Cisco Unified Communications Manager、リリース 10.0(1) の IM and Presence サービスでの Microsoft Office Communicator コール制御と Microsoft OCS の使用
IM and Presence サービスと Microsoft OCS 間のセキュリティの設定
IM and Presence サービスと Microsoft OCS 間のセキュリティの設定

IM and Presence サービスと Microsoft OCS 間のセキュリティの設定

この章は、IM and Presence サービスMicrosoft OCS との間のセキュアな接続が必要な場合のみ適用されます。

Microsoft OCS に使用するセキュリティ証明書の設定

CA 証明書チェーンのダウンロード

手順
    ステップ 1   [スタート(Start)] > [実行(Run)] を選択します。
    ステップ 2   次の操作を実行します。
    1. http://<name of your Issuing CA Server>/certsrv と入力します。
    2. [OK] をクリックします。
    ステップ 3   [タスクの選択(Select a task)] から [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] をクリックします。
    ステップ 4   [CA 証明書チェーンのダウンロード(Download CA certificate chain)] を選択します。
    ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。
    ステップ 6   サーバのハード ディスク ドライブにファイルを保存します。

    トラブルシューティングのヒント

    証明書ファイルの拡張子は .p7b です。この .p7b ファイルを開くと、チェーンに次の 2 つの証明書が含まれるようになります。

    • スタンドアロンのルート CA 証明書の名前

    • スタンドアロンの下位 CA 証明書の名前(ある場合)


    次の作業

    CA 証明書チェーンをインストール

    CA 証明書チェーンをインストール

    はじめる前に

    CA 証明書チェーンをダウンロードします。

    手順
      ステップ 1   [スタート(Start)] > [実行(Run)] を選択します。
      ステップ 2   次の操作を実行します。
      1. mmc と入力します。
      2. [OK] をクリックします。
      ステップ 3   [ファイル(File)] > [スナップインの追加と削除(Add/Remove Snap-in)] を選択します。
      ステップ 4   [スナップインの追加と削除(Add/Remove Snap-in)] ダイアログボックスで [追加(Add)] をクリックします。
      ステップ 5   [利用できるスタンドアロン スナップイン(Available Standalone Snap-ins)] のリストで [証明書(Certificates)] を選択します。
      ステップ 6   [追加(Add)] をクリックします。
      ステップ 7   [コンピュータ アカウント(Computer account)] をクリックします。
      ステップ 8   [次へ(Next)] をクリックします。
      ステップ 9   [コンピュータの選択(Select Computer)] ダイアログボックスから次の手順を実行します。
      1. [ローカル コンピュータ:(このコンソールを実行しているコンピュータ)(Local computer: (the computer this console is running on))] を選択します。
      2. [終了(Finish)] をクリックします。
      3. [閉じる(Close)] をクリックします。
      4. [OK] をクリックします。
      ステップ 10   [証明書(Certificates)] コンソールの左ペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
      ステップ 11   [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。
      ステップ 12   [証明書(Certificates)] を右クリックします。
      ステップ 13   次の操作を実行します。
      1. [すべてのタスク(All Tasks)] をポイントします。
      2. [インポート(Import)] をクリックします。
      ステップ 14   インポート ウィザードで [次へ(Next)] をクリックします。
      ステップ 15   [参照(Browse)] を選択し、自分のコンピュータ上で証明書チェーンがある場所に移動します。
      ステップ 16   [開く(Open)] をクリックします。
      ステップ 17   [次へ(Next)] をクリックします。
      ステップ 18   [証明書をすべて次のストアに配置する(Place all certificates in the following store)] をデフォルト値のままオンにしておきます。
      ステップ 19   [証明書ストア(Certificate store)] の下に [信頼されたルート証明機関(Trusted Root Certification Authorities)] が表示されていることを確認します。
      ステップ 20   [次へ(Next)] をクリックします。
      ステップ 21   [終了(Finish)] をクリックします。

