Cisco Unified Communications Manager、リリース 10.0(1) の IM and Presence サービスでの Microsoft Office Communicator コール制御と Microsoft OCS の使用
IM and Presence サービスのセキュリティ証明書の設定
IM and Presence サービスのセキュリティ証明書の設定

IM and Presence サービスのセキュリティ証明書の設定

この章は、IM and Presence サービスMicrosoft OCS との間のセキュアな接続が必要な場合のみ適用されます。

このトピックでは、スタンドアロンの CA を使用したセキュリティ証明書の設定について説明します。企業の CA を使用している場合は、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』の、企業の CA を使用した証明書交換手順の例を参照してください。


(注)  


SIP プロキシ証明書(所有および信頼)は、X.509 バージョン 3 に準拠する必要があります。


スタンドアロン ルート証明機関(CA)の設定

手順
    ステップ 1   ドメイン管理者権限で CA サーバにサイン インします。
    ステップ 2   Windows Server 2003 CD を挿入します。
    ステップ 3   [スタート(Start)] > [設定(Settings)] > [コントロール パネル(Control Panel)] の順に選択します。
    ステップ 4   [プログラムの追加と削除(Add or Remove Programs)] をダブルクリックします。
    ステップ 5   [Windows コンポーネントの追加と削除(Add/Remove Windows Components)] をクリックします。
    ステップ 6   [アプリケーション サーバ(Application Server)] を選択します。
    ステップ 7   [インターネット インフォメーション サービス(IIS)(Internet Information Services (IIS))] を選択します。
    ステップ 8   インストール手順を完了します。
    ステップ 9   [Windows コンポーネントの追加と削除(Add/Remove Windows Components)] をクリックします。
    ステップ 10   [証明書サービス(Certificate Services)] を選択します。
    ステップ 11   [次へ(Next)] をクリックします。
    ステップ 12   [スタンドアロンのルート CA(Standalone root CA)] を選択します。
    ステップ 13   [次へ(Next)] をクリックします。
    ステップ 14   CA ルートの名前を入力します。
    (注)     

    この名前は、フォレスト ルートの CA ルートをわかりやすくした名前にすることができます。

    ステップ 15   時間をこの証明書に必要な年数に変更します。
    ステップ 16   [次へ(Next)] をクリックしてインストールを開始します。
    ステップ 17   証明書データベースおよび証明書データベース ファイルの場所を選択します。
    ステップ 18   [次へ(Next)] をクリックします。
    ステップ 19   IIS を停止するように求められたら、[はい(Yes)] を選択します。
    ステップ 20   Active Server Pages に関するメッセージが表示されたら [はい(Yes)] を選択します。
    ステップ 21   [終了(Finish)] をクリックします。

    次の作業

    CA サーバからルート証明書をダウンロード

    CA サーバからルート証明書をダウンロード

    はじめる前に

    スタンドアロン ルート証明機関(CA)を設定します。

    手順
      ステップ 1   CA サーバにサイン インし、Web ブラウザを開きます。
      ステップ 2   URL http://<ca_server_IP_address>/certsrv を開きます。
      ステップ 3   [Download a CA certificate, certificate chain, or CRL(CA 証明書、証明書チェーン、または CRL のダウンロード)] をクリックします。
      ステップ 4   [エンコード方式(Encoding Method)] で [Base 64] を選択します。
      ステップ 5   [CA 証明書のダウンロード(Download CA Certificate)] をクリックします。
      ステップ 6   証明書ファイル certnew.cer をローカル ディスクに保存します。

      トラブルシューティングのヒント

      ルート証明書のサブジェクトの共通名(CN)がわからない場合は、外部の証明書管理ツールを使用して探すことができます。Windows オペレーティング システムでは、拡張子が .cer の証明書ファイルを右クリックして、証明書のプロパティを開くことができます。


      次の作業

      IM and Presence サービスへのルート証明書のアップロード

      IM and Presence サービスへのルート証明書のアップロード

      はじめる前に

      CA サーバからルート証明書をダウンロードします。

      手順
        ステップ 1   IM and Presence サービス ノードの管理に使用するローカル コンピュータに certnew.cer ファイルをコピーします。
        ステップ 2   [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
        ステップ 3   [証明書のアップロード(Upload Certificate)] をクリックします。
        ステップ 4   [証明書の名前(Certificate Name)] メニューから [cup-trust] を選択します。
        (注)     

        ルート名のフィールドは空白のままにしておきます。

        ステップ 5   [参照(Browse)] をクリックします。
        ステップ 6   ローカル コンピュータで certnew.cer ファイルがある場所に移動します。
        (注)     

        証明書ファイルの拡張子を .pem に変更することが必要になる場合があります。

        ステップ 7   [ファイルのアップロード(Upload File)] をクリックします。
        ヒント   

        [証明書の管理(Certificate Management)] の検索画面を使用して、cup-trust にアップロードした新規 CA 証明書ファイル名を書き留めます。この証明書ファイル名(拡張子の .pem または .der 以外)が、CA 署名済み SIP プロキシ証明書をアップロードするときにルート CA のフィールドに入力する値となります。


