Cisco Unified Communications Manager Release 10.5(1)の IM and Presence サービスに対するドメイン間フェデレーション
XMPP フェデレーションに使用するセキュリティ証明書の設定
XMPP フェデレーションに使用するセキュリティ証明書の設定

XMPP フェデレーションに使用するセキュリティ証明書の設定

XMPP フェデレーションに使用するセキュリティ証明書の設定

XMPP フェデレーション用のセキュリティを設定するためには、以下のような操作を行う必要があります。

  1. すべてのローカル ドメインがシステムで作成、設定され、必要に応じて、cup-xmpp-s2s 証明書を生成する前に、不足しているローカル ドメインが手動で作成されていることを確認します。

  2. 次のいずれかのタイプの証明書を作成します。

    • XMPP フェデレーション用の自己署名付きの単一サーバ証明書

    • XMPP フェデレーション用の CA 署名付きの単一サーバ証明書またはマルチサーバ証明書

  3. ルート CA 証明書をインポートします。

    まだ信頼していない CA を使用する企業とのフェデレーションを新たに設定するたびに、この操作を繰り返します。 同様に、フェデレーションを新たに設定する企業が自己署名証明書を使用している場合もこの操作を行う必要があります。この場合、ルート CA 証明書の代わりに自己署名証明書がアップロードされます。

XMPP フェデレーション用のローカル ドメインの確認

すべてのローカル ドメインは生成された cup-xmpp-s2s の証明書に含める必要があります。 cup-xmpp-s2s の証明書を生成する前に、すべてのローカル ドメインが設定され [Domains(ドメイン)] ウィンドウに表示されていることを確認します。 計画されているが、ローカル ドメインのリストに表示されないドメインを手動で追加します。 たとえば、現在ユーザを正常に割り当てられるドメインは、ドメインのリストに表示されません。

[Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presence Administration)] ユーザ インターフェイスにログインし、[Presence(プレゼンス)] > [Domains(ドメイン)]を選択します。

すべてのドメインがシステムで作成されることを確認した後、XMPP フェデレーションの自己署名証明書または CA 署名付き証明書を使用して cup-xmpp-s2s の証明書を作成する手順に進みます。 フェデレーションに対して電子メール アドレスがイネーブルの場合、すべての電子メールのドメインは、証明書に含める必要があります。

ローカル ドメインを追加するか、更新するか、削除し、cup-xmpp-s2s の証明書を再生成する場合、Cisco XCP XMPP フェデレーション接続マネージャ サービスを再起動しなければなりません。 このサービスを再起動するには、[Cisco Unified IM and Presence Serviceability(Cisco Unified IM and Presence Serviceability)] ユーザ インターフェイスにログインし、[Tools(ツール)] > [Control Center - Feature Service(コントロール センター - 機能サービス)] を選択します。

マルチ サーバ証明書の概要

IM and Presence サービスは、Tomcat、cup-xmpp および cup-xmpp-s2s の証明書の目的のために、マルチ サーバ SAN ベースの証明書をサポートします。 適切な証明書署名要求(CSR)を生成するためにシングルサーバまたはマルチ サーバ分散間で選択できます。 結果的に取得される署名付きマルチ サーバ証明書と署名する証明書の関連チェーンは、クラスタ内の個々のサーバのいずれかにマルチ サーバ証明書がアップロードされるときにクラスタ内の他のサーバに自動的に分散されます。 マルチ サーバ証明書の詳細については、『Release Notes for Cisco Unified Communications Manager, Release 10.5(1)』の「New and Changed Features」の章を参照してください。

XMPP フェデレーションに自己署名証明書を使用する

ここでは、XMPP フェデレーションに自己署名証明書を使用する方法について説明します。 CA 署名付き証明書の使用方法については、XMPP フェデレーションへの CA 署名付き証明書の使用を参照してください。

手順
    ステップ 1   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 [Security(セキュリティ)] > [Certificate Management(証明書管理)]を選択します。
    ステップ 2   [Generate Self-signed(自己署名付きを生成)] をクリックします。
    ステップ 3   [Certificate Purpose(証明書目的)] ドロップダウン リストから、[cup-xmpp-s2s(cup-xmpp-s2s)] を選択し、[Generate(生成)] をクリックします。
    ステップ 4   Cisco XMPP Federation Connection Manager サービスを再起動します。 [Cisco Unified IM and Presence Serviceability(Cisco Unified IM and Presence Serviceability)] ユーザ インターフェイスにログインします。 [Tools(ツール)] > [Control Center - Network Services(コントロール センター - ネットワーク サービス)] を選択し、このサービスを再起動します。
    ステップ 5   証明書をダウンロードして別のエンタープライズに送信して、XMPP サーバの信頼できる証明書として追加できます。 これは、IM and Presence Service ノードまたは他の XMPP サーバである場合があります。