      次の作業

      CA サーバで証明書要求を送信

      CA サーバで証明書要求を送信

      はじめる前に

      CA 証明書チェーンをインストールします。

      手順
        ステップ 1   証明書を必要とするコンピュータで、Web ブラウザを開きます。
        ステップ 2   URL http://<name of your Issuing CA server>/certsrv を入力します。
        ステップ 3   Enter キーを押します。
        ステップ 4   [証明書を要求する(Request a Certificate)] をクリックします。
        ステップ 5   [証明書の要求の詳細設定(Advanced certificate request)] をクリックします。
        ステップ 6   [この CA への要求を作成して送信する(Create and submit a request to this CA)] をクリックします。
        ステップ 7   [必要な証明書の種類(Type of Certificate Needed)] リストで [その他(Other)] を選択します。
        ステップ 8   [識別情報(Identifying Information)] セクションの [名前(Name)] フィールドに、FQDN と入力します。この名前は、Microsoft OCS の名前と一致する必要があります(通常、FQDN です)。
        ステップ 9   [OID] フィールドに、OID として 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 と入力します。
        (注)     

        OID の中央にある 2 つの 1 をカンマで区切ります。

        ステップ 10   次のいずれかの手順を実行します。
        1. Windows Certificate Authority 2003 を使用している場合は、[キーのオプション(Key Options)] の [ローカル コンピュータの証明書ストアに証明書を格納する(Store certificate in the local computer certificate store)] をオンにします。
        2. Windows Certificate Authority 2008 を使用している場合は、このトピックの「トラブルシューティングのヒント」で説明している回避策を参照してください。
        ステップ 11   わかりやすい名前を入力します。
        ステップ 12   [送信(Submit)] をクリックします。
        ステップ 13   [潜在するスクリプト違反(Potential Scripting Violation)] ダイアログボックスで [はい(Yes)] をクリックします。

        トラブルシューティングのヒント

        Windows Certificate Authority 2008 を使用している場合、証明書登録ページでローカル コンピュータ ストアに証明書を保存するためのオプションがなくなりました。上記のステップ 10 の代わりに、次の回避策を実行してください。

        1. Microsoft OCS サーバからサイン アウトします。
        2. ローカル ユーザとして Microsoft OCS サーバにサイン インします。
        3. 証明書を作成します。
        4. CA サーバから証明書を承認します。
        5. 証明書をファイルにエクスポートします。
        6. Microsoft OCS サーバからサイン アウトします。
        7. ドメイン ユーザとして Microsoft OCS サーバにサイン インします。
        8. 証明書ウィザードを使用して、証明書ファイルをインポートします。証明書が、Microsoft OCS 証明書のタブに表示されます(証明書がローカル コンピュータ ストアにインストールされるためです)。

        次の作業

        証明書の承認とインストール

        証明書の承認とインストール

        はじめる前に

        CA サーバで証明書要求を送信します。

        手順
          ステップ 1   ドメイン管理者クレデンシャルで企業の下位 CA サーバにサイン インします。
          ステップ 2   [スタート(Start)] > [実行(Run)] を選択します。
          ステップ 3   次の操作を実行します。
          1. mmc と入力します。
          2. Enter キーを押します。
          ステップ 4   [ファイル(File)] > [スナップインの追加と削除(Add/Remove Snap-in)] を選択します。
          ステップ 5   [追加(Add)] をクリックします。
          ステップ 6   [スタンドアロン スナップインの追加(Add Standalone Snap-in)] で [証明機関(Certification Authority)] を選択します。
          ステップ 7   [追加(Add)] をクリックします。
          ステップ 8   [証明機関(Certification Authority)] でデフォルト オプションの [ローカル コンピュータ(このコンソールを実行しているコンピュータ)(Local computer (the computer this console is running on))] を受け入れます。
          ステップ 9   [終了(Finish)] をクリックします。
          ステップ 10   [閉じる(Close)] をクリックします。
          ステップ 11   [OK] をクリックします。
          ステップ 12   MMC で、[証明機関(Certification Authority)] を展開し、発行証明書サーバを展開します。
          ステップ 13   [保留中の要求(Pending Requests)] を選択します。
          ステップ 14   詳細ウィンドウで、次の手順を実行します。
          1. 要求 ID で識別される要求を右クリックします。
          2. [すべてのタスク(All Tasks)] をポイントします。
          3. [発行(Issue)] を選択します。
          ステップ 15   証明書の要求元のサーバで [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
          ステップ 16   http://<name of your Issuing CA Server>/certsrv と入力します。
          ステップ 17   [OK] をクリックします。
          ステップ 18   [タスクの選択(Select a task)] から、[保留中の証明書の要求の状態(View the status of a pending certificate request)] を選択します。
          ステップ 19   証明書要求を選択します。
          ステップ 20   [この証明書のインストール(Install this certificate)] をクリックします。

