Cisco CallManager セキュリティ ガイド Release 5.0(1)
Certificate Authority Proxy Function の使用方法
Certificate Authority Proxy Function の使用方法
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Certificate Authority Proxy Function の使用方法

Certificate Authority Proxy Function の概要

Cisco IP Phone と CAPF の対話

CAPF システムの対話および要件

Cisco CallManager Serviceability での CAPF の設定

CAPF の設定用チェックリスト

Certificate Authority Proxy Function サービスのアクティブ化

CAPF サービス パラメータの更新

CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除

Phone Configuration ウィンドウの CAPF 設定

LSC ステータスまたは認証文字列に基づく電話機の検索

CAPF レポートの生成

電話機での認証文字列の入力

その他の情報

Certificate Authority Proxy Function の使用方法

この章は、次の内容で構成されています。

「Certificate Authority Proxy Function の概要」

「Cisco IP Phone と CAPF の対話」

「CAPF システムの対話および要件」

「Cisco CallManager Serviceability での CAPF の設定」

「CAPF の設定用チェックリスト」

「Certificate Authority Proxy Function サービスのアクティブ化」

「CAPF サービス パラメータの更新」

「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」

「Phone Configuration ウィンドウの CAPF 設定」

「LSC ステータスまたは認証文字列に基づく電話機の検索」

「CAPF レポートの生成」

「電話機での認証文字列の入力」

「その他の情報」

Certificate Authority Proxy Function の概要

Certificate Authority Proxy Function (CAPF)は Cisco CallManager と共に自動的にインストールされ、設定に応じて次のタスクを実行します。

既存の Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)、Locally Significant Certificate(LSC; ローカルで有効な証明書)、ランダム生成された認証文字列、または安全性の低いオプションの「null」認証によって認証する。

ローカルで有効な証明書を、サポートされている Cisco IP Phone モデルに対して発行する。

電話機にある既存のローカルで有効な証明書をアップグレードする。

電話機の証明書を表示およびトラブルシューティングするために取得する。

製造元でインストールされる証明書によって認証する。

Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有な鍵のペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、Cisco IPT Platform GUI で、CAPF 証明書を表示します。

Cisco IP Phone と CAPF の対話

CAPF と対話するとき、電話機は認証文字列、既存の MIC または LAC 証明書、または「null」を使用して CAPF に対して自分を認証し、公開鍵と秘密鍵のペアを生成し、署名付きメッセージで公開鍵を CAPF サーバに転送します。秘密鍵はそのまま電話機に残り、外部に公開されることはありません。CAPF は、電話機証明書に署名し、その証明書を署名付きメッセージで電話機に返送します。

次の情報は、通信または電源の障害が発生した場合に適用されます。

電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。これらの値は設定することができません。

電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合に当たります。証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。


ヒント 電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。



ヒント 鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。鍵生成の完了には 30 分以上かかります。

証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。

証明書用に 2048 ビットの鍵を選択すると、電話機の起動およびフェールオーバー中に電話機、Cisco CallManager、および保護された SRST 対応ゲートウェイとの間で接続を確立するのに 60 秒以上かかる場合があります。最高のセキュリティ レベルを必要としている場合を除き、2048 ビットの鍵は設定しないでください。


次に、ユーザまたは Cisco CallManager によって電話機がリセットされたときに CAPF が Cisco IP Phone 7960 および 7940 とどのように相互対話するかについて説明します。


) 次の例では、LSC が電話機内にまだ存在しない場合や、CAPF Authentication Mode に By Existing Certificate が選択されている場合に、CAPF 証明書操作が失敗します。


例:ノンセキュアの Device Security Mode

この例では、Device Security Mode を Nonsecure に、CAPF Authentication Mode を By Null String または By Existing Certificate (Precedence...) に設定した後に電話機がリセットされます。電話機は、リセット後すぐにプライマリ Cisco CallManager に登録し、設定ファイルを受け取ります。次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。LSC のインストール後、電話機は Device Support Mode を Authenticated または Encrypted に設定します。

例:認証済みまたは暗号化済みの Device Security Mode

この例では、Device Security Mode を Authenticated または Encrypted に、CAPF Authentication Mode を By Null String または By Existing Certificate (Precedence...) に設定した後に電話機がリセットされます。CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco CallManager に登録しません。セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。

この例では、電話機は CAPF サーバに自動的に接続しないので、By Authentication String を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。

CAPF システムの対話および要件

CAPF には、次の要件があります。

CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。

このリリースの Cisco CallManager は、SCEP または Microsoft CA や Keon CA などサードパーティの CA 署名付き LSC 証明書をサポートしません。サードパーティ証明書のサポートは、将来のリリースで予定されています。現在、サードパーティ CA を使用している場合は、5.0 に移行する前に、有効期間が長い(6 か月以上の)証明書を再発行し、サードパーティ証明書がサポートされる前に失効しないようにしてください。

