Cisco Unified Communications Manager Release 10.5(1)の IM and Presence サービスに対するドメイン間フェデレーション
Cisco Adaptive Security Appliance による SIP フェデレーション セキュリティ証明書の設定
Cisco Adaptive Security Appliance による SIP フェデレーション セキュリティ証明書の設定

目次

Cisco Adaptive Security Appliance による SIP フェデレーション セキュリティ証明書の設定


(注)  


IM and Presence Service Release 9.0(1) 以降では、Microsoft Lync とのドメイン間フェデレーションがサポートされています。 OCS とのドメイン間フェデレーションへの参照には、別途明示的な指定がない限り、Microsoft Lync が指定されます。


IM and Presence サービスと Cisco Adaptive Security Appliance(ASA)の間でのセキュリティ証明書交換

Cisco Adaptive Security Appliance でのキーペアとトラスト ポイントの生成

この証明書に対してキー ペア(例、cmp_proxy_key)を作成し、Cisco Adaptive Security Appliance から IM and Presence Service への自己署名証明書を識別するトラストポイント(例、imp_proxy)を設定する必要があります。 Cisco Adaptive Security Appliance で自己署名証明書を作成していることを示すために登録タイプを "self" と指定するとともに、証明書のサブジェクト名にインターフェイス内の IP アドレスを指定する必要があります。

はじめる前に

次の章に記載されている設定タスクを実行したことを確認します。

手順
    ステップ 1   Cisco Adaptive Security Appliance で、設定モードに入ります。

    > Enable

    > <password>

    > configure terminal

    ステップ 2   次のコマンドを入力して、この証明書のキー ペアを生成します。

    crypto key generate rsa label imp_proxy_key modulus 1024

    ステップ 3   次の一連のコマンドを入力して、IM and Presence Service のトラストポイントを作成します。

    crypto ca trustpoint trustpoint_name (for example, imp_proxy)

    (config-ca-trustpoint)# enrollment self

    (config-ca-trustpoint)# fqdn none

    (config-ca-trustpoint)# subject-name cn=ASA_inside_interface_ip_address

    (config-ca-trustpoint)# keypair imp_proxy_key

    トラブルシューティングのヒント

    show crypto key mypubkey rsa コマンドを入力して、キー ペアが生成されていることを確認します。


    次の作業

    Cisco Adaptive Security Appliance での自己署名証明書の作成

    Cisco Adaptive Security Appliance での自己署名証明書の作成

    はじめる前に
    手順
      ステップ 1   次のコマンドを入力して、自己署名証明書を作成します。

      (config-ca-trustpoint)# crypto ca enroll trustpoint_name (for example, imp_proxy)

      ステップ 2   サブジェクト名にデバイスのシリアル番号を含めることを確認するメッセージが表示されたら、no と入力します。
      ステップ 3   自己署名証明書を作成するよう求めるプロンプトに対して、yes で応答します。
      ステップ 4   次のコマンドを入力して、IM and Presence Service にエクスポートする証明書を作成します。

      crypto ca export imp_proxy identity-certificate

      これによって、たとえば、PEM でエンコードされたアイデンティティ証明書が画面に表示されます。

      -----BEGIN CERTIFICATE-----MIIBnDCCAQWgAwIBAgIBMTANBgkqhkiG9w0BAQQFADAUMRIwEAYDVQQDEwlDVVAt…….. -----END CERTIFICATE-----

      ステップ 5   Cisco Adaptive Security Appliance 証明書の内容全体をコピーし、ワードパッドかメモ帳のファイル(.pem の拡張子を付ける)に貼り付けます。
      ステップ 6   .pem ファイルをローカル マシンに保存します。

      次の作業

      IM and Presence サービスへの自己署名証明書のインポート

      IM and Presence サービスへの自己署名証明書のインポート

      はじめる前に

      Cisco Adaptive Security Appliance での自己署名証明書の作成 の手順を実行します。

      手順
        ステップ 1   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 [Security(セキュリティ)] > [Certificate Management(証明書管理)] を選択します。
        ステップ 2   [Upload Certificate(証明書をアップロード)] をクリックします。
        ステップ 3   [Certificate Purpose(証明書目的)] で、[cup-trust(cup-trust)]を選択します。
        (注)     

