Cisco Unified Communications オペレーティング システム アドミニストレーション ガイド リリース 9.1(1)
セキュリティ証明書の管理
セキュリティ証明書の管理
発行日;2013/04/23   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

セキュリティ証明書の管理

オペレーティング システムのセキュリティ オプションを使用すると、次の 2 つの方法でセキュリティ証明書を管理できます。

  • [証明書の管理(Certificate Management)]:証明書、証明書信頼リスト(CTL)、および証明書署名要求(CSR)を管理します。 証明書の表示、アップロード、ダウンロード、削除、および再作成を行うことができます。
  • [証明書モニタ(Certificate Monitor)]:サーバの証明書の有効期限をモニタできます。

証明書および証明書信頼リストの管理

証明書の表示

はじめる前に

[セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理に再度サインインする必要があります。

手順
    ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
    ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
    ステップ 3   次のいずれかの操作を実行します。

    目的

    操作

    証明書リストのフィルタリング

    検索条件を入力し、次のように [検索(Find)] コントロールを使用します。
    • レコードをフィルタリングまたは検索するには、次のいずれかの操作を実行します。
      • 最初のリスト ボックスから検索パラメータを選択します。
      • 2 番目のリスト ボックスから検索パターンを選択します。
    • [検索(Find)] を選択します。

    証明書または信頼ストアの詳細を表示する

    証明書の .PEM または .DER ファイル名を選択します。

    [証明書の一覧(Certificate List)] ウィンドウに戻ります。

    • [関連リンク(Related Links)] リストで [検索/一覧表示に戻る(Back to Find/List)] を選択します。
    • [移動(Go)] を選択します。

    証明書または証明書信頼リストのダウンロード

    はじめる前に

    [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理に再度サインインする必要があります。

    手順
      ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
      ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
      ステップ 3   必要に応じて、[検索(Find)] コントロールを使用して、証明書の一覧を次のようにフィルタリングします。
      1. レコードをフィルタリングまたは検索するには、次のいずれかの操作を実行します。
        • 最初のリスト ボックスから検索パラメータを選択します。
        • 2 番目のリスト ボックスから検索パターンを選択します。
        • 必要に応じて、適切な検索テキストを指定します。
      2. [検索(Find)] を選択します。
      ステップ 4   証明書または CTL のファイル名を選択します。
      ステップ 5   [ダウンロード(Download)] を選択します。

      証明書の削除

      削除できる証明書は、信頼できる証明書だけです。 システムで生成される自己署名証明書は削除できません。


      注意    


      証明書を削除すると、システムの動作に影響する場合があります。 [証明書の一覧(Certificate List)] から選択する証明書に既存の CSR がある場合、システムから削除されるので、新しい CSR を生成する必要があります。


      はじめる前に

      [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理に再度サインインする必要があります。

      手順
        ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
        ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
        ステップ 3   必要に応じて、[検索(Find)] コントロールを使用して、証明書の一覧を次のようにフィルタリングします。
        1. レコードをフィルタリングまたは検索するには、次のいずれかの操作を実行します。
          • 最初のリスト ボックスから検索パラメータを選択します。
          • 2 番目のリスト ボックスから検索パターンを選択します。
          • 必要に応じて、適切な検索テキストを指定します。
        2. [検索(Find)] を選択します。
        ステップ 4   証明書または CTL のファイル名を選択します。
        ステップ 5   [削除(Delete)] を選択します。

        証明書の再作成

        再作成できる証明書は、「cer」というタイプの証明書だけです。


        注意    


        証明書を再作成すると、システムの動作に影響する場合があります。


        はじめる前に

        [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理に再度サインインする必要があります。

        手順
          ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
          ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
          ステップ 3   [新規作成(Generate New)] を選択します。
          ステップ 4   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
          表 1 証明書の名前と説明

          名前

          説明

          tomcat

          この自己署名ルート証明書は、HTTPS サーバのインストール中に生成されます。

          ipsec

          この自己署名ルート証明書は、セキュア IPSec サーバ接続のインストール中に生成されます。

          cup

          この自己署名ルート証明書は、IM and Presence サーバのインストール中に生成されます。

          cup-xmpp

          この自己署名ルート証明書は、IM and Presence サーバのインストール中に生成されます。

          cup-xmpp-s2s

          この自己署名ルート証明書は、IM and Presence サーバのインストール中に生成されます。

          (注)     

          cup-xmpp-s2s の信頼証明書は、一般的な XMPP 信頼証明書とともに cup-xmpp-trust に保存されます。

          ステップ 5   [新規作成(Generate New)] を選択します。
          ステップ 6   IM and Presence クラスタで、Tomcat 証明書をアップロードまたは再作成した後で Tomcat Web サーバを再起動します。

