Cisco Unified Communications Manager, Release 9.0(1) IM and Presence サービスのための Microsoft OCS による Microsoft Office Communicator のコール制御
IM and Presence と Microsoft OCS 間のセキュリティの設定
IM and Presence と Microsoft OCS 間のセキュリティの設定
発行日;2013/06/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

IM and Presence と Microsoft OCS 間のセキュリティの設定

このトピックを適用できるのは、IM and PresenceMicrosoft OCS との間にセキュアな接続を必要とする場合だけです。

Microsoft OCS に関するセキュリティ証明書の設定

CA 証明書チェーンのダウンロード

手順
    ステップ 1   [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
    ステップ 2   次の操作を実行します。
    1. http://<name of your Issuing CA Server>/certsrv と入力します。
    2. [OK] を選択します。
    ステップ 3   [タスクの選択(Select a task)] から [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] をクリックします。
    ステップ 4   [CA 証明書チェーンのダウンロード(Download CA certificate chain)] を選択します。
    ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで [保存(Save)] を選択します。
    ステップ 6   サーバのハード ディスク ドライブにファイルを保存します。

    トラブルシューティングのヒント

    証明書ファイルの拡張子は .p7b です。 この .p7b ファイルを開くと、チェーンに次の 2 つの証明書が含まれるようになります。

    • スタンドアロンのルート CA 証明書の名前
    • スタンドアロンの下位 CA 証明書の名前(ある場合)

    次の作業

    CA 証明書チェーンのインストール

    CA 証明書チェーンのインストール

    はじめる前に

    CA 証明書チェーンをダウンロードします。

    手順
      ステップ 1   [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
      ステップ 2   次の操作を実行します。
      1. mmc と入力します。
      2. [OK] を選択します。
      ステップ 3   [ファイル(File)] > [スナップインの追加と削除(FileAdd/Remove Snap-in)] を選択します。
      ステップ 4   [スナップインの追加と削除(Add/Remove Snap-in)] ダイアログボックスで [追加(Add)] を選択します。
      ステップ 5   [利用できるスタンドアロン スナップイン(Available Standalone Snap-ins)] のリストで [証明書(Certificates)] を選択します。
      ステップ 6   [追加(Add)] を選択します。
      ステップ 7   [コンピュータ アカウント(Computer account)] を選択します。
      ステップ 8   [次へ(Next)] を選択します。
      ステップ 9   [コンピュータの選択(Select Computer)] ダイアログボックスから次の手順を実行します。
      1. [ローカル コンピュータ:(このコンソールを実行しているコンピュータ)(Local computer: (the computer this console is running on))] を選択します。
      2. [完了(Finish)] を選択します。
      3. [閉じる(Close)] を選択します。
      4. [OK] を選択します。
      ステップ 10   [証明書(Certificates)] コンソールの左ペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
      ステップ 11   [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。
      ステップ 12   [証明書(Certificates)] を右クリックします。
      ステップ 13   次の操作を実行します。
      1. [すべてのタスク(All Tasks)] をポイントします。
      2. [インポート(Import)] を選択します。
      ステップ 14   インポート ウィザードで [次へ(Next)] を選択します。
      ステップ 15   [参照(Browse)] を選択し、自分のコンピュータ上で証明書チェーンがある場所に移動します。
      ステップ 16   [開く(Open)] を選択します。
      ステップ 17   [次へ(Next)] を選択します。
      ステップ 18   [証明書をすべて次のストアに配置する(Place all certificates in the following store)] をデフォルト値のままオンにしておきます。
      ステップ 19   [証明書ストア(Certificate store)] の下に [信頼されたルート証明機関(Trusted Root Certification Authorities)] が表示されていることを確認します。
      ステップ 20   [次へ(Next)] を選択します。
      ステップ 21   [完了(Finish)] を選択します。

