Cisco Unified Communications Manager Release 9.0(1) の IM and Presence サービスに対するドメイン間フェデレーション
Cisco Adaptive Security Appliance(ASA)による SIP フェデレーション セキュリティ証明書の設定
Cisco Adaptive Security Appliance(ASA)による SIP フェデレーション セキュリティ証明書の設定
発行日;2013/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

Cisco Adaptive Security Appliance(ASA)による SIP フェデレーション セキュリティ証明書の設定


(注)  


IM and Presence Release 9.0(1) 以降では、Microsoft Lync とのドメイン間フェデレーションがサポートされています。 OCS とのドメイン間フェデレーションへの参照には、別途明示的な指定がない限り、Microsoft Lync が指定されます。


IM and Presence と Cisco Adaptive Security Appliance(ASA)の間でのセキュリティ証明書交換

Cisco Adaptive Security Appliance(ASA)でのキー ペアおよびトラストポイントの作成

この証明書に対してキー ペア(例、cup_proxy_key)を作成し、Cisco Adaptive Security Appliance(ASA)から IM and Presenceへの自己署名証明書を識別するトラストポイント(例、cup_proxy)を設定する必要があります。 Cisco Adaptive Security Appliance(ASA)で自己署名証明書を作成していることを示すために登録タイプを [セルフ(Self)] と指定するとともに、証明書のサブジェクト名にインターフェイス内の IP アドレスを指定する必要があります。

はじめる前に

次の章に記載されている設定タスクを実行したことを確認します。

手順
    ステップ 1   Cisco Adaptive Security Appliance(ASA)で、次のコマンドを入力します。
    >Enable >password
    >config t
    
    ステップ 2   次のコマンドを入力して、この証明書のキー ペアを生成します。
    crypto key generate rsa label cup_proxy_key modulus 1024
    ステップ 3   次の一連のコマンドを入力して、IM and Presence のトラストポイントを作成します。
    crypto ca trustpoint <name of trustpoint e.g.cup_proxy>
    (config-ca-trustpoint)# enrollment self
    (config-ca-trustpoint)# fqdn none
    (config-ca-trustpoint)# subject-name cn=<ASA inside interface ip address>
    (config-ca-trustpoint)# keypair cup_proxy_key
    

    トラブルシューティングのヒント

    show crypto key mypubkey rsa コマンドを入力して、キー ペアが生成されていることを確認します。


    次の作業

    Cisco Adaptive Security Appliance(ASA)での自己署名証明書の作成

    Cisco Adaptive Security Appliance(ASA)での自己署名証明書の作成

    はじめる前に
    手順
      ステップ 1   次のコマンドを入力して、自己署名証明書を作成します。
      (config-ca-trustpoint)# crypto ca enroll <name of trustpoint e.g.cup_proxy>
      
      ステップ 2   サブジェクト名にデバイスのシリアル番号を含めることを確認するメッセージが表示されたら、no と入力します。
      ステップ 3   自己署名証明書を作成するよう求めるプロンプトに対して、yes で応答します。
      ステップ 4   次のコマンドを入力して、IM and Presence にエクスポートする証明書を作成します。
      crypto ca export cup_proxy identity-certificate

      これによって、たとえば、PEM でエンコードされたアイデンティティ証明書が画面に表示されます。

      -----BEGIN CERTIFICATE-----MIIBnDCCAQWgAwIBAgIBMTANBgkqhkiG9w0BAQQFADAUMRIwEAYDVQQDEwlDVVAt……..
      -----END CERTIFICATE-----
      
      ステップ 5   Cisco Adaptive Security Appliance(ASA)証明書の内容全体をコピーし、ワードパッドかメモ帳のファイル(.pem の拡張子を付ける)に貼り付けます。
      ステップ 6   .pem ファイルをローカル マシンに保存します。

      次の作業

      自己署名証明書の IM and Presence へのインポート

      自己署名証明書の IM and Presence へのインポート

      手順
        ステップ 1   IM and Presence[Cisco Unified IM and Presence オペレーティングシステムの管理(Cisco Unified IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] の順に選択します。
        ステップ 2   [Upload Certificate] をクリックします。
        ステップ 3   [証明書の名前(Certificate Name)] として cup-trust を選択します。
        (注)     

