6 Service Status 領域で、 Start をクリックします。

ステップ 7 OK をクリックします。

ステップ 8 サーバまたはワークステーションをリブートし、サービスが動作していることを確認します。


 

追加情報

詳細については、「関連項目」を参照してください。

セキュリティ トークン パスワード(etoken)の変更

この管理パスワードは、証明書の秘密鍵を取得し、CTL ファイルが署名されることを保証します。各セキュリティ トークンには、デフォルト パスワードが付属されています。セキュリティ トークン パスワードはいつでも変更できます。Cisco CTL クライアントによりパスワードの変更を求めるプロンプトが表示されたら、設定を続行する前にパスワードを変更する必要があります。

パスワード設定の関連情報を検討するには、 Show Tips ボタンをクリックします。何らかの理由でパスワードを設定できない場合は、表示されるヒントを検討してください。

セキュリティ トークン パスワードを変更するには、次の手順を実行します。

手順


ステップ 1 Cisco CTL クライアントを Windows サーバまたはワークステーションにインストールしたことを確認します。

ステップ 2 Cisco CTL クライアントをインストールした Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンが挿入されていなければ挿入します。

ステップ 3 Start > Programs > etoken > Etoken Properties の順に選択します。次に、 etoken を右クリックし、 Change etoken password を選択します。

ステップ 4 Current Password フィールドに、最初に作成したトークン パスワードを入力します。

ステップ 5 新しいパスワードを入力します。

ステップ 6 確認のため、新しいパスワードを再入力します。

ステップ 7 OK をクリックします。


 

追加情報

「CTL セキュリティ トークンのトラブルシューティング」を参照してください。

詳細については、「関連項目」を参照してください。

Cisco IP Phone 上の CTL ファイルの削除


注意 セキュアな実験室環境でこの作業を実行することをお勧めします。特に、クラスタ内の Cisco CallManager サーバから CTL ファイルを削除する予定がない場合にお勧めします。

次の状況が発生した場合は、Cisco IP Phone 上の CTL ファイルを削除してください。

CTL ファイルに署名したセキュリティ トークンをすべて紛失した。

CTL ファイルに署名したセキュリティ トークンが漏洩した。

IP Phone をセキュア クラスタから、ストレージ領域、ノンセキュア クラスタ、または異なるドメインの別のセキュア クラスタへと移動する。

IP Phone を、未知のセキュリティ ポリシーを持つ領域からセキュア クラスタへと移動する。

代替 TFTP サーバ アドレスを、CTL ファイル内に存在しないサーバへと変更する。

Cisco IP Phone 上の CTL ファイルを削除するには、 表3-3 の作業を実行します。

 

表3-3 Cisco IP Phone 上の CTL ファイルの削除

Cisco IP Phone モデル
作業

Cisco IP Phone 7960
および 7940

IP Phone 上の Security Configuration メニューにある、 CTL file unlock または **# 、および erase を押します。

Cisco IP Phone 7970

次の方法のどちらかを実行します。

Security Configuration メニューのロックを解除します(『 Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager 』を参照)。CTL オプションの下にある Erase ソフトキーを押します。

Settings メニューにある Erase ソフトキーを押します。


) Settings メニューにある Erase ソフトキーを押すと、CTL ファイル以外の情報も削除されます。詳細については、『Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager』を参照してください。


 

追加情報

詳細については、「関連項目」を参照してください。

Cisco CTL クライアントのバージョンの特定

使用している Cisco CTL クライアントのバージョンを特定するには、次の手順を実行します。

手順


ステップ 1 次の作業のどちらかを実行します。

デスクトップ上の Cisco CTL Client アイコンをダブルクリックします。

Start > Programs > Cisco CTL Client の順に選択します。

ステップ 2 Cisco CTL クライアント ウィンドウの左上隅にあるアイコンをクリックします。

ステップ 3 About Cisco CTL Client を選択します。クライアントのバージョンが表示されます。


 

追加情報

詳細については、「関連項目」を参照してください。

Cisco CTL クライアントの確認とアンインストール

Cisco CTL クライアントをアンインストールしても、CTL ファイルは削除されません。同様に、クライアントをアンインストールしても、クラスタ全体のセキュリティ モードと CTL ファイルは変更されません。必要であれば、CTL クライアントをアンインストールし、クライアントを別の Windows ワークステーションまたはサーバにインストールして、同じ CTL ファイルを引き続き使用することができます。

Cisco CTL クライアントがインストールされていることを確認するには、次の手順を実行します。

手順


ステップ 1 Start > Control Panel > Add Remove Programs の順に選択します。

ステップ 2 Add Remove Programs をダブルクリックします。

ステップ 3 クライアントがインストールされていることを確認するには、 Cisco CTL Client を見つけます。

ステップ 4 クライアントを削除するには、 Remove をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

その他の情報

関連項目

「システム要件」

「Cisco CTL クライアントの概要」

「Cisco CTL クライアントの設定用チェックリスト」

「Cisco CTL Provider サービスのアクティブ化」

「Cisco CAPF サービスのアクティブ化」

「TLS 接続用ポートの設定」

「Cisco CTL クライアントのインストール」

「Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行」

「Cisco CTL クライアントの設定」

「CTL ファイルの更新」

「CTL ファイル エントリの削除」

「クラスタ全体のセキュリティ モードの更新」

「Cisco CTL クライアントの設定内容」

「Cisco CallManager クラスタのセキュリティ モードの確認」

「Smart Card サービスの Started および Automatic への設定」

「Cisco IP Phone 上の CTL ファイルの削除」

「Cisco CTL クライアントのバージョンの特定」

「Cisco CTL クライアントの確認とアンインストール」

「Certificate Authority Proxy Function の使用方法」

「CTL セキュリティ トークンのトラブルシューティング」

シスコの関連マニュアル

Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager