Cisco Unified Mobility Advantage インストレー ション アドミニストレーション ガイド
Cisco Unified Mobility Advantage の サーバ セキュリティの管理
Cisco Unified Mobility Advantage のサーバ セキュリティの管理
発行日;2012/02/07 | 英語版ドキュメント(2009/04/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco Unified Mobility Advantage のサーバ セキュリティの管理

セキュア接続と SSL 証明書について

署名付き証明書の情報

必須および推奨される SSL 証明書について

必須および推奨される署名付き証明書

必須および推奨される自己署名証明書

セキュリティ コンテキストの説明

自己署名証明書の導入( )

内部サーバの自己署名証明書の導入(例)

Security Context の作成

信用済みサーバからの自己署名証明書のインポート

からの自己署名証明書のダウンロード

サーバの署名付き証明書の入手および導入方法

サーバの署名付き証明書の入手および導入

認証局によって署名される証明書の作成

中間証明書のインポート

認証局によって署名された証明書のインポート

証明書のアップロードおよびダウンロード

証明書の詳細情報の表示

セキュリティ コンテキストおよび証明書の削除

Cisco Unified Mobility Advantage のサーバ セキュリティの管理

この章では、サーバの識別情報を確立するための概念とプロセスについて説明します。

「セキュア接続と SSL 証明書について」

「必須および推奨される SSL 証明書について」

「セキュリティ コンテキストの説明」

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

「内部サーバの自己署名証明書の導入(例)」

「Security Context の作成」

「信用済みサーバからの自己署名証明書のインポート」

「Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」

「Cisco Unified Mobility Advantage サーバの署名付き証明書の入手および導入方法」

「証明書のアップロードおよびダウンロード」

「証明書の詳細情報の表示」

「セキュリティ コンテキストおよび証明書の削除」

セキュア接続と SSL 証明書について

一般的に、クライアントがサーバへのセキュア接続を試みるときには、そのサーバの識別情報の検証が必要です。クライアントには、ブラウザ、Cisco Unified Mobile Communicator が動作している携帯電話、または他のサーバとの接続を開始する任意のサーバを使用できます。サーバは、クライアント間とサーバ間の両方、およびクライアントとサーバ間の関係を保持できます。

クライアントは、Secure Sockets Layer(SSL)プロトコルまたはTransport Layer Security(TLS)プロトコルを使用して、サーバへのセキュア接続を行います。セキュア接続には、サーバの識別情報を検証するためのデジタル証明書が必要です。

クライアントとサーバ間の信用の確立には、いくつかのタイプのデジタル証明書を使用できます。

サーバからは、自己署名証明書が生成されます。この証明書のコピーをクライアント上に保持する必要があります。クライアントがサーバに接続するときには、サーバによって提示された証明書と、クライアント自身のトラスト ストア内にある証明書のコピーが比較されます。

VeriSign などの公認の Certificate Authority(CA; 認証局)によって署名された証明書を使用することにより、特定の認証局によって署名された証明書をクライアントが認識している限り、証明書を個々のサーバからクライアント上にインポートしなくても、クライアントがサーバを信用できます。

証明書には、社内署名機関など、社内ファイアウォール内のサーバを保証する他の機関も署名できます。

また、社内ファイアウォール内の各サーバは、証明書を明示的に必要とすることなく、同じファイアウォール内にある他のサーバの識別情報を信用するように設定することもできます。

署名付き証明書の情報

署名付き証明書は一般的に、次の最大 3 つの下位証明書によって構成されます。

署名を行う認証局の識別情報を宣言するルート証明書。

署名付き証明書に添付するために、多くの認証局によって提供される中間証明書。

認証されるサーバを識別する、最終的な証明書、署名付き証明書、またはサーバ証明書。

社内署名機関によって署名された証明書にも、ルート証明書と中間証明書が含まれます。

必須および推奨される SSL 証明書について

「必須および推奨される署名付き証明書」

「必須および推奨される自己署名証明書」

必須および推奨される署名付き証明書

一部のクライアント(Cisco Unified Mobile Communicator、標準の Web ブラウザなど)では、サーバに接続するために公認の認証局によって署名された証明書が必須です(または要求されます)。

 

必要性
説明
対象
手順

必須

Cisco Adaptive Security Appliance の場合。

Cisco Unified Mobile Communicator クライアントには、この証明書が必須です。

新規インストール

Cisco Adaptive Security Appliance を設定した後にCisco Unified Mobility Advantage をテストする前に、この証明書を購入する必要があります。

署名機関からの証明書の受領には、最大 24 時間かかります。

「(新規インストールの場合)Cisco Adaptive Security Appliance - クライアント証明書の取得およびインポート方法」 を参照してください。

リリース 3.x からのアップグレード

Cisco Unified Mobility Advantage リリース 3.1.2 のプロキシ サーバの署名付き証明書を再利用できる場合があります。

リリース 3.x から Cisco Unified Mobility Advantage をアップグレードする前に、「Proxy Server からの SSL 証明書の保存」の制約事項とプロセスの概要を確認し、該当する場合は、その手順を実行します。

推奨

Cisco Unified Mobility Advantage サーバの場合。

この証明書により、ユーザが User Portal にアクセスする際に「Untrusted certificate」の警告が表示されるのを防ぐことができます。

ブラウザでは、署名付き証明書がないサーバに接続するときに、この警告が生成されます。

新規インストール

この目的のために署名付き証明書を入手する前に、Cisco Unified Mobility Advantage をインストールする必要があります。

初期設定およびテストでは自己署名証