          次の作業

          インストールした証明書の設定

          インストールした証明書の設定

          はじめる前に

          証明書を承認し、インストールします。

          手順
            ステップ 1   [スタート(Start)] > [プログラム(Programs)] > [管理ツール(Administrative Tools)] > [インターネット インフォメーション サービス(IIS)マネージャ(Internet Information Services(IIS)Manager)] を選択します。
            ステップ 2   右側のペインで(ローカル コンピュータ)ツリーを展開します。
            ステップ 3   [既定の Web サイト(Default Web Site)] を選択します。
            ステップ 4   [プロパティ(Properties)] ダイアログボックスを右クリックして開きます。
            ステップ 5   [既定の Web サイトのプロパティ(Default Web Site Properties)] ダイアログボックスから [証明書(Certificate)] タブを選択します。
            ステップ 6   証明書がすでに選択されている場合は、[証明書の削除(Delete Certificate)] を選択して、選択を解除します。
            ステップ 7   [証明書(Certificate)] をクリックして、証明書ウィザードを起動します。
            ステップ 8   証明書ウィザードを使用して、[Microsoft OCS] のためにインストールした証明書を選択します。
            ステップ 9   Microsoft Office Communications Server 2007 アプリケーションを起動します。
            ステップ 10   右側のペインで、ローカル マシンを表すサーバを選択します。
            ステップ 11   サーバを右クリックします。
            ステップ 12   [プロパティ(Properties)] > [フロントエンドのプロパティ(Front End Properties)] を選択します。
            ステップ 13   [証明書(Certificate)] タブを選択します。
            ステップ 14   [証明書の選択(Select Certificate)] をクリックします。
            ステップ 15   Microsoft OCS のためにインストールした証明書を検索し、選択します。

            次の作業

            Microsoft OCS での IM and Presence サービスの TLS ルートの設定

            Microsoft OCS での IM and Presence サービスの TLS ルートの設定

            手順
              ステップ 1   Microsoft Office Communications Server 2007 アプリケーションを起動します。
              ステップ 2   右側のペインで [Microsoft OCS] サーバ プールを右クリックします。
              ステップ 3   [プロパティ(Properties)] > [フロントエンドのプロパティ(Front End Properties)] を選択します。
              ステップ 4   [フロント エンド サーバーのプロパティ(Front End Server Properties)] ダイアログボックスから、[ルーティング(Routing)] タブを選択します。
              ステップ 5   [追加(Add)] をクリックします。
              ステップ 6   次の手順を実行して、スタティック ルートを追加します。
              1. [ドメイン(Domain)] フィールドに IM and Presence サービスのホスト名/FQDN を入力します。
                (注)     

                これは、IM and Presence サービス 証明書のサブジェクトの CN と一致する必要があります。一致しない場合、Microsoft OCSIM and Presence サービスとの TLS 接続を確立しません。

              2. [転送(Transport)] メニューから [TLS] を選択します。
              3. [ポート(Port)] フィールドに [5062] と入力します。ポート番号 5062 は、IM and Presence サービスがピア認証 TLS 接続をリッスンするデフォルトのポートです。
              4. [要求 URI 内のホストを置き換える(Replace host in request URI)] をオンにします。
              5. [OK] をクリックします。

                トラブルシューティングのヒント

                [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択し、証明書の一覧に登録されている証明書を選択すると、IM and Presence サービス証明書のサブジェクトの CN を確認できます。


              次の作業

              Microsoft OCS で IM and Presence サービスを認証済みホストとして設定する

              Microsoft OCS で IM and Presence サービスを認証済みホストとして設定する

              手順
                ステップ 1   Microsoft Office Communications Server 2007 アプリケーションを起動します。
                ステップ 2   右側のペインで [Microsoft OCS] サーバ プールを右クリックします。
                ステップ 3   [プロパティ(Properties)] > [フロントエンドのプロパティ(Front End Properties)] を選択します。
                ステップ 4   [ホストの承認(Host Authorization)] タブを選択します。
                ステップ 5   [追加(Add)] をクリックします。
                ステップ 6   FQDN を選択し、証明書の記載どおりに CUP X.509 サブジェクトの共通名を入力します。
                ステップ 7   [サーバーとして帯域を制限する(Throttle as server)] をオンにします。
                ステップ 8   [認証済みとして扱う(Treat as Authenticated)] をオンにします。
                ステップ 9   [OK] をクリックします。
                ステップ 10   Microsoft OCS サーバをリブートします。

                サーバが再起動すると、Microsoft OCS サーバ プールに、設定したばかりの発信スタティック ルートが表示されます。


                次の作業

                TLSv1 を使用するよう Microsoft OCS を設定する

                TLSv1 を使用するよう Microsoft OCS を設定する

                IM and Presence サービスは TLSv1 のみをサポートしているため、Microsoft OCS が TLSv1 を使用するように設定する必要があります。この手順では、Microsoft OCS が TLS 暗号 TLS_RSA_WITH_3DES_EDE_CBC_SHA で TLSv1 を送信できるように、Microsoft OCS で FIPS 準拠のアルゴリズムを設定する方法について説明します。

                手順
                  ステップ 1   [スタート(Start)] > [管理ツール(Administrative Tools)] > [ローカル セキュリティ ポリシー(Local Security Policy)] を選択します。
                  ステップ 2   コンソール ツリーで [セキュリティの設定(Security Settings)] を選択します。
                  ステップ 3   [ローカル ポリシー(Local Policies)] を選択します。
                  ステップ 4   [セキュリティ オプション(Security Options)] を選択します。
                  ステップ 5   詳細ウィンドウで FIPS セキュリティ設定をダブルクリックします。
                  ステップ 6   セキュリティ設定を変更します。
                  ステップ 7   [OK] をクリックします。
                  ステップ 8   Windows Server を再起動し、FIBS セキュリティ設定への変更を有効にします。

                  次の作業

                  IM and Presence サービスの Microsoft OCS の新規 TLS ピア サブジェクトの作成

                  IM and Presence サービスの Microsoft OCS の新規 TLS ピア サブジェクトの作成

                  手順
                    ステップ 1   [Cisco Unified CM IM and Presence Administration] > [システム(System)] > [セキュリティ(Security)] > [TLS ピア サブジェクト(TLS Peer Subjects)] を選択します。
                    ステップ 2   [新規追加(Add New)] をクリックします。
                    ステップ 3   [ピア サブジェクト名(Peer Subject Name)] フィールドに、Microsoft OCS が提示する証明書のサブジェクト CN を入力します。
                    ステップ 4   [説明(Description)] フィールドに Microsoft OCS サーバの名前を入力します。
                    ステップ 5   [保存(Save)] をクリックします。

                    次の作業

                    IM and Presence サービスでの選択した TLS ピア サブジェクト リストへの TLS ピアの追加

                    IM and Presence サービスでの選択した TLS ピア サブジェクト リストへの TLS ピアの追加

                    はじめる前に

                    IM and Presence サービスMicrosoft OCS の新規 TLS ピア サブジェクトの作成

                    手順
                      ステップ 1   [Cisco Unified CM IM and Presence Administration] > [システム(System)] > [セキュリティ(Security)] > [TLS コンテキスト設定(TLS Context Configuration)] を選択します。
                      ステップ 2   [検索(Find)] をクリックします。
                      ステップ 3   [Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context] を選択します。

                      [TLS コンテキスト設定(TLS Context Configuration)] ウィンドウが表示されます。

                      ステップ 4   使用可能な TLS 暗号のリストから、[TLS_RSA_WITH_3DES_EDE_CBC_SHA] を選択します。
                      ステップ 5   右矢印を選択し、この暗号を [選択された TLS 暗号(Selected TLS Ciphers)] に移動します。
                      ステップ 6   [空の TLS フラグメントの無効化(Disable Empty TLS Fragments)] をオンにします。
                      ステップ 7   使用可能な TLS ピア サブジェクトのリストから、設定した TLS ピア サブジェクトを選択します。
                      ステップ 8   下矢印をクリックして、[選択された TLS ピア サブジェクト(Selected TLS Peer Subjects)] まで移動します。
                      ステップ 9   [保存(Save)] をクリックします。