    次の作業

    XMPP フェデレーションへの CA 署名付き証明書の使用

    XMPP フェデレーションへの CA 署名付き証明書の使用

    ここでは、CA 署名付き証明書を使用する方法について説明します。 自己署名付き証明書の使用方法については、XMPP フェデレーションに自己署名証明書を使用するを参照してください。

    XMPP フェデレーションの証明書署名要求を生成する

    ここでは、Microsoft Certificate Services CA の証明書署名要求(CSR)を生成する方法について説明します。


    (注)  


    この手順では Microsoft Certificate Services CA の CSR を生成しますが、任意の認証局の証明書を要求する場合は、CSR を生成する手順(手順 1 ~ 3)が適用されます。


    手順
      ステップ 1   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 [Security(セキュリティ)] > [Certificate Management(証明書管理)] を選択します。
      ステップ 2   CSR を生成するには、次の手順を実行します。
      1. [Generate CSR(CSR を生成)] をクリックします。
      2. [Certificate Purpose(証明書の目的)] ドロップダウン リストから、証明書名の cup-xmpp-s2s を選択します。
      3. 配信用には、単一署名された証明書を生成するローカル サーバ、またはマルチサーバ証明書を生成するマルチサーバ(SAN)の FQDN を選択します。
        (注)     

        両方のディストリビューション オプションでは、すべての既存のドメイン、電子メール ドメインおよび [Cisco Unified IM and Presence Administration(Cisco Unified IM and Presence Administration)] ユーザ インターフェースで設定されたグループ チャットのサーバ エイリアスは、生成された CSR に自動的に含まれます。 [Multi-server (SAN)(マルチサーバ(SAN))] オプションを選択した場合、各 IM and Presence サービス ノードのホスト名または FQDN は、生成された CSR に追加されます。 マルチサーバ証明書の詳細については、『Release Notes for Cisco Unified Communications Manager, Release 10.5(1)』の「New and Changed Features」の章を参照してください。

      4. [Generate(生成)] をクリックします。
        (注)     

        [Multi-server(SAN)(マルチサーバ(SAN))] を選択した場合、CSR はクラスタの他のすべての IM and Presence サービス ノードのファイル システムにコピーされます。

      5. [Close(閉じる)] を選択し、メインの証明書ウィンドウに戻ります。
      ステップ 3   .csr ファイルをローカル マシンにダウンロードするには:
      1. [Download CSR(CSR をダウンロード)] をクリックします。
      2. [Certificate Purpose(証明書目的)] ドロップダウン メニューから cup-xmpp-s2s を選択します。
      3. [Download CSR(CSR をダウンロード)] を選択して、そのファイルをローカル マシンにダウンロードします。
      ステップ 4   テキスト エディタを使用して cup-xmpp-s2s.csr ファイルを開きます。
      ステップ 5   CSR ファイルの内容をコピーします。

      次の行から

      - BEGIN CERTIFICATE REQUEST

      次の行までの情報をすべてコピーします。

      END CERTIFICATE REQUEST -

      ステップ 6   インターネット ブラウザで、CA サーバを参照してください。例: http://<name of your Issuing CA Server>/certsrv
      ステップ 7   [Request a certificate(証明書を要求)] をクリックします。
      ステップ 8   [Advanced certificate request(高度な証明書要求)] をクリックします。
      ステップ 9   [Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file(Base-64 で暗号化された CMC または PKCS #10 ファイルを使用して証明書要求を提出)] を選択するか、[submit a renewal request by using a base-64 encoded PKCS #7 file(Base 64 で暗号化された PKCS #7 ファイルを使用して更新要求を送信)] をクリックします。
      ステップ 10   (手順 5 でコピーした)CSR ファイルの内容を [Saved Request(保存された要求)] フィールドに貼り付けます。
      ステップ 11   [Submit(送信)] をクリックします。
      ステップ 12   インターネット ブラウザで、次の URL に戻ります。http://<name of your Issuing CA Server>/certsrv
      ステップ 13   [View the status of a pending certificate request(保留中の証明書要求のステータスを表示)] を選択します。
      ステップ 14   前の項で発行した証明書の要求をクリックします。
      ステップ 15   [Base 64 encoded(Base 64で暗号化)] をクリックします。
      ステップ 16   [Download certificate(証明書をダウンロード)] をクリックします。
      ステップ 17   証明書をローカル マシンに保存します。
      1. 証明書ファイル名 cup-xmpp-s2s.pem を指定します。
      2. 証明書をセキュリティ証明書として保存します。