        ルート名のフィールドは空白のままにしておきます。

        ステップ 4   [参照(Browse)] をクリックし、ローカル コンピュータで(前の手順で作成した)Cisco Adaptive Security Appliance(ASA)の .pem 証明書ファイルを特定します。
        ステップ 5   [ファイルのアップロード(Upload File)] をクリックして、証明書を IM and Presence サーバにアップロードします。

        トラブルシューティングのヒント

        証明書の一覧で、<asa ip address>.pem と <asa ip address>.der を検索すると、見つかります。


        次の作業

        IM and Presence での証明書の新規作成

        IM and Presence での証明書の新規作成

        はじめる前に

        自己署名証明書の IM and Presence へのインポート の手順を実行します。

        手順
          ステップ 1   IM and Presence[Cisco Unified IM and Presence オペレーティングシステムの管理(Cisco Unified IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] の順に選択します。
          ステップ 2   [新規作成(Generate New)] をクリックします。
          ステップ 3   証明書の名前として cup を選択します。

          次の作業

          IM and Presence 証明書の Cisco Adaptive Security Appliance(ASA)へのインポート

          IM and Presence 証明書の Cisco Adaptive Security Appliance(ASA)へのインポート

          IM and Presence の証明書を Cisco Adaptive Security Appliance(ASA)にインポートするには、IM and Presence で、インポートされた証明書を識別するトラストポイント(例、cert_from_cup)を作成するとともに、受信した証明書を IM and Presence からターミナルに貼り付けることを示す [ターミナル(Terminal)] を登録タイプに指定する必要があります。


          (注)  


          IM and PresenceCisco Unified Communications Manager および Cisco Adaptive Security Appliance(ASA) サーバは、すべて同じ NTP ソースと同期しておく必要があります。


          はじめる前に
          • IM and Presence での証明書の新規作成の手順を実行します。
          • この手順を実行するには、UNIX 対応のテキスト エディタが必要です。 Microsoft ワードパッド、バージョン 5.1 または Microsoft メモ帳、バージョン 5.1 Service Pack 2 を推奨します。
          手順
            ステップ 1   設定モードで、次のように入力します。
            >Enable >password
            >config t
            
            ステップ 2   次のコマンド シーケンスを入力して、インポートした IM and Presence 証明書のトラストポイントを作成します。
            crypto ca trustpoint cert_from_cupenrollment terminal
            
            ステップ 3   次のコマンドを入力して、IM and Presence から証明書をインポートします。
            crypto ca authenticate cert_from_cup
            ステップ 4   IM and Presence[Cisco Unified IM and Presence オペレーティングシステムの管理(Cisco Unified IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] の順に選択します。
            ステップ 5   [検索(Find)] をクリックします。
            ステップ 6   前の手順で作成した IM and Presence 証明書を特定します。
            ステップ 7   [ダウンロード(Download)] をクリックします。
            ステップ 8   推奨されているテキスト エディタの 1 つを使用して、cup.pem ファイルを開きます。
            ステップ 9   cup.pem の内容を切り取って、[Cisco Adaptive Security Appliance] プロンプト ウィンドウに貼り付けます。
            ステップ 10   quit を入力します。
            ステップ 11   証明書の承認を確認するメッセージが表示されたら、y と入力します。

            トラブルシューティングのヒント

            証明書を表示するには、show crypto ca certificate コマンドを実行します。


            次の作業

            Microsoft CA を使用した Cisco Adaptive Security Appliance(ASA)と Microsoft アクセス エッジ(外部インターフェイス)の間でのセキュリティ証明書交換

            Microsoft CA を使用した Cisco Adaptive Security Appliance(ASA)と Microsoft アクセス エッジ(外部インターフェイス)の間でのセキュリティ証明書交換

            次の手順は、Microsoft CA を使用して証明書を設定する方法を示した例です。


            (注)  