          証明書または証明書信頼リストのアップロード


          注意    


          新しい証明書ファイルまたは証明書信頼リスト(CTL)ファイルをアップロードすると、システムの動作に影響する場合があります。


          はじめる前に
          • 信頼証明書は他のクラスタ ノードに自動的には配信されません。 複数のノードで同じ証明書が必要な場合は、証明書を各ノードに個別にアップロードする必要があります。
          • [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理からサインアウトして、再度サインインする必要があります。
          手順
            ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
            ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
            ステップ 3   [証明書のアップロード(Upload Certificate)] を選択します。
            ステップ 4   [証明書の名前(Certificate Name)] リストから証明書または CTL の名前を選択します。
            ステップ 5   次のいずれかの操作を実行して、アップロードするファイルを選択します。
            1. [ファイルのアップロード(Upload File)] テキスト ボックスにファイルのパスを入力します。
            2. [参照(Browse)] を選択して、ファイルに移動します。
            3. [開く(Open)] を選択します。
            ステップ 6   [ファイルのアップロード(Upload File)] を選択して、サーバにファイルをアップロードします。
            ステップ 7   新しい証明書の影響を受けるサービスを再起動します。

            ディレクトリの信頼証明書のアップロード

            手順
              ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
              ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
              ステップ 3   [証明書のアップロード(Upload Certificate)] を選択します。
              ステップ 4   [証明書の名前(Certificate Name)] リストから、[ディレクトリの信頼性(directory-trust)] を選択します。
              ステップ 5   アップロードするファイルを [ファイルのアップロード(Upload File)] フィールドに入力します。
              ステップ 6   [ファイルのアップロード(Upload File)] を選択します。
              ステップ 7   Cisco Unified IM and Presence のサービスアビリティにサインインします。
              ステップ 8   [ツール(Tools)] > [コントロール センターの機能サービス(Control Center - Feature Services)] を選択します。
              ステップ 9   Cisco Dirsync サービスを再起動します。
              ステップ 10   Cisco Unified IM and Presence オペレーティング システムの管理の CLI に管理者としてサインインします。
              ステップ 11   utils service restart Cisco Tomcat コマンドを入力して、Tomcat サービスを再起動します。
              ステップ 12   サービスの再起動後、SSL のディレクトリ契約を追加することができます。

              証明書の失効の設定

              OCSP を使用して、証明書の失効ステータスを取得できます。 OCSP を設定するには、次の手順を実行します。

              はじめる前に

              OCSP を有効にする前に、tomcat-trust にオンライン証明書ステータス プロトコル(OCSP)レスポンダ証明書をアップロードする必要があります。

              手順
                ステップ 1   [セキュリティ(Security)] > [証明書失効(Certificate Revocation)] を選択します。

                [証明書失効(Certificate Revocation)] ウィンドウが表示されます。

                ステップ 2   [オンライン証明書ステータス プロトコルの設定(Online Certificate Status Protocol Configuration)] 領域で [OCSP の有効化(Enable OCSP)] チェックボックスをオンにします。
                ステップ 3   次のいずれかのオプションを選択します。
                オプション 説明
                証明書の OCSP URI を使用(Use OCSP URI from Certificate)

                証明書が OCSP URI を使用して設定されていて、OCSP レスポンダに連絡するために使用される場合は、このオプションを選択します。

                証明書に OCSP URI があることを確認するには、次の手順を実行します。

                1. [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                2. [検索(Find)] フィルタを使用して証明書を検索します。
                3. 証明書の .PEM ファイルまたは .DER ファイルのリンクを選択します。
                4. [証明書の設定(Certificate Configuration)] ウィンドウで、Extension:AuthorityInfoAccessSyntax のエントリがあり、accessLocation URL が設定されていることを確認します。
                設定済みの OCSP URI を使用(Use configured OCSP URI)

                外部または設定済みの URI が OCSP レスポンダに接続するために使用される場合は、このオプションを選択します。 [OCSP の設定済み URI(OCSP Configured URI)] フィールドに、証明書失効ステータスが確認されている、OCSP レスポンダの URI を入力します。

                ステップ 4   [保存(Save)] を選択します。

                証明書失効ステータス チェックは、証明書または証明書チェーンのアップロード時にのみ実行されます。 証明書が失効している場合、適切なアラームが表示されます。


                サードパーティの CA 証明書

                Cisco Unified オペレーティング システムは、サード パーティの認証局(CA)が PKCS # 10 証明書署名要求(CSR)によって発行した証明書をサポートしています。