      次の作業

      CA サーバでの証明書要求の送信

      CA サーバでの証明書要求の送信

      はじめる前に

      CA 証明書チェーンをインストールします。

      手順
        ステップ 1   証明書を必要とするコンピュータで、Web ブラウザを開きます。
        ステップ 2   URL http://<name of your Issuing CA server>/certsrv を入力します。
        ステップ 3   Enter を押します。
        ステップ 4   [証明書の要求(Request a certificate)] を選択します。
        ステップ 5   [証明書の要求の詳細設定(Advanced certificate request)] を選択します。
        ステップ 6   [この CA への要求を作成し、送信する(Create and submit a request to this CA)] を選択します。
        ステップ 7   [必要な証明書の種類(Type of Certificate Needed)] リストで [その他(Other)] を選択します。
        ステップ 8   [識別情報(Identifying Information)] セクションの [名前(Name)] フィールドに、FQDN と入力します。 この名前は、Microsoft OCS の名前と一致する必要があります。LCS の名前は通常、FQDN です。
        ステップ 9   [OID] フィールドに、OID として 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 と入力します。
        (注)     

        OID の中央にある 2 つの 1 をカンマで区切ります。

        ステップ 10   次のいずれかの手順を実行します。
        1. Windows Certificate Authority 2003 を使用している場合は、[キーのオプション(Key Options)] の [ローカル コンピュータの証明書ストアに証明書を格納する(Store certificate in the local computer certificate store)] をオンにします。
        2. Windows Certificate Authority 2008 を使用している場合は、このトピックの「トラブルシューティングのヒント」で説明している回避策を参照してください。
        ステップ 11   わかりやすい名前を入力します。
        ステップ 12   [送信(Submit)] を選択します。
        ステップ 13   [潜在するスクリプト違反(Potential Scripting Violation)] ダイアログボックスで [はい(Yes)] を選択します。

        トラブルシューティングのヒント

        Windows Certificate Authority 2008 を使用している場合、証明書登録ページでローカル コンピュータ ストアに証明書を保存するためのオプションがなくなりました。 上記のステップ 10 の代わりに、次の回避策を実行してください。

        1. Microsoft OCS サーバからサイン アウトします。
        2. ローカル ユーザとして Microsoft OCS サーバにサイン インします。
        3. 証明書を作成します。
        4. CA サーバから証明書を承認します。
        5. 証明書をファイルにエクスポートします。
        6. Microsoft OCS サーバからサイン アウトします。
        7. ドメイン ユーザとして Microsoft OCS サーバにサイン インします。
        8. 証明書ウィザードを使用して、証明書ファイルをインポートします。 証明書が、Microsoft OCS 証明書のタブに表示されます(証明書がローカル コンピュータ ストアにインストールされるためです)。

        次の作業

        証明書の承認およびインストール

        証明書の承認およびインストール

        はじめる前に

        CA サーバで証明書要求を送信します。

        手順
          ステップ 1   ドメイン管理者クレデンシャルで企業の下位 CA サーバにサイン インします。
          ステップ 2   [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
          ステップ 3   次の操作を実行します。
          1. mmc と入力します。
          2. Enter を押します。
          ステップ 4   [ファイル(File)] > [スナップインの追加と削除(FileAdd/Remove Snap-in)] を選択します。
          ステップ 5   [追加(Add)] を選択します。
          ステップ 6   [スタンドアロン スナップインの追加(Add Standalone Snap-in)] で [証明機関(Certification Authority)] を選択します。
          ステップ 7   [追加(Add)] を選択します。
          ステップ 8   [証明機関(Certification Authority)] でデフォルト オプションの [ローカル コンピュータ(このコンソールを実行しているコンピュータ)(Local computer (the computer this console is running on))] を受け入れます。
          ステップ 9   [完了(Finish)] を選択します。
          ステップ 10   [閉じる(Close)] を選択します。
          ステップ 11   [OK] を選択します。
          ステップ 12   MMC で、[証明機関(Certification Authority)] を展開し、発行証明書サーバを展開します。
          ステップ 13   [保留中の要求(Pending Requests)] を選択します。
          ステップ 14   詳細ウィンドウで、次の手順を実行します。
          1. 要求 ID で識別される要求を右クリックします。
          2. [すべてのタスク(All Tasks)] をポイントします。
          3. [発行(Issue)] を選択します。
          ステップ 15   証明書の要求元のサーバで [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
          ステップ 16   http://<name of your Issuing CA Server>/certsrv と入力します。
          ステップ 17   [OK] を選択します。
          ステップ 18   [タスクの選択(Select a task)] から、[保留中の証明書の要求の状態(View the status of a pending certificate request)] を選択します。
          ステップ 19   証明書要求を選択します。
          ステップ 20   [この証明書のインストール(Install this certificate)] を選択します。