            VeriSign CA を使用した手順の例は、このマニュアルの付録に記載されています。


            CA トラストポイント

            トラストポイントを作成する場合、トラストポイントに対して使用する登録方法を指定する必要があります。 登録方法としては、Simple Certificate Enrollment Process(SCEP)を使用できます(Microsoft CA を使用する場合)。SCEP では、enrollment url コマンドを使用して、宣言したトラストポイントの SCEP による登録に使用する URL を定義します。 定義した URL は、使用する CA の URL にする必要があります。

            このほかに使用できる登録方法には、手動登録があります。手動登録では、enrollment terminal コマンドを使用して、CA から受信した証明書をターミナルに貼り付けるよう指定します。 いずれの登録方法の手順についても、この項で説明します。 登録方法の詳細については、『Cisco Security Appliance Command Line Configuration Guide』を参照してください。

            SCEP を使用するには、次の URL から Microsoft SCEP アドオンをダウンロードする必要があります。

            http:/​/​www.microsoft.com/​Downloads/​details.aspx?familyid=9F306763-D036-41D8-8860-1636411B2D01&displaylang=en

            SCEP アドオンは、証明書を設定する Microsoft CA にインストールする必要があります。

            次のように SCEP アドオンをダウンロードします。

            • scepsetup.exe をダウンロードし、実行します。
            • [ローカル システム アカウント(local system account)] を選択します。
            • [登録する SCEP チャレンジ フレーズ(SCEP challenge phrase to enroll)] を選択解除します。
            • CA の詳細を入力します。

            [終了(Finish)] をクリックして、SCEP の URL を取得します。 この URL は、Cisco Adaptive Security Appliance(ASA)でのトラストポイントの登録時に使用します。

            SCEP による登録を使用した Cisco Adaptive Security Appliance(ASA)での証明書の設定

            手順
              ステップ 1   次のコマンドを入力して、CA のキー ペアを作成します。
              crypto key generate rsa label public_key_for_ca modulus 1024
              ステップ 2   次のコマンドを入力して、CA を識別するトラストポイントを作成します。
              crypto ca trustpoint <trustpoint_name>
              
              ステップ 3   "client-types" サブコマンドを使用して、トラストポイントのクライアント接続タイプを指定します。クライアント接続タイプは、ユーザ接続に関連付けられた証明書を確認するのに使用できます。 "client-types ssl" 設定を指定する次のコマンドを入力することで、このトラストポイントを使用して SSL クライアント接続が確認できることを指定します。
              (config-ca-trustpoint)# client-types ssl
              ステップ 4   次のコマンドを入力して、パブリック IM and Presence アドレスの FQDN を設定します。
              fqdn <fqdn_public_cup_address>
              (注)     

              ここで、VPN 認証に関する警告が発行される場合があります。

              ステップ 5   次のコマンドを入力して、トラストポイントのキー ペアを設定します。
              keypair public_key_for_ca
              ステップ 6   次のコマンドを入力して、トラストポイントの登録方法を設定します。
              enrollment url http://<ip address of CA>/certsrv/mscep/mscep.dll
              
              ステップ 7   次のコマンドを入力して、設定したトラストポイントの CA 証明書を取得します。
              crypto ca authenticate <trustpoint_name>
              INFO: Certificate has the following attributes:
              Fingerprint: cc966ba6 90dfe235 6fe632fc 2e521e48
              
              ステップ 8   CA からの証明書の承認を確認するメッセージが表示されたら、yes と入力します。
              Do you accept this certificate? [yes/no]: yesTrustpoint CA certificate accepted.
              
              ステップ 9   crypto ca enroll コマンドを実行します。
              crypto ca enroll <trustpoint_name>
              

              次の警告の出力が表示されます。

              %WARNING: The certificate enrollment is configured with an fqdnthat differs from the system fqdn. If this certificate will be
              used for VPN authentication this may cause connection problems.
              
              ステップ 10   登録の続行を確認するメッセージが表示されたら、yes と入力します。
              Would you like to continue with this enrollment? [yes/no]: yes% Start certificate enrollment..
              