                サード パーティの CA が発行するアプリケーション証明書を使用するには、署名付きのアプリケーション証明書と CA ルート証明書の両方を CA から取得する必要があります。 これらの証明書の取得に関する情報は、CA から入手してください。 入手の手順は、CA によって異なります。

                CAPF および IM and Presence の証明書署名要求(CSR)には、CA からのアプリケーション証明書要求に含める必要がある拡張情報が含まれています。 CA が拡張要求メカニズムをサポートしていない場合は、CSR 生成プロセスの最後のページに表示される X.509 拡張を有効にする必要があります。

                Cisco Unified オペレーティング システムでは、証明書は DER および PEM エンコード形式で、CSR は PEM エンコード形式で生成されます。 また、DER および DER エンコード形式の証明書を受け入れます。

                シスコは、Microsoft、Keon、および Verisign の CA から取得したサード パーティの証明書を検証済みです。 他の CA からの証明書は機能する可能性はありますが、検証されていません。

                サード パーティの証明書プロセスの管理

                この手順では、サード パーティの証明書プロセスの概要を順序に従って説明します。

                 

                タスク

                詳細情報

                ステップ 1

                サーバに CSR を作成します。

                証明書署名要求の作成を参照してください。

                ステップ 2

                CSR を PC にダウンロードします。

                証明書署名要求のダウンロードを参照してください。

                ステップ 3

                CSR を使用して、CA からアプリケーション証明書を取得します。

                アプリケーション証明書の取得に関する情報は、CA から入手してください。

                ステップ 4

                CA ルート証明書を取得します。

                ルート証明書の取得に関する情報は、CA から入手してください。

                ステップ 5

                CA ルート証明書をサーバにアップロードします。

                証明書または証明書信頼リストのアップロードを参照してください。

                ステップ 6

                アプリケーション証明書をサーバにアップロードします。

                証明書または証明書信頼リストのアップロードを参照してください。

                ステップ 7

                CAPF または IM and Presence の証明書を更新した場合は、新しい CTL ファイルを作成します。

                証明書または証明書信頼リストのアップロードを参照してください。

                ステップ 8

                新しい証明書の影響を受けるサービスを再起動します。

                すべての証明書タイプで、対応するサービスを再起動します(たとえば、Tomcat の証明書を更新した場合は Tomcat サービスを再起動します)。

                サービスの再起動については、『Cisco Unified Serviceability Administration Guide』を参照してください。

                証明書署名要求の作成

                はじめる前に
                • [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理に再度サインインする必要があります。
                • Cisco Unified IM and Presence オペレーティング システムの現行リリースでは、[証明書の名前(Certificate Name)] リストの [ディレクトリ(Directory)] オプションは使用できなくなりました。 ただし、DirSync サービスをセキュア モードで実行する場合に必要となるディレクトリの信頼証明書は、以前のリリースからアップロードできます。
                手順
                  ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
                  ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                  ステップ 3   [CSR の作成(Generate CSR)] を選択します。
                  ステップ 4   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                  ステップ 5   [CSR の作成(Generate CSR)] を選択します。

                  証明書署名要求のダウンロード

                  はじめる前に

                  [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified IM and Presence オペレーティング システムの管理に再度サインインする必要があります。

                  手順
                    ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
                    ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                    ステップ 3   [CSR のダウンロード(Download CSR)] を選択します。
                    ステップ 4   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                    ステップ 5   [CSR のダウンロード(Download CSR)] を選択します。

                    証明書の有効期限日のモニタ

                    証明書の有効期限日が近づいたときに、システムから自動的に電子メールを送信できます。

                    手順
                      ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
                      ステップ 2   [セキュリティ(Security)] > [証明書モニタ(Certificate Monitor)] を選択して、現在の証明書有効期限モニタの設定を表示します。
                      ステップ 3   [通知開始時期(Notification Start Time)] フィールドに、日数を入力し、証明書が期限切れになる何日前に通知を受信するか指定します。
                      ステップ 4   [通知の頻度(Notification Frequency)] フィールドに、時間または日単位で通知の頻度を入力します。
                      ステップ 5   電子メール通知を有効にする場合は、[メール通知の有効化(Enable E-mail notification)] チェックボックスをオンにします。
                      ステップ 6   [メール ID(E-mail IDs)] フィールドに、通知の送信先電子メール アドレスを入力します。
                      (注)     

                      システムから通知を送信するには、SMTP ホストを設定する必要があります。