        [Root Name(ルート名)] フィールドは空白のままにしておきます。

        ステップ 4   [Browse(参照)] をクリックし、ローカル コンピュータで(前の手順で作成した)Cisco Adaptive Security Appliance(ASA)の .pem 証明書ファイルを特定します。
        ステップ 5   [Upload File(ファイルをアップロード)] を選択し、証明書を IM and Presence サービス ノードにアップロードします。

        トラブルシューティングのヒント

        証明書の一覧で、<asa ip address>.pem<asa ip address>.der を検索すると、見つかります。


        次の作業

        IM and Presence サービスでの新しい証明書の生成

        IM and Presence サービスでの新しい証明書の生成

        はじめる前に

        IM and Presence サービスへの自己署名証明書のインポート の手順を実行します。

        手順
          ステップ 1   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 [Security(セキュリティ)] > [Certificate Management(証明書管理)]を選択します。
          ステップ 2   [Generate New(新規生成)] をクリックします。
          ステップ 3   [Certificate Purpose(証明書目的)] ドロップダウン リストで、cup を選択します。
          ステップ 4   [Generate(生成)] をクリックします。

          次の作業

          Cisco Adaptive Security Appliance への IM and Presence サービス証明書のインポート

          Cisco Adaptive Security Appliance への IM and Presence サービス証明書のインポート

          IM and Presence サービス証明書を Cisco Cisco Adaptive Security Appliance にインポートするには、IM and Presence サービスからインポートした証明書を識別するためのトラストポイント(たとえば cert_from_imp)を作成し、"terminal" として登録タイプを指定し、IM and Presence サービスから取得した証明書が端末に張り付けられることを表示する必要があります。


          (注)  


          IM and Presence サービスCisco Unified Communications Manager のノード、ならびに Cisco Adaptive Security Appliance は、同じ NTP ソースから同期する必要があります。


          はじめる前に
          • IM and Presence サービスでの新しい証明書の生成の手順を完了します。
          • この手順を実行するには、UNIX 対応のテキスト エディタが必要です。 Microsoft ワードパッド、バージョン 5.1 または Microsoft メモ帳、バージョン 5.1 Service Pack 2 を推奨します。
          手順
            ステップ 1   コンフィギュレーション モードに入ります。

            > Enable

            > <password>

            > configure terminal

            ステップ 2   次のコマンド シーケンスを入力して、インポートした IM and Presence サービス証明書のトラストポイントを作成します。

            crypto ca trustpoint cert_from_imp enrollment terminal

            ステップ 3   次のコマンドを入力して、IM and Presence サービスから証明書をインポートします。

            crypto ca authenticate cert_from_imp

            ステップ 4   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 IM and Presence サービスで、[Security(セキュリティ)] > [Certificate Management(証明書管理)]を選択します。
            ステップ 5   [Find(検索)] をクリックします。
            ステップ 6   前の手順で作成した IM and Presence サービス証明書を特定します。
            ステップ 7   [Download(ダウンロード)] をクリックします。
            ステップ 8   推奨されているテキスト エディタの 1 つを使用して、imp.pem ファイルを開きます。
            ステップ 9   imp.pem の内容を切り取って、Cisco Adaptive Security Appliance 端末に貼り付けます。
            ステップ 10   quit を入力します。
            ステップ 11   証明書の承認を確認するメッセージが表示されたら、yes と入力します。
            ステップ 12   証明書を表示するには、show crypto ca certificate コマンドを実行します。

            次の作業

            Microsoft CA を使用した Cisco Adaptive Security Appliance と Microsoft アクセス エッジ(外部インターフェイス)の間でのセキュリティ証明書交換

            Microsoft CA を使用した Cisco Adaptive Security Appliance と Microsoft アクセス エッジ(外部インターフェイス)の間でのセキュリティ証明書交換

            次の手順は、Microsoft CA を使用して証明書を設定する方法を示した例です。


            (注)  