              ステップ 11   チャレンジ パスワードを作成するよう求めるプロンプトに対して、パスワードを入力します。
              % Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate.
              For security reasons your password will not be saved in the configuration.
              Please make a note of it. Password: **********
              Re-enter password: **********
              
              ステップ 12   サブジェクト名にデバイスのシリアル番号を含めることを確認するメッセージが表示されたら、no と入力します。
              ステップ 13   CA に証明書を要求するよう求めるメッセージが表示されたら、yes と入力します。
              Request certificate from CA? [yes/no]: yes% Certificate request sent to Certificate Authority
              
              ステップ 14   CA に移動し、保留されていた証明書を発行します(証明書が自動的に発行されていなかった場合)。

              次の作業

              外部 Access エッジ インターフェイスの証明書の設定

              手動による登録を使用した Cisco Adaptive Security Appliance(ASA)での証明書の設定

              CA 証明書のアップロードによるトラストポイントの登録

              手順
                ステップ 1   次のコマンドを入力して、CA のキー ペアを作成します。
                crypto key generate rsa label public_key_for_ca modulus 1024
                ステップ 2   次のコマンド シーケンスを入力して、CA を識別するトラストポイントを作成します。
                crypto ca trustpoint <name of trustpoint>
                fqdn <fqdn_public_cup_address>
                client-types ssl
                keypair public_key_for_ca
                (注)     
                • FQDN 値は、パブリック IM and Presence アドレスの FQDN である必要があります。
                • キー ペア値は、CA 用に作成されたキー ペアである必要があります。
                ステップ 3   次のコマンドを入力して、トラストポイントの登録方法を設定します。
                enrollment terminal
                ステップ 4   次のコマンドを入力して、証明書を認証します。
                crypto ca authenticate <trustpoint_name>
                
                ステップ 5   CA のルート証明書を取得します。
                1. CA の Web ページに移動します(例、http(s)://<CA_IP_Addr>/certsrv)。
                2. [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] を選択します。
                3. [Base 64] を選択します。
                4. CA 証明書をダウンロードします。
                5. 証明書を .cer ファイルとして保存します(例、CARoot.cer)。
                ステップ 6   ルート証明書(.cer ファイル)をテキスト エディタで開きます。
                ステップ 7   証明書をコピーして、Cisco Adaptive Security Appliance(ASA)のターミナルに貼り付けます。
                ステップ 8   証明書の承認を確認するメッセージが表示されたら、yes と入力します。

                Cisco Adaptive Security Appliance(ASA)のパブリック証明書に対する CSR の作成

                ステップ 9   次のコマンドを入力して、CA に対する登録要求を送信します。
                crypto ca enroll <trustpoint_name>
                
                ステップ 10   サブジェクト名にデバイスのシリアル番号を含めるかどうかを尋ねるプロンプトに対して、no で応答します。
                ステップ 11   証明書要求を表示するよう求めるプロンプトに対して、yes で応答します。
                ステップ 12   この base-64 証明書をコピーして、テキスト エディタに貼り付けます(後の手順で使用するため)。
                ステップ 13   登録要求を再表示するよう求めるプロンプトに対して、no で応答します。
                ステップ 14   (手順 4 でコピーした)base-64 証明書を CA の証明書要求ページに貼り付けます。
                1. CA の Web ページに移動します(例、http(s)://<CA_IP_Addr>/certsrv)。
                2. [証明書の要求(Request a certificate)] を選択します。
                3. [証明書の要求の詳細設定(Advanced certificate request)] を選択します。
                4. [Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信する...(Submit a certificate request by using a base-64-encoded CMC orPKCS#10 file...)] を選択します。
                5. (手順 4 でコピーした)base-64 証明書を貼り付けます。
                6. 要求を送信し、CA から証明書を発行します。
                7. 証明書をダウンロードし、.cer ファイルとして保存します。
                8. 証明書をテキスト エディタで開き、内容をターミナルに貼り付けます。 改行し、'quit' という単語を入力して終了します。
                ステップ 15   次のコマンドを入力して、CA から受信した証明書をインポートします。
                crypto ca <trustpoint_name> import certificate
                