      次の作業

      XMPP フェデレーションの CA 署名付き証明書をアップロードする

      トラブルシューティングのヒント

      • IM and Presence サービスのサポートされるドメインのリストが変更される場合は、新しいドメイン リストを反映するように cup-xmpp-s2s 証明書を再生成する必要があります。

      XMPP フェデレーションの CA 署名付き証明書をアップロードする

      はじめる前に

      XMPP フェデレーションの証明書署名要求を生成するの手順を完了します。

      手順
        ステップ 1   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 [Security(セキュリティ)] > [Certificate Management(証明書管理)] を選択します。
        ステップ 2   [Upload Certificate/Certificate chain(証明書/証明書チェーンをアップロード)] をクリックします。
        ステップ 3   証明書名に [cup-xmpp-s2s(cup-xmpp-s2s)] を選択します。
        ステップ 4   ローカル マシンに保存した CA 署名付き証明書の場所を参照します。
        ステップ 5   [Upload File(ファイルのアップロード)] をクリックします。
        (注)     

        マルチサーバの SAN ベースの証明書を生成した場合は、クラスタ内の任意の IM and Presence サービス ノードへこれをアップロードできます。 これを実行する際には、結果として署名されたマルチサーバ証明書と署名証明書の関連チェーンンが、クラスタ内の個々の任意のサーバに複数サーバ証明がアップロードされると、クラスタの他のサーバに自動的に配布されます。 自己署名証明書がノードのいずれかにある場合、新しいマルチサーバの証明書によって上書きされます。 マルチサーバ証明書の詳細については、『Release Notes for Cisco Unified Communications Manager, Release 10.5(1)』の「New and Changed Features」の章を参照してください。

        ステップ 6   Cisco XMPP Federation Connection Manager サービスを再起動します。 [Cisco Unified IM and Presence Serviceability(Cisco Unified IM and Presence Serviceability)] ユーザ インターフェイスにログインします。 [Tools(ツール)] > [Control Center - Network Services(コントロール センター - ネットワーク サービス)] を選択し、このサービスを再起動します。
        (注)      マルチサーバの証明書をアップロードするには、クラスタ内のすべてIM and Presence サービス ノードで XCP ルータ サービスを再起動しなければなりません。

        XMPP フェデレーションのルート CA 証明書をインポートする


        (注)  


        ここでは、XMPP S2S 信頼証明書を IM and Presence サービスに手動でアップロードする方法について説明します。 また、Certificate Import Tool を使用して、XMPP S2S 信頼証明書を自動的にアップロードすることもできます。 Certificate Import Tool にアクセスするには、[Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presence Administration)] ユーザ インターフェースにログインします。 [System(システム)] > [Security(セキュリティ)] > [Certificate Import Tool(証明書インポート ツール)] を選択し、このツールを使用する手順を記載するオンライン ヘルプを参照してください。


        IM and Presence サービスとエンタープライズのフェデレーションを行い、共通の信頼できる認証局(CA)がエンタープライズの証明書に署名する場合、CA のルート証明書を IM and Presence サービス ノードにアップロードする必要があります。

        共通の信頼できる CA が署名した証明書ではなく、自己署名証明書を使用するエンタープライズと IM and Presence サービスのフェデレーションを行う場合、この手順を使用して自己署名証明書をアップロードできます。

        はじめる前に

        ルート CA 証明書をダウンロードし、ローカル マシンに保存します。

        手順
          ステップ 1   [Cisco Unified IM and Presence Operating System Administration(Cisco Unified IM and Presence Operating System Administration)] ユーザ インターフェイスにログインします。 IM and Presence サービスで、[Security(セキュリティ)] > [Certificate Management(証明書管理)]を選択します。
          ステップ 2   [Upload Certificate/Certificate chain(証明書/証明書チェーンをアップロード)] をクリックします。
          ステップ 3   証明書名に [cup-xmpp-trust(cup-xmpp-trust)] を選択します。
          (注)     

          [Root Name(ルート名)] フィールドは空白のままにしておきます。

          ステップ 4   [Browse(参照)] を選択し、以前にダウンロードしてローカル マシンに保存したルート CA 証明書の場所を参照します。
          ステップ 5   [Upload File(ファイルをアップロード)] を選択し、証明書を IM and Presence サービス ノードにアップロードします。
          (注)     

          まだ信頼していない CA を使用する企業とのフェデレーションを新たに設定するたびに、この操作を繰り返します。 同様に、フェデレーションを新たに設定する企業が自己署名証明書を使用している場合もこの操作を行う必要があります。この場合、ルート CA 証明書の代わりに自己署名証明書がアップロードされます。

          トラブルシューティングのヒント

          信頼証明書が自己署名の場合、XMPP フェデレーションのセキュリティ設定ウィンドウで [Require client side certificates(クライアント側の証明書を要求)] パラメータをオンにすることはできません。