            VeriSign CA を使用した手順の例は、このマニュアルの付録に記載されています。


            CA トラストポイント

            トラストポイントを作成する場合、トラストポイントに対して使用する登録方法を指定する必要があります。 登録方法としては、Simple Certificate Enrollment Process(SCEP)を使用できます(Microsoft CA を使用する場合)。SCEP では、enrollment url コマンドを使用して、宣言したトラストポイントの SCEP による登録に使用する URL を定義します。 定義した URL は、使用する CA の URL にする必要があります。

            このほかに使用できる登録方法には、手動登録があります。手動登録では、enrollment terminal コマンドを使用して、CA から受信した証明書をターミナルに貼り付けます。 いずれの登録方法の手順についても、この項で説明します。 登録方法の詳細については、『Cisco Security Appliance Command Line Configuration Guide』を参照してください。

            SCEP を使用するには、次の URL から Microsoft SCEP アドオンをダウンロードする必要があります。

            http:/​/​www.microsoft.com/​Downloads/​details.aspx?familyid=9F306763-D036-41D8-8860-1636411B2D01&displaylang=en

            SCEP アドオンは、証明書を設定する Microsoft CA にインストールする必要があります。

            次のように SCEP アドオンをダウンロードします。

            • scepsetup.exe をダウンロードし、実行します。

            • [local system account(ローカル システム アカウント)] を選択します。

            • [SCEP challenge phrase to enroll(登録する SCEP チャレンジ プレーズ)] を選択解除します。

            • CA の詳細を入力します。

            [Finish(完了)] をクリックして、SCEP の URL を取得します。 この URL は、Cisco Adaptive Security Appliance(ASA)でのトラストポイントの登録時に使用します。

            SCEP を使用した Cisco Adaptive Security Appliance での証明書の設定

            手順
              ステップ 1   次のコマンドを入力して、CA のキー ペアを生成します。

              crypto key generate rsa label public_key_for_ca modulus 1024

              ステップ 2   次のコマンドを入力して、CA を識別するトラストポイントを作成します。

              crypto ca trustpoint trustpoint_name

              ステップ 3   client-types コマンドを使用して、トラストポイントのクライアント接続タイプを指定します。クライアント接続タイプは、ユーザ接続に関連付けられた証明書を確認するのに使用できます。 client-types ssl 設定を指定する次のコマンドを入力することで、このトラストポイントを使用して SSL クライアント接続が確認できることを指定します。

              (config-ca-trustpoint)# client-types ssl

              ステップ 4   次のコマンドを入力して、パブリック IM and Presence Service アドレスの FQDN を設定します。

              fqdn fqdn_public_imp_address

              (注)     

              ここで、VPN 認証に関する警告が発行される場合があります。

              ステップ 5   次のコマンドを入力して、トラストポイントのキー ペアを設定します。

              keypair public_key_for_ca

              ステップ 6   次のコマンドを入力して、トラストポイントの登録方法を設定します。

              enrollment url http://ca_ip_address/certsrv/mscep/mscep.dll

              ステップ 7   次のコマンドを入力して、設定したトラストポイントの CA 証明書を取得します。

              crypto ca authenticate trustpoint_name

              INFO: Certificate has the following attributes: Fingerprint: cc966ba6 90dfe235 6fe632fc 2e521e48

              ステップ 8   CA からの証明書の承認を確認するメッセージが表示されたら、yes と入力します。

              Do you accept this certificate? [yes/no]: yes

              Trustpoint CA certificate accepted.

              ステップ 9   crypto ca enroll コマンドを実行します。

              crypto ca enroll trustpoint_name

              次の警告の出力が表示されます。

              %WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems.

              ステップ 10   登録の続行を確認するメッセージが表示されたら、yes と入力します。

              Would you like to continue with this enrollment? [yes/no]: yes

              % Start certificate enrollment..

              ステップ 11   チャレンジ パスワードを作成するよう求めるプロンプトに対して、パスワードを入力します。

              % Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it.