                ステップ 16   登録を続行するかどうかを尋ねるプロンプトに対して、yes で応答します。

                次の作業

                外部 Access エッジ インターフェイスの証明書の設定

                外部 Access エッジ インターフェイスの証明書の設定

                この手順では、スタンドアロン CA を使用してアクセス エッジ サーバで証明書を設定する方法について説明します。

                CA 証明書チェーンのダウンロード

                手順
                  ステップ 1   アクセス エッジ サーバで、[スタート(Start)] > [実行(Run)] をクリックします。
                  ステップ 2   http://<name of your Issuing CA Server>/certsrv を入力し、[OK] をクリックします。
                  ステップ 3   [タスクの選択(Select a task)] メニューから [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] をクリックします。
                  ステップ 4   [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] メニューから [CA 証明書チェーンのダウンロード(Download CA certificate chain)] をクリックします。
                  ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。
                  ステップ 6   サーバのハード ディスク ドライブにファイルを保存します。 このファイルの拡張子は .p7b です。 この .p7b ファイルを開くと、チェーンに次の 2 つの証明書が表示されます。
                  1. スタンドアロンのルート CA 証明書の名前
                  2. スタンドアロンの下位 CA 証明書の名前(ある場合)

                  次の作業

                  CA 証明書チェーンのインストール

                  CA 証明書チェーンのインストール

                  はじめる前に

                  CA 証明書チェーンのダウンロード の手順を実行します。

                  手順
                    ステップ 1   [スタート(Start)] > [実行(Run)] をクリックします。
                    ステップ 2   mmc を入力し、[OK] をクリックします。
                    ステップ 3   [ファイル(File)] メニューから [スナップインの追加と削除(Add/Remove Snap-in)] を選択します。
                    ステップ 4   [スナップインの追加と削除(Add/Remove Snap-in)] ダイアログボックスで [追加(Add)] をクリックします。
                    ステップ 5   [利用できるスタンドアロン スナップイン(Available Standalone Snap-ins)] のリストで [証明書(Certificates)] を選択します。
                    ステップ 6   [追加(Add)] をクリックします。
                    ステップ 7   [コンピュータ アカウント(Computer account)] を選択します。
                    ステップ 8   [次へ(Next)] をクリックします。
                    ステップ 9   [コンピュータの選択(Select Computer)] ダイアログボックスで、次のタスクを実行します。
                    1. [<Local Computer>(このコンソールを実行しているコンピュータ)] が選択されていることを確認します。
                    2. [終了(Finish)] をクリックします。
                    ステップ 10   [閉じる(Close)] をクリックします。
                    ステップ 11   [OK] をクリックします。
                    ステップ 12   [証明書(Certificates)] コンソールの左側のペインで、[証明書:ローカル コンピュータ(Certificates: Local Computer)] を展開します。
                    ステップ 13   [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。
                    ステップ 14   [証明書(Certificates)] を右クリックし、[すべてのタスク(All Tasks)] をポイントします。
                    ステップ 15   [インポート(Import)] をクリックします。
                    ステップ 16   インポート(Import)ウィザードで、[次へ(Next)] をクリックします。
                    ステップ 17   [参照(Browse)] をクリックして、証明書チェーンを保存した場所に移動します。
                    ステップ 18   ファイルを選択し、[開く(Open)] をクリックします。
                    ステップ 19   [次へ(Next)] をクリックします。
                    ステップ 20   [証明書をすべてストアに配置する(Place all certificates in the store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [信頼されるルート証明機関(Trusted Root Certification Authorities)] が表示されていることを確認します。
                    ステップ 21   [次へ(Next)] をクリックします。
                    ステップ 22   [終了(Finish)] をクリックします。

                    次の作業

                    CA サーバへの証明書の要求

                    CA サーバへの証明書の要求

                    はじめる前に

                    CA 証明書チェーンのインストールの手順を実行します。

                    手順
                      ステップ 1   アクセス エッジ サーバにログインし、Web ブラウザを開きます。
                      ステップ 2   URL http://<ca_server_IP_address>/certsrv を開きます。
                      ステップ 3   [証明書を要求する(Request a Certificate)] をクリックします。
                      ステップ 4   [証明書の要求の詳細設定(Advanced certificate request)] をクリックします。
                      ステップ 5   [この CA への要求を作成して送信する(Create and submit a request to this CA)] をクリックします。
                      ステップ 6   [必要な証明書の種類(Type of Certificate Needed)] リストから [その他(Other)] をクリックします。
                      ステップ 7   件名共通名にアクセス エッジ外部インターフェイスの FQDN を入力します。
                      ステップ 8   [OID] フィールドに次の OID を入力します。