          次の作業

          インストールされた証明書の設定

          インストールされた証明書の設定

          はじめる前に

          証明書を承認し、インストールします。

          手順
            ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [インターネット インフォメーション サービス (IIS) マネージャ(Internet Information Services (IIS) Manager)] を選択します。
            ステップ 2   右側のペインで(ローカル コンピュータ)ツリーを展開します。
            ステップ 3   [既定の Web サイト(Default Web Site)] を選択します。
            ステップ 4   [プロパティ(Properties)] ダイアログボックスを右クリックして開きます。
            ステップ 5   [既定の Web サイトのプロパティ(Default Web Site Properties)] ダイアログボックスから [証明書(Certificate)] タブを選択します。
            ステップ 6   証明書がすでに選択されている場合は、[証明書の削除(Delete Certificate)] を選択して、選択を解除します。
            ステップ 7   [証明書(Certificate)] を選択して、証明書ウィザードを起動します。
            ステップ 8   証明書ウィザードを使用して、Microsoft OCS のためにインストールした証明書を選択します。
            ステップ 9   Microsoft Office Communications Server 2007 アプリケーションを起動します。
            ステップ 10   右側のペインで、ローカル マシンを表すサーバを選択します。
            ステップ 11   サーバを右クリックします。
            ステップ 12   [プロパティ(Properties)] > [フロント エンドのプロパティ(Front End Properties)] を選択します。
            ステップ 13   [証明書(Certificate)] タブを選択します。
            ステップ 14   [証明書の選択(Select Certificate)] を選択します。
            ステップ 15   Microsoft OCS のためにインストールした証明書を検索し、選択します。
            (注)     

            Microsoft LCS を使用している場合は、上記のステップ 1 ~ 7 に従って、Microsoft Live Communications Server 2005 アプリケーションを開きます。 管理ページから、目的のサーバを右クリックして、[プロパティ(Properties)] ダイアログボックスを開きます。 [セキュリティ(Security)] タブを選択し、[証明書の選択(Select Certificate)] を選択して、新規にインストールした LCS 証明書を選択します。


            次の作業

            Microsoft OCS での IM and Presence のための TLS ルートの設定

            Microsoft OCS での IM and Presence のための TLS ルートの設定

            手順
              ステップ 1   Microsoft Office Communications Server 2007 アプリケーションを起動します。
              ステップ 2   右側のペインで Microsoft OCS サーバ プールを右クリックします。
              ステップ 3   [プロパティ(Properties)] > [フロント エンドのプロパティ(Front End Properties)] を選択します。
              ステップ 4   [フロント エンド サーバのプロパティ(Front End Server Properties)] ダイアログボックスから、[ルーティング(Routing)] タブを選択します。
              ステップ 5   [追加(Add)] を選択します。
              ステップ 6   次の手順を実行して、スタティック ルートを追加します。
              1. [ドメイン(Domain)] フィールドに IM and Presence のホスト名/FQDN を入力します。
                (注)     

                これは、IM and Presence 証明書のサブジェクトの CN と一致する必要があります。一致しない場合、Microsoft OCSIM and Presence との TLS 接続を確立しません。

              2. [転送(Transport)] メニューから [TLS] を選択します。
              3. [ポート(Port)] フィールドに 5062 と入力します。 ポート番号 5062 は、IM and Presence がピア認証 TLS 接続をリッスンするデフォルトのポートです。
              4. [要求 URI 内のホストを置き換える(Replace host in request URI)] をオンにします。
              5. [OK] を選択します。

                トラブルシューティングのヒント

                [Cisco Unified CM IM and Presence オペレーティングシステムの管理(Cisco Unified CM IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択し、証明書の一覧に登録されている証明書を選択すると、IM and Presence 証明書のサブジェクトの CN を確認できます。