              Password: <password>

              ********** Re-enter password: **********

              ステップ 12   サブジェクト名にデバイスのシリアル番号を含めることを確認するメッセージが表示されたら、no と入力します。
              ステップ 13   CA に証明書を要求するよう求めるメッセージが表示されたら、yes と入力します。

              Request certificate from CA? [yes/no]: yes

              % Certificate request sent to Certificate Authority

              ステップ 14   CA に移動し、保留されていた証明書を発行します(証明書が自動的に発行されていなかった場合)。

              次の作業

              外部アクセス エッジ インターフェイスの証明書の設定

              手動による登録を使用した Cisco Adaptive Security Appliance での証明書の設定

              CA 証明書のアップロードによるトラストポイントの登録:

              手順
                ステップ 1   次のコマンドを入力して、CA のキー ペアを生成します。

                crypto key generate rsa label public_key_for_ca modulus 1024

                ステップ 2   次のコマンド シーケンスを入力して、CA を識別するトラストポイントを生成します。

                crypto ca trustpoint trustpoint_name fqdn fqdn_public_imp_address client-types ssl keypair public_key_for_ca

                (注)     
                • FQDN 値は、パブリック IM and Presence Service アドレスの FQDN である必要があります。
                • キー ペア値は、CA 用に作成されたキー ペアである必要があります。

                ステップ 3   次のコマンドを入力して、トラストポイントの登録方法を設定します。

                enrollment terminal

                ステップ 4   次のコマンドを入力して、証明書を認証します。

                crypto ca authenticate trustpoint_name

                ステップ 5   CA のルート証明書を取得します。
                1. CA の Web ページに移動します(例:http(s)://ca_ip_address/certsrv)。
                2. [Download a CA certificate, certificate chain, or CRL(CA 証明書、証明書チェーン、または CRL のダウンロード)] をクリックします。
                3. [Base 64] を選択します。
                4. CA 証明書をダウンロードします。
                5. 証明書を .cer ファイルとして保存します(例:CARoot.cer)。
                ステップ 6   ルート証明書(.cer ファイル)をテキスト エディタで開きます。
                ステップ 7   Cisco Adaptive Security Appliance 端末に証明書の内容をコピー アンド ペーストします。
                ステップ 8   証明書の承認を確認するメッセージが表示されたら、yes と入力します。

                Cisco Adaptive Security Appliance のパブリック証明書に CSR を生成します。

                ステップ 9   次のコマンドを入力して、CA に対する登録要求を送信します。

                crypto ca enroll trustpoint_name

                ステップ 10   サブジェクト名にデバイスのシリアル番号を含めるかどうかを尋ねるプロンプトに対して、no で応答します。
                ステップ 11   証明書要求を表示するよう求めるプロンプトに対して、yes で応答します。
                ステップ 12   この Base-64 証明書をコピーして、テキスト エディタに貼り付けます(後の手順で使用するため)。
                ステップ 13   登録要求を再表示するよう求めるプロンプトに対して、no で応答します。
                ステップ 14   (手順 4 でコピーした)base-64 証明書を CA の証明書要求ページに貼り付けます。
                1. CA の Web ページに移動します(例:http(s)://ca_ip_address/certsrv)。
                2. [Request a certificate(証明書を要求する)] をクリックします。
                3. [Advanced certificate request(証明書の要求の詳細設定)] をクリックします。
                4. [Submit a certificate request by using a base-64-encoded CMC orPKCS#10 file...(Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信する...)] をクリックします。
                5. (手順 4 でコピーした)Base-64 証明書を貼り付けます。
                6. 要求を送信し、CA から証明書を発行します。
                7. 証明書をダウンロードし、*.cer ファイルとして保存します。
                8. 証明書をテキスト エディタで開き、内容をコピーしてターミナルに貼り付けます。 別の行に quit という単語を入力して終了します。
                ステップ 15   次のコマンドを入力して、CA から受信した証明書をインポートします。

                crypto ca import trustpoint_name certificate

                ステップ 16   登録を続行するかどうかを尋ねるプロンプトに対して、yes で応答します。

                次の作業

                外部アクセス エッジ インターフェイスの証明書の設定

                外部アクセス エッジ インターフェイスの証明書の設定

                この手順では、スタンドアロン CA を使用してアクセス エッジ サーバで証明書を設定する方法について説明します。

                CA 証明書チェーンのダウンロード

                手順
                  ステップ 1   アクセス エッジ サーバで、[Start(スタート)] > [Run(実行)] を選択します。
                  ステップ 2   http://<name of your Issuing CA Server>/certsrv を入力し、[OK] をクリックします。
                  ステップ 3   [Select a task(タスクの選択)] メニューから [Download a CA certificate, certificate chain, or CRL(CA 証明書、証明書チェーン、または CRL のダウンロード)] をクリックします。
                  ステップ 4   [Download a CA certificate, certificate chain, or CRL(CA 証明書、証明書チェーン、または CRL のダウンロード)] メニューから [Download CA certificate chain(CA 証明書チェーンのダウンロード)] をクリックします。
                  ステップ 5   [File Download] ダイアログボックスで、[Save(保存)] をクリックします。
                  ステップ 6   サーバのハード ディスク ドライブにファイルを保存します。 このファイルの拡張子は .p7b です。 この .p7b ファイルを開くと、チェーンに次の 2 つの証明書が表示されます。
                  1. スタンドアロンのルート CA 証明書の名前
                  2. スタンドアロンの下位 CA 証明書の名前(ある場合)

                  次の作業

                  CA 証明書チェーンのインストール

                  CA 証明書チェーンのインストール

                  はじめる前に

                  CA 証明書チェーンのダウンロード の手順を実行します。

                  手順
                    ステップ 1   [Start(スタート)] > [Run(実行)] を選択します。
                    ステップ 2   mmc を入力し、[OK(OK)] をクリックします。
                    ステップ 3   [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインの追加/削除)] を選択します。
                    ステップ 4   [Add/Remove Snap-in(スナップインの追加/削除)] ダイアログボックスで [Add(追加)] をクリックします。
                    ステップ 5   [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] のリストで [Certificates(証明書)] を選択します。
                    ステップ 6   [Add(追加)] をクリックします。
                    ステップ 7   [Computer account(コンピュータ アカウント)] を選択します。
                    ステップ 8   [Next(次へ)] をクリックします。
                    ステップ 9   [Select Computer(コンピュータを選択)] ダイアログボックスで、次のタスクを実行します。
                    1. [<Local Computer>(このコンソールを実行しているコンピュータ)] が選択されていることを確認します。
                    2. [Finish(完了)] をクリックします。
                    ステップ 10   [Close(閉じる)] をクリックします。
                    ステップ 11   [OK(OK)] をクリックします。
                    ステップ 12   [Certificates(証明書)] コンソールの左側のペインで、[Certificates: Local Computer(証明書: ローカル コンピュータ)] を展開します。
                    ステップ 13   [Trusted Root Certification Authorities(信頼されたルート証明機関)] を展開します。
                    ステップ 14   [Certificates(証明書)] を右クリックし、[All Tasks(すべてのタスク)] をポイントします。
                    ステップ 15   [Import(インポート)] をクリックします。
                    ステップ 16   インポート ウィザードで、[Next(次へ)] をクリックします。
                    ステップ 17   [Browse(参照)] をクリックして、証明書チェーンを保存した場所に移動します。
                    ステップ 18   ファイルを選択し、[Open(開く)] をクリックします。
                    ステップ 19   [Next(次へ)] をクリックします。
                    ステップ 20   [Place all certificates in the store(すべての証明書をストアに配置)] というデフォルト値のままにして、[Certificate store(証明書ストア)] の下に [Trusted Root Certification Authorities(信頼されたルート証明機関)] が表示されていることを確認します。
                    ステップ 21   [Next(次へ)] をクリックします。
                    ステップ 22   [Finish(完了)] をクリックします。

                    次の作業

                    CA サーバへの証明書の要求

                    CA サーバへの証明書の要求

                    はじめる前に

                    CA 証明書チェーンのインストール の手順を実行します。

                    手順
                      ステップ 1   アクセス エッジ サーバにログインし、Web ブラウザを開きます。
                      ステップ 2   URL http://<ca_server_IP_address>/certsrv を開きます。
                      ステップ 3   [Request a Certificate(証明書を要求)] をクリックします。
                      ステップ 4   [Advanced certificate request(高度な証明書要求)] をクリックします。
                      ステップ 5   [Create and submit a request to this CA(この CA に要求を作成し、提出)] をクリックします。
                      ステップ 6   [Type of Certificate Needed(必要な証明書のタイプ)] リストから [Other(その他)] をクリックします。
                      ステップ 7   件名共通名にアクセス エッジ外部インターフェイスの FQDN を入力します。
                      ステップ 8   [OID(OID)] フィールドに次の OID を入力します。