                      1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2

                      (注)     

                      OID の中央にある 2 つの 1 をカンマで区切ります。

                      ステップ 9   次のいずれかの手順を実行します。
                      1. Windows Certificate Authority 2003 を使用している場合は、[キーのオプション(Key Options)] の [ローカル コンピュータの証明書ストアに証明書を格納する(Store certificate in the local computer certificate store)] をオンにします。
                      2. Windows Certificate Authority 2008 を使用している場合は、この項の「トラブルシューティングのヒント」で説明している回避策を参照してください。 わかりやすい名前を入力します。
                      ステップ 10   わかりやすい名前を入力します。
                      ステップ 11   [送信(Submit)] をクリックします。

                      次の作業

                      CA サーバからの証明書のダウンロード

                      CA サーバからの証明書のダウンロード

                      はじめる前に

                      CA サーバへの証明書の要求 の手順を実行します。

                      手順
                        ステップ 1   [スタート(Start)] > [管理ツール(Administrative Tools)] > [認証局(Certificate Authority)] を選択して、CA コンソールを起動します。
                        ステップ 2   左側のペインで [保留中の要求(Pending Requests)] をクリックします。
                        ステップ 3   右側のペインで送信した証明書要求を右クリックします。
                        ステップ 4   [すべてのタスク(All Tasks)] > [発行(Issue)] をクリックします。
                        ステップ 5   CA を実行しているアクセス エッジ サーバで http://<local_server>/certsrv を開きます。
                        ステップ 6   [保留中の証明書の要求の状態(View the Status of a Pending Certificate Request)] をクリックします。
                        ステップ 7   [この証明書のインストール(Install this certificate)] をクリックします。

                        次の作業

                        アクセス エッジへの証明書のアップロード

                        アクセス エッジへの証明書のアップロード

                        この手順では、証明書(Certificate)ウィザードを使用してアクセス エッジ サーバに証明書をアップロードする方法について説明します。 また、アクセス エッジ サーバには手動で証明書をインポートすることもできます。それには、[Microsoft Office Communications Server 2007] > [プロパティ(Properties)] > [エッジ インターフェイス(Edge Interfaces)] を選択します。

                        はじめる前に

                        CA サーバからの証明書のダウンロード の手順を実行します。

                        手順
                          ステップ 1   アクセス エッジ サーバで、[スタート(Start)] > [管理ツール(Administrative Tools)] > [コンピュータの管理(Computer Management)] を選択します。
                          ステップ 2   左側のペインで [Microsoft Office Communications Server 2007] を右クリックします。
                          ステップ 3   [証明書(Certificates)] をクリックします。
                          ステップ 4   [次へ(Next)] をクリックします。
                          ステップ 5   [既存の証明書を割り当てる(Assign an existing certificate)] タスク オプションをクリックします。
                          ステップ 6   [次へ(Next)] をクリックします。
                          ステップ 7   外部アクセス エッジインターフェイスに使用する証明書を選択し、[次へ(Next)] をクリックします。
                          ステップ 8   [次へ(Next)] をクリックします。
                          ステップ 9   [エッジ サーバのパブリック インターフェイス(Edge Server Public Interface)] チェックボックスをオンにし、[次へ(Next)] をクリックします。
                          ステップ 10   [次へ(Next)] をクリックします。
                          ステップ 11   [終了(Finish)] をクリックします。

                          次の作業

                          Cisco Adaptive Security Appliance(ASA)での TLS プロキシの設定

                          エンタープライズ認証局を使用したアクセス エッジのカスタム証明書の作成

                          次の手順を参照する必要があるのは、Microsoft エンタープライズ Certificate Authority を使用してアクセス エッジの外部インターフェイスまたは Cisco Adaptive Security Appliance(ASA)にクライアント/サーバ ロール証明書を発行する場合です。

                          はじめる前に

                          次の手順を実行するには、認証局がエンタープライズ CA で、Windows Server 2003 または 2008 の Enterprise Edition にインストールされている必要があります。