証明書のアップグレードまたはインストール操作で、電話機に対して CAPF 認証方式を By Authentication String にした場合、操作後に同じ認証文字列を電話機に入力する必要があります。入力しなかった場合、操作が失敗します。TFTP Encrypted Configuration エンタープライズ パラメータが有効で、認証文字列を入力しなかった場合、電話機に障害が発生し、電話機に入力された認証文字列が一致するまで復帰しないことがあります。

スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。

Cisco CallManager 5.0(1) クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。

証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。

証明書操作の間、電話機が正しく機能していることを確認します。


ヒント Cisco IP Telephony Backup and Restore System (BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは、Cisco CallManager によって情報が Cisco CallManager データベースに格納されるためです。

Cisco CallManager Serviceability での CAPF の設定

次の作業を Cisco CallManager Serviceability で実行します。

Cisco Certificate Authority Proxy Function サービスをアクティブにする。

CAPF 用のトレース設定を行う。

詳細については、Cisco CallManager Serviceability のマニュアルを参照してください。

CAPF の設定用チェックリスト

表6-1 に、ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合に実行する作業のリストを示します。

 

表6-1 CAPF の設定用チェックリスト

設定手順
関連手順および関連項目

ステップ 1

ローカルで有効な証明書が電話機に存在するかどうかを判別します。

CAP 1.0(1) データを Cisco CallManager 4.0 パブリッシャ データベース サーバにコピーする必要があるかどうかを判別します。

ヒント Cisco CallManager 4.0 で CAPF ユーティリティを使用していて、CAPF データが Cisco CallManager 5.0(1) データベースに存在することを確認した場合は、Cisco CallManager 4.0 で使用していた CAPF ユーティリティを削除できます。

 

使用している電話機モデルと、このバージョンの Cisco CallManager をサポートする電話機のマニュアル

Cisco IP Telephony Data Migration Assistant 2.0 User Guide

ステップ 2

Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。

ヒント このサービスは、すべての CAPF 操作時に実行されている必要があります。またこのサービスは、CTL ファイルに CAPF 証明書を組み込むために、Cisco CTL クライアントでも実行されている必要があります。

 

「Certificate Authority Proxy Function サービスのアクティブ化」

ステップ 3

Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。

「Cisco CTL クライアントの設定」

ステップ 4

必要に応じて、CAPF サービス パラメータを更新します。

「CAPF サービス パラメータの更新」

「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」

ステップ 5

電話機のローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、
Cisco CallManager Administration を使用します。

「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」

「Phone Configuration ウィンドウの CAPF 設定」

「LSC ステータスまたは認証文字列に基づく電話機の検索」

ステップ 6

証明書の操作が必要な場合は、認証文字列を電話機に入力します。

「電話機での認証文字列の入力」

Certificate Authority Proxy Function サービスのアクティブ化

Cisco CallManager 5.0(1) では、Cisco CallManager Serviceability で Certificate Authority Proxy Function サービスが自動的にアクティブになりません。

このサービスは、最初のノードでのみアクティブにします。 Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、 「CTL ファイルの更新」 の説明に従って CTL ファイルを更新する必要があります。

サービスをアクティブにするには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Serviceability で Tools > Service Activation の順に選択します。

ステップ 2 Servers ドロップダウン リスト ボックスから、Certificate Authority Proxy Function サービスをアクティブにするサーバを選択します。

ステップ 3 Certificate Authority Proxy Function チェックボックスをオンにします。

ステップ 4 Save をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

CAPF サービス パラメータの更新

CAPF Service Parameter ウィンドウには、証明書の有効年数、システムによる鍵生成の最大再試行回数、鍵のサイズなどの情報が表示されます。

CAPF サービス パラメータが、Cisco CallManager Administration で Active ステータスとして表示されるようにするには、「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って Certificate Authority Proxy Function サービスをアクティブにする必要があります。

CAPF サービス パラメータを更新するには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Administration で、 System > Service Parameters の順に選択します。

ステップ 2 Server ドロップダウン リスト ボックスから、最初のノードを選択します。

ステップ 3 Service ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。

ステップ 4 パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。


) CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。


ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。


 

追加情報

詳細については、「関連項目」を参照してください。

CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除

CAPF を使用するときに、 表6-2 を参照してください。

Certificate Authority Proxy Function を使用するには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。

ステップ 2 検索結果が表示された後、証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を見つけて、その電話機の Device Name (Line) リンクをクリックします。

ステップ 3 表6-2 の説明に従って、設定内容を入力します。

ステップ 4 Save をクリックします。

ステップ 5 Reset をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

Phone Configuration ウィンドウの CAPF 設定

表6-2 は、Cisco CallManager Administration の Phone Configuration ウィンドウにある CAPF 設定について説明しています。関連する手順については、「関連項目」を参照してください。

 