                      1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2

                      (注)     

                      OID の中央にある 2 つの 1 をカンマで区切ります。

                      ステップ 9   次のいずれか 1 つの手順を実行します。
                      1. Windows Certificate Authority 2003 を使用する場合は、[Key Options(主要オプション)] で [Store certificate in the local computer certificate store(ローカル コンピュータ証明書ストアに証明書を格納)] チェックボックスをオンにします。
                      2. Windows Certificate Authority 2008 を使用している場合は、この項の「トラブルシューティングのヒント」で説明している回避策を参照してください。
                      ステップ 10   わかりやすい名前を入力します。
                      ステップ 11   [Submit(送信)] をクリックします。

                      次の作業

                      CA サーバからの証明書のダウンロード

                      CA サーバからの証明書のダウンロード

                      はじめる前に

                      CA サーバへの証明書の要求 の手順を実行します。

                      手順
                        ステップ 1   [Start(スタート)] > [Administrative Tools(管理ツール)] > [Certificate Authority(認証局)] を選択して、CA コンソールを起動します。
                        ステップ 2   左側のペインで、[Pending Requests(保留中の要求)] をクリックします。
                        ステップ 3   右側のペインで、ユーザが送信した証明書要求を右クリックします。
                        ステップ 4   [All Tasks(すべてのタスク)] > [Issue(発行)] を選択します。
                        ステップ 5   CA を実行しているアクセス エッジ サーバで http://local_server/certsrv を開きます。
                        ステップ 6   [View the Status of a Pending Certificate Request(保留中の証明書要求の状態の表示)] をクリックし、証明書要求をクリックします。
                        ステップ 7   [Install this certificate(この証明書のインストール)] をクリックします。

                        次の作業

                        アクセス エッジへの証明書のアップロード

                        アクセス エッジへの証明書のアップロード

                        この手順では、証明書ウィザードを使用してアクセス エッジ サーバに証明書をアップロードする方法について説明します。 また、アクセス エッジ サーバには手動で証明書をインポートすることもできます。それには、[Microsoft Office Communications Server 2007(Microsoft Office Communications Server 2007)] > [Properties(プロパティ)] > [Edge Interfaces(エッジ インターフェイス)] を選択します。

                        はじめる前に

                        CA サーバからの証明書のダウンロード の手順を実行します。

                        手順
                          ステップ 1   アクセス エッジ サーバで、[Start(スタート)] > [Administrative Tools(管理ツール)] > [Computer Management(コンピュータ管理)] を選択します。
                          ステップ 2   左側のペインで、[Microsoft Office Communications Server 2007(Microsoft Office Communications Server 2007)] を右クリックします。
                          ステップ 3   [Certificates(証明書)] をクリックします。
                          ステップ 4   [Next(次へ)] をクリックします。
                          ステップ 5   [Assign an existing certificate(既存の証明書を割り当てる)] タスク オプションをクリックします。
                          ステップ 6   [Next(次へ)] をクリックします。
                          ステップ 7   外部アクセス エッジインターフェイスに使用する証明書を選択し、[Next(次へ)] をクリックします。
                          ステップ 8   [Next(次へ)] をクリックします。
                          ステップ 9   [Edge Server Public Interface(エッジ サーバ パブリック インターフェース)] チェックボックスをオンにし、[Next(次へ)] をクリックします。
                          ステップ 10   [Next(次へ)] をクリックします。
                          ステップ 11   [Finish(完了)] をクリックします。

                          次の作業

                          Cisco Adaptive Securiy Appliance での TLS プロキシ設定

                          エンタープライズ認証局を使用したアクセス エッジのカスタム証明書の作成

                          次の手順を参照する必要があるのは、Microsoft エンタープライズ CA を使用してアクセス エッジの外部インターフェイスまたは Cisco Adaptive Security Appliance にクライアント/サーバ ロール証明書を発行する場合です。