        次の作業

        IM and Presence サービスの証明書署名要求の生成

        IM and Presence サービスの証明書署名要求の生成

        はじめる前に

        ルート証明書を IM and Presence サービスにアップロードします。

        手順
          ステップ 1   [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
          ステップ 2   [CSR の作成(Generate CSR)] をクリックします。
          ステップ 3   [証明書の名前(Certificate Name)] メニューから [cup] を選択します。
          ステップ 4   [CSR の作成(Generate CSR)] をクリックします。

          次の作業

          IM and Presence サービスからの証明書署名要求のダウンロード

          IM and Presence サービスからの証明書署名要求のダウンロード

          はじめる前に

          IM and Presence サービスの証明書署名要求の生成

          手順
            ステップ 1   [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
            ステップ 2   [CSR のダウンロード(Download CSR)] をクリックします。
            ステップ 3   [証明書の名前(Certificate Name)] メニューから [cup] を選択します。
            ステップ 4   [CSR のダウンロード(Download CSR)] をクリックします。
            ステップ 5   [保存(Save)] を選択して、cup.csr ファイルをローカル コンピュータに保存します。

            次の作業

            CA サーバで証明書署名要求を送信

            CA サーバで証明書署名要求を送信

            はじめる前に

            IM and Presence サービスからの証明書署名要求のダウンロード

            手順
              ステップ 1   証明書要求ファイル cup.csr を CA サーバにコピーします。
              ステップ 2   URL http://local-server/certserv または http://127.0.0.1/certsrv を開きます。
              ステップ 3   [証明書を要求する(Request a certificate)] をクリックします。
              ステップ 4   [証明書の要求の詳細設定(Advanced certificate request)] をクリックします。
              ステップ 5   [ベース 64 エンコード CMC または PKCS #10 ファイルを使用して証明書要求を送信するか、ベース 64 エンコード PKCS #7 ファイルを使用して更新要求を送信する(Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file)] を選択します。
              ステップ 6   メモ帳などのテキスト エディタを使用して、生成した cup 自己証明書を開きます。
              ステップ 7   次の行から、

              -----BEGIN CERTIFICATE REQUEST

              次の行までの情報をすべてコピーします。

              END CERTIFICATE REQUEST-----

              ステップ 8   証明書要求の内容を [証明書要求(Certificate Request)] テキスト ボックスに貼り付けます。
              ステップ 9   [送信(Submit)] をクリックします。

              要求 ID 番号が表示されます。

              ステップ 10   [管理ツール(Administrative Tools)] で [証明機関(Certificate Authority)] を開きます。

              [証明機関(Certificate Authority)] ウィンドウの [保留中の要求(Pending Requests)] の下に、送信したばかりの要求が表示されます。

              ステップ 11   その証明書要求を右クリックします。
              ステップ 12   [すべてのタスク(All Tasks)][発行(Issue)] を選択します。
              ステップ 13   [発行済み証明書(Issued certificates)] を選択し、証明書が発行されていることを確認します。

              次の作業

              CA サーバから署名付き証明書をダウンロード

              CA サーバから署名付き証明書をダウンロード

              はじめる前に

              CA サーバで証明書署名要求を送信します。

              手順
                ステップ 1   CA が実行されている Windows サーバで http://<local_server>/certsrv を開きます。
                ステップ 2   [保留中の証明書の要求の状態(View the status of a pending certificate request)] をクリックします。
                ステップ 3   直前に送信された要求を表示するオプションを選択します。
                ステップ 4   [ベース 64 エンコード(Base 64 encoded)] をクリックします。
                ステップ 5   [証明書をダウンロード(Download Certificate)] をクリックします。
                ステップ 6   署名済み証明書をローカル ディスクに保存します。
                ステップ 7   証明書 cup.pem の名前を変更します。
                ステップ 8   cup.pem ファイルをローカル コンピュータにコピーします。

                次の作業

                IM and Presence への署名付き証明書のアップロード

                IM and Presence への署名付き証明書のアップロード

                はじめる前に

                CA サーバからの署名済み証明書のダウンロード

                手順
                  ステップ 1   [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                  ステップ 2   [証明書のアップロード(Upload Certificate)] をクリックします。
                  ステップ 3   [証明書の名前(Certificate Name)] メニューから [cup] を選択します。
                  ステップ 4   ルート証明書の名前を指定します。ルート証明書の名前には、拡張子 .pem または .der が含まれている必要があります。
                  ステップ 5   [参照(Browse)] をクリックします。
                  ステップ 6   ローカル コンピュータで署名済みの cup.pem 証明書がある場所に移動します。
                  ステップ 7   [ファイルのアップロード(Upload File)] をクリックします。

                  次の作業

                  Microsoft OCS に使用するセキュリティ証明書の設定