表6-2 CAPF 設定

設定
説明

Certificate Operation

ドロップダウン ボックスから、次のオプションのいずれか 1 つを選択します。

No Pending Operation :証明書の操作が発生しないときに表示されます(デフォルトの設定)。

Install/Upgrade :電話機にローカルで有効な証明書を新しくインストールするか、あるいは既存の証明書をアップグレードします。

Delete :電話機に存在するローカルで有効な証明書を削除します。

Troubleshoot :ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)を取得します。取得することで、CAPF トレース ファイルで証明書のクレデンシャルを確認できます。電話機に両方の種類の証明書が存在する場合、Cisco CallManager は証明書の種類ごとに 1 つずつ、2 つのトレース ファイルを作成します。

Troubleshoot オプションを選択すると、LSC または MIC が電話機に存在することを確認できます。

ヒント 電話機に証明書が存在しない場合、Delete オプションと Troubleshoot オプションは表示されません。

 

Authentication String

By Authentication String オプションを選択した場合に、このフィールドは適用されます。文字列を手動で入力するか、あるいは Generate String ボタンをクリックして文字列を生成します。文字列は 4 ~ 10 桁にしてください。

ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、電話機ユーザまたは管理者が電話機に認証文字列を入力する必要があります。

Generate String

CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。4 ~ 10 桁の認証文字列が Authentication String フィールドに表示されます。

Operation Completes by

このフィールドは、すべての証明書操作オプションをサポートし、操作を完了する必要がある期限の日付と時刻を指定します。

表示される値は、最初のノードに適用されます。

Operation Status

このフィールドは証明書操作の進行状況を表示します。たとえば、
<operation type> pending、failed、successful などで、operating type には証明書操作オプションの Install/Upgrade、Delete、または Troubleshoot が表示されます。このフィールドに表示される情報は変更できません。

LSC ステータスまたは認証文字列に基づく電話機の検索

証明書操作ステータスまたは認証文字列に基づいて電話機を検索するには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。

ステップ 2 Find Phone where ドロップダウン リスト ボックスから、次のオプションのいずれか 1 つを選択します。

LSC Status :このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。

Authentication String :このオプションを選択すると、Authentication String フィールドで指定された認証文字列を持つ電話機のリストが返されます。

ステップ 3 必要に応じて、Find Phone Where ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択して LSC ステータスまたは認証文字列の追加の検索基準を指定し、特定の検索基準を入力します。

ステップ 4 検索基準を指定した後、 Find をクリックします。


ヒント 検索結果内の追加情報を検索するには、Search Within Results チェックボックスをオンにして、検索基準を入力し、Find をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

CAPF レポートの生成

必要に応じて CAPF レポートを生成し、証明書操作のステータス、認証文字列、セキュリティ プロファイル、認証モードなどを表示できます。レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどが含まれます。

CAPF レポートを生成するには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。

Find/List ウィンドウが表示されます。

ステップ 2 Find Phone Where ドロップダウン リスト ボックスで、次のオプションのいずれか 1 つを選択します。

Device Name

Device Description

LSC Status

Authentication String

Security Profile


ヒント 必要に応じて、Find Phone Where ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択して追加の検索基準を指定し、特定の検索基準を入力します。

検索結果が表示されます。


ヒント 検索結果内の追加情報を検索するには、Search Within Results チェックボックスをオンにして、検索基準を入力し、Find をクリックします。

ステップ 3 Related Links ドロップダウン リスト ボックスで、 CAPF Report in File を選択し、 Go をクリックします。

ステップ 4 ファイルを任意の場所に保存します。

ステップ 5 Microsoft Excel を使用して .csv ファイルを開きます。


 

追加情報

詳細については、「関連項目」を参照してください。

電話機での認証文字列の入力

By Authentication String モードを選択して Cisco CallManager で認証文字列を生成した場合、ローカルで有効な証明書をインストールする前に、電話機に認証文字列を入力する必要があります。


ヒント 認証文字列は 1 回の使用に限って適用されます。Phone Configuration ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。電話機に認証文字列を入力する方法の詳細については、使用している電話機モデルおよびこのバージョンの Cisco CallManager をサポートする電話機のマニュアルを参照してください。


電話機に認証文字列を入力する前に、次の条件を満たしていることを確認します。

CAPF 証明書が CTL ファイル内に存在する。

「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って、Cisco Certificate Authority Proxy Function サービスをアクティブにした。

最初のノードが実行中で、機能している。証明書のインストールごとにサーバが実行していることを確認します。

署名付きイメージが電話機に存在する。使用している電話機モデルをサポートする Cisco IP Phone の管理マニュアルを参照してください。

追加情報

詳細については、「関連項目」を参照してください。

その他の情報

関連項目

「Certificate Authority Proxy Function の概要」

「Cisco IP Phone と CAPF の対話」

「CAPF システムの対話および要件」

「Cisco CallManager Serviceability での CAPF の設定」

「CAPF の設定用チェックリスト」

「Certificate Authority Proxy Function サービスのアクティブ化」

「CAPF サービス パラメータの更新」

「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」

「Phone Configuration ウィンドウの CAPF 設定」

「LSC ステータスまたは認証文字列に基づく電話機の検索」

「CAPF レポートの生成」

「電話機での認証文字列の入力」

シスコの関連マニュアル

Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager

Cisco CallManager Serviceability のマニュアル