                          はじめる前に

                          次の手順を実行するには、認証局(CA)がエンタープライズ CA で、Windows Server 2003 または 2008 の Enterprise Edition にインストールされている必要があります。

                          この手順の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx に記載されている Microsoft の指示を参照してください。

                          カスタム証明書テンプレートの作成および発行

                          手順
                            ステップ 1   次の URL にある Microsoft サイト「Creating and Issuing the Site Server Signing Certificate Template on the Certification Authority」の手順 1 ~ 6 を実行します。

                            http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx#BKMK_​siteserver1

                            ヒント   

                            手順 5 では、この特別なテンプレートに相互認証証明書などの適切な名前を使用します。

                            ステップ 2   Microsoft サイトの手順 7 ~ 12 の代わりに次の手順を実行します。
                            1. [Extensions(拡張)] タブを選択します。 [Application Policies(アプリケーションのポリシー)] の下に [Client Authentication(クライアント認証)] および [Server Authentication(サーバ認証)] があり、他のポリシーがないことを確認します。 これらのポリシーがない場合は、続行する前に追加する必要があります。
                              • [Edit Application Policies Extension(アプリケーション ポリシーの拡張の編集)] ダイアログボックスで、[Add(追加)] をクリックします。

                              • [Add Application Policy(アプリケーションのポリシーの追加)] ダイアログボックスで、[Client Authentication(クライアント認証)] を選択し、Shift を押してから [Server Authentication(サーバ認証)] を選択して、[Add(追加)] をクリックします。

                              • [Edit Application Policies Extension(アプリケーション ポリシーの拡張の編集)] ダイアログボックスで、他にポリシーがあれば、それを選択して [Remove(削除)] を選択します。

                              [Properties of New Template(新しいテンプレートのプロパティ)] ダイアログボックスに、[Application Policies(アプリケーションのポリシー)] の説明として、クライアント認証とサーバ認証のリストが表示されます。

                            2. [Issuance Requirement(発行要件)] タブを選択します。 証明書が自動的に発行されないようにしたい場合は、[CA certificate manager approval(CA 証明書マネージャの許可)] を選択します。 これ以外の場合は、このオプションは空白のままにしておきます。
                            3. [Security(セキュリティ)] タブを選択し、必要なすべてのユーザとグループに読み取り権限と登録権限を必ず付与します。
                            4. [Request Handling(要求の処理)] タブを選択し、[CSP] ボタンをクリックします。
                            5. [CSP Selection(CSP の選択)] ダイアログボックスで、[Requests must use one of the following CSP’s(要求で次の CSP のいずれかを使用)] をオンにします。
                            6. CSP のリストから、[Microsoft Basic Cryptographic Provider v1.0 and Microsoft Enhanced Cryptographic Provider v1.0(Microsoft Basic Cryptographic Provider v1.0 および Microsoft Enhanced Cryptographic Provider v1.0)] を選択し、[OK] をクリックします。
                            ステップ 3   次の URL にある Microsoft サイト「Creating and Issuing the Site Server Signing Certificate Template on the Certification Authority」の手順 13 ~ 15 に進みます。

                            http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx#BKMK_​siteserver1


                            次の作業

                            サイト サーバ署名証明書の要求

                            サイト サーバ署名証明書の要求

                            手順
                              ステップ 1   次の URL にある Microsoft サイト「Site Server Signing Certificate for the Server That Will Run the Configuration Manager 2007 Site Server」の手順 1 ~ 6 を実行します。

                              http:/​/​technet.microsoft.com/​en-us/​library/​bb694035.aspx#BKMK_​siteserver2

                              ヒント   

                              手順 5 では、相互認証証明書など、以前に作成した証明書テンプレートの名前を選択し、[Name(名前)] フィールドにアクセス エッジの外部 FQDN を入力します。

                              ステップ 2   Microsoft サイトの手順 7 ~ 8 の代わりに次の手順を実行します。
                              1. 証明書要求が自動的に発行される場合は、署名証明書をインストールするオプションが提示されます。 [Install this Certificate(この証明書のインストール)] を選択します。
                              2. 証明書要求が自動的に発行されない場合は、管理者が証明書を発行するまで待機しなければなりません。 発行されたら、次を実行します。
                                • メンバ サーバで、Internet Explorer をロードし、http://<server>/certsrv のアドレスを使用して Web 登録サービスに接続します。ここで、<server> はエンタープライズ CA の名前または IP アドレスです。