                          この手順の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx に記載されている Microsoft の指示を参照してください。

                          カスタム証明書テンプレートの作成および発行

                          手順
                            ステップ 1   次の URL にある Microsoft サイト「Creating and Issuing the Site Server Signing Certificate Template on the Certification Authority」の手順 1 ~ 6 を実行します。

                            http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx#BKMK_​siteserver1

                            ヒント   

                            手順 5 では、この特別なテンプレートに相互認証証明書などの適切な名前を使用します。

                            ステップ 2   Microsoft サイトの手順 7 ~ 12 の代わりに次の手順を実行します。
                            1. [拡張機能(Extensions)] タブを選択します。 [アプリケーションのポリシー(Application Policies)] の下に [クライアント認証(Client Authentication)] および [サーバ認証(Server Authentication)] があり、他のポリシーがないことを確認します。 これらのポリシーがない場合は、続行する前に追加する必要があります。
                              • [アプリケーション ポリシーの拡張の編集(Edit Application Policies Extension)] ダイアログボックスで、[追加(Add)] を選択します。
                              • [アプリケーションのポリシーの追加(Add Application Policy)] ダイアログボックスで、[クライアント認証(Client Authentication)] を選択し、Shift を押してから [サーバ認証(Server Authentication)] を選択して、[追加(Add)] をクリックします。
                              • [アプリケーション ポリシーの拡張の編集(Edit Application Policies Extension)] ダイアログボックスで、他にポリシーがあれば、それを選択して [削除(Remove)] を選択します。

                              [新しいテンプレートのプロパティ(Properties of New Template)] ダイアログボックスに、[アプリケーションのポリシー(Application Policies)] の説明として、クライアント認証(Client Authentication)とサーバ認証(Server Authentication)のリストが表示されます。

                            2. [発行要件(Issuance Requirement)] タブを選択します。 証明書が自動的に発行されないようにしたい場合は、[CA 証明書マネージャの許可(CA certificate manager approval)] を選択します。 これ以外の場合は、このオプションは空白のままにしておきます。
                            3. [セキュリティ(Security)] タブを選択し、必要なすべてのユーザとグループに読み取り権限と登録権限を必ず付与します。
                            4. [要求の処理(Request Handling)] タブを選択し、[CSP] ボタンをクリックします。
                            5. [CSP の選択(CSP Selection)] ダイアログボックスで、[要求で次の CSP のいずれかを使用(Requests must use one of the following CSP’s)] をオンにします。
                            6. CSP のリストから、[Microsoft Basic Cryptographic Provider v1.0 および Microsoft Enhanced Cryptographic Provider v1.0(Microsoft Basic Cryptographic Provider v1.0 and Microsoft Enhanced Cryptographic Provider v1.0)] を選択し、[OK] を選択します。
                            ステップ 3   次の URL にある Microsoft サイト「Creating and Issuing the Site Server Signing Certificate Template on the Certification Authority」の手順 13 ~ 15 に進みます。

                            http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx#BKMK_​siteserver1


                            次の作業

                            サイト サーバ署名証明書の要求

                            サイト サーバ署名証明書の要求

                            手順
                              ステップ 1   次の URL にある Microsoft サイト「Site Server Signing Certificate for the Server That Will Run the Configuration Manager 2007 Site Server」の手順 1 ~ 6 を実行します。

                              http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx#BKMK_​siteserver2

                              ヒント   

                              手順 5 では、相互認証証明書など、以前に作成した証明書テンプレートの名前を選択し、[名前(Name)] フフィールドにアクセス エッジの外部 FQDN を入力します。

                              ステップ 2   Microsoft サイトの手順 7 ~ 8 の代わりに次の手順を実行します。
                              1. 証明書要求が自動的に発行される場合は、署名証明書をインストールするオプションが提示されます。 [この証明書のインストール(Install this Certificate)] を選択します。
                              2. 証明書要求が自動的に発行されない場合は、管理者が証明書を発行するまで待機する必要があります。 発行されたら、次を実行します。
                                • メンバ サーバで、Internet Explorer をロードし、http://<server>/certsrv のアドレスを使用して Web 登録サービスに接続します。ここで、<server> はエンタープライズ CA の名前または IP アドレスです。
                                • [ようこそ(Welcome)] ページで、[保留中の証明書の要求の状態(View the status of a pending certificate request)] を選択します。
                              3. 発行された証明書を選択し、[この証明書のインストール(Install this Certificate)] を選択します。