              次の作業

              Microsoft OCS での認証済みホストとしての IM and Presence の設定

              Microsoft OCS での認証済みホストとしての IM and Presence の設定

              手順
                ステップ 1   Microsoft Office Communications Server 2007 アプリケーションを起動します。
                ステップ 2   右側のペインで Microsoft OCS サーバ プールを右クリックします。
                ステップ 3   [プロパティ(Properties)] > [フロント エンドのプロパティ(Front End Properties)] を選択します。
                ステップ 4   [ホストの承認(Host Authorization)] タブを選択します。
                ステップ 5   [追加(Add)] を選択します。
                ステップ 6   FQDN を選択し、証明書の記載どおりに CUP X.509 サブジェクトの共通名を入力します。
                ステップ 7   [サーバとして帯域を制限する(Throttle as server)] をオンにします。
                ステップ 8   [認証済みとして扱う(Treat as Authenticated)] をオンにします。
                ステップ 9   [OK] を選択します。
                ステップ 10   Microsoft OCS サーバをリブートします。

                サーバが再起動すると、Microsoft OCS サーバ プールに、設定したばかりの発信スタティック ルートが表示されます。


                次の作業

                TLSv1 を使用するような Microsoft OCS の設定

                TLSv1 を使用するような Microsoft OCS の設定

                IM and Presence は TLSv1 のみをサポートするため、TLSv1 を使用するように Microsoft OCS を設定する必要があります。 この手順では、Microsoft OCS が TLS 暗号 TLS_RSA_WITH_3DES_EDE_CBC_SHA で TLSv1 を送信できるように、Microsoft OCS で FIPS 準拠のアルゴリズムを設定する方法について説明します。 この手順では、Microsoft OCS がドメイン コントローラに設定されています。

                手順
                  ステップ 1   [スタート(Start)] > [管理ツール(Administrative Tools)] > [ローカル セキュリティ ポリシー(Local Security Policy)] を選択します。
                  ステップ 2   コンソール ツリーで [セキュリティの設定(Security Settings)] を選択します。
                  ステップ 3   [ローカル ポリシー(Local Policies)] を選択します。
                  ステップ 4   [セキュリティ オプション(Security Options)] を選択します。
                  ステップ 5   詳細ウィンドウで FIPS セキュリティ設定をダブルクリックします。
                  ステップ 6   セキュリティ設定を変更します。
                  ステップ 7   [OK] を選択します。
                  ステップ 8   Windows Server を再起動し、FIBS セキュリティ設定を有効にします。

                  次の作業

                  IM and Presence での Microsoft OCS の新規 TLS ピア サブジェクトの作成

                  IM and Presence での Microsoft OCS の新規 TLS ピア サブジェクトの作成

                  手順
                    ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [TLS ピア サブジェクト(TLS Peer Subjects)] を選択します。
                    ステップ 2   [新規追加(Add New)] を選択します。
                    ステップ 3   [ピア サブジェクト名(Peer Subject Name)] フィールドに、Microsoft OCS が提示する証明書のサブジェクト CN を入力します。
                    ステップ 4   [説明(Description)] フィールドに Microsoft OCS サーバの名前を入力します。
                    ステップ 5   [保存(Save)] を選択します。

                    次の作業

                    IM and Presence 上の選択された TLS ピア サブジェクト リストへの TLS ピアの追加

                    IM and Presence 上の選択された TLS ピア サブジェクト リストへの TLS ピアの追加

                    はじめる前に

                    IM and PresenceMicrosoft OCS の新規 TLS ピア サブジェクトを作成します。

                    手順
                      ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [TLS コンテキスト設定(TLS Context Configuration)] を選択します。
                      ステップ 2   [検索(Find)] を選択します。
                      ステップ 3   [Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context] を選択します。

                      [TLS コンテキスト設定(TLS Context Configuration)] ウィンドウが表示されます。

                      ステップ 4   使用可能な TLS 暗号のリストから、[TLS_RSA_WITH_3DES_EDE_CBC_SHA] を選択します。
                      ステップ 5   右矢印を選択して、この暗号を [選択された TLS 暗号(Selected TLS Ciphers)] に移動します。
                      ステップ 6   [空の TLS フラグメントの無効化(Disable Empty TLS Fragments)] をオンにします。
                      ステップ 7   使用可能な TLS ピア サブジェクトのリストから、設定した TLS ピア サブジェクトを選択します。
                      ステップ 8   右矢印を選択して、[選択された TLS ピア サブジェクト(Selected TLS Peer Subjects)] に移動します。
                      ステップ 9   [保存(Save)] を選択します。