                                • [Welcome(ようこそ)] ページで、[View the status of a pending certificate request(保留中の証明書要求のステータスを表示)] を選択します。

                              3. 発行された証明書を選択し、[Install this Certificate(この証明書のインストール)] を選択します。

                              TLS フェデレーション用の Lync エッジ サーバでのセキュリティ証明書の設定

                              Microsoft Lync との TLS フェデレーション用にアクセス エッジ上で証明書を設定する方法については、URL http:/​/​technet.microsoft.com/​en-us/​library/​gg398409.aspx にある Microsoft TechNet ライブラリのマニュアルを参照してください。 IM and Presence Service でフェデレーテッド接続を行うには相互 TLS 認証が必要なため、サーバ認証とクライアント認証を両方サポートするよう Microsoft Lync 証明書を設定する必要があります。 上記のガイドに従う場合は、2 番目の項をスキップして 3 番目の項に移動します。この項には、AOL とのパブリック IM 接続をサポートするエッジ サーバの外部インターフェイスに対して証明書要求を作成する方法が記載されています。 AOL にも、IM and Presence Service と同じ相互 TLS 認証要件があります。 このガイドは、TLS 上で IM and Presence Service とのフェデレーションを直接行うよう Lync Server を設定するのにも使用できます。

                              ダイレクト フェデレーションを行えるよう Lync Server でスタティック ルートを設定する方法については、Microsoft Lync Server 設定タスク リストへのフェデレーテッド リンクを参照してください。

                              Cisco Adaptive Security Appliance と AOL SIP アクセス ゲートウェイの間でのセキュリティ証明書の交換

                              AOL を使用するには、Cisco Adaptive Security Appliance の証明書が信頼済み認証局(CA)によって署名されている必要があります。 AOL は、Windows でよく使用される CA や、主なブラウザで配信されるライブラリに含まれている CA から成る、確立された信頼リストを持っています。 AOL の信頼リストにない CA を使用したい場合は、シスコの担当者と協力してこの情報を AOL に提供してください。

                              Verisign CA を使用して Cisco Adaptive Security Appliance と外部ドメイン(Microsoft アクセス エッジ)の間での証明書交換を設定する方法を詳細に示した設定ワークフローの例が、このマニュアルの付録に記載されています。 この手順を基準として使用して、Verisign CA を使用した Cisco Adaptive Security Appliance と AOL SIP Access Gateway の間での証明書交換を設定します。 設定手順の大まかな概要を下記に示します。

                              Verisign CA を使用した Cisco Adaptive Security Appliance と AOL SIP Access Gateway の間での証明書交換を設定するには、次の手順を実行します。


                              (注)  


                              IM and Presence Service ノード証明書のサブジェクト CN が IM and Presence Service ノードの FQDN と一致している必要があります。 Cisco Adaptive Security Appliance での IM and Presence Service 用パブリック証明書と CN は、[Federation Routing IM and Presence FQDN(フェデレーション ルーティング IM and Presence の FQDN)] サービス パラメータの値と同じである必要があります。


                              • CSR を Verisign CA に送信します。

                              • Verisign CA により、次の証明書が提供されます。

                                • Verisign 署名付き証明書

                                • Verisign 下位/中間/ルート証明書

                                • Verisign ルート CA 証明書

                              • Cisco Adaptive Security Appliance で、証明書署名要求の作成に使用する一時ルート証明書を削除します。

                              • Verisign 下位/中間/ルート証明書を Cisco Adaptive Security Appliance にインポートします。

                              • Cisco Adaptive Security Appliance で、Verisign ルート CA 証明書のトラストポイントを作成します。

                              • Verisign ルート CA 証明書を Cisco Adaptive Security Appliance にインポートし、続いて Verisign 署名付き証明書を Cisco Adaptive Security Appliance にインポートします。

                              • VeriSign ルート証明書および中間証明書を AOL に提供します。


                              (注)  


                              AOL 信頼リストにこのルート CA がまだない場合は、AOL にこの CA を提供する必要があります。