                              TLS フェデレーション用の Lync エッジ サーバでのセキュリティ証明書の設定

                              Microsoft Lync との TLS フェデレーション用にアクセス エッジ上で証明書を設定する方法については、URL http:/​/​technet.microsoft.com/​en-us/​library/​gg398409.aspxにある Microsoft TechNet ライブラリの文書を参照してください。 IM and Presence でフェデレーテッド接続を行うには相互 TLS 認証が必要なため、サーバ認証とクライアント認証を両方サポートするよう Microsoft Lync 証明書を設定する必要があります。 上記の文書を実行する際は、2 番目の項をスキップして 3 番目の項に移動します。この項には、AOL とのパブリック IM 接続をサポートするエッジ サーバの外部インターフェイスに対して証明書要求を作成する方法が記載されています。 AOL にも、IM and Presence と同じ相互 TLS 認証要件があります。 この文書は、TLS 上で IM and Presenceとのフェデレーションを直接行うよう Lync Server を設定するのにも使用できます。

                              ダイレクト フェデレーションを行えるよう Lync Server でスタティック ルートを設定する方法については、エンタープライズ内で Microsoft Lync とのドメイン間フェデレーションを行うためのスタティック ルート設定を参照してください。

                              Cisco Adaptive Security Appliance(ASA)と AOL SIP アクセス ゲートウェイの間でのセキュリティ証明書の交換

                              AOL を使用するには、Cisco Adaptive Security Appliance(ASA)の証明書が信頼済み認証局によって署名されている必要があります。 AOL は、Windows でよく使用される認証局(CA)や、主なブラウザで配信されるライブラリに含まれている CA から成る、確立された信頼リストを持っています。 AOL の信頼リストにない CA を使用したい場合は、シスコの担当者と協力してこの情報を AOL に提供してください。

                              Verisign CA を使用して Cisco Adaptive Security Appliance(ASA)と外部ドメイン(Microsoft アクセス エッジ)の間での証明書交換を設定する方法を詳細に示した設定ワークフローの例が、このマニュアルの付録に記載されています。 この手順を基準として使用して、Verisign CA を使用した Cisco Adaptive Security Appliance(ASA)と AOL SIP Access Gateway の間での証明書交換を設定します。 設定手順の大まかな概要を下記に示します。

                              Verisign CA を使用した Cisco Adaptive Security Appliance(ASA)と AOL SIP Access Gateway の間での証明書交換を設定するには、次の手順を実行します。


                              (注)  


                              IM and Presence サーバ証明書の件名 CN は、IM and Presence サーバの FQDN と一致する必要があります。 Cisco Adaptive Security Appliance(ASA)での IM and Presence 用パブリック証明書と CN は、[フェデレーション ルーティング IM and Presence の FQDN(Federation Routing IM and Presence FQDN)] の値と同じである必要があります。


                              • CSR を Verisign CA に送信します。
                              • Verisign CA により、次の証明書が提供されます。
                                • Verisign 署名証明書
                                • Verisign 下位/中間/ルート証明書
                                • Verisign ルート CA 証明書
                              • Cisco Adaptive Security Appliance(ASA)で、証明書署名要求の作成に使用する一時ルート証明書を削除します。
                              • Verisign 下位/中間/ルート証明書を Cisco Adaptive Security Appliance(ASA)にインポートします。
                              • Cisco Adaptive Security Appliance(ASA)で、Verisign ルート CA 証明書のトラストポイントを作成します。
                              • Verisign ルート CA 証明書を Cisco Adaptive Security Appliance(ASA)にインポートし、続いて Verisign 署名証明書を Cisco Adaptive Security Appliance(ASA)にインポートします。
                              • VeriSign ルート証明書および中間証明書を AOL に提供します。

                              (注)  


                              AOL 信頼リストにこのルート CA がまだない場合は、AOL にこの CA を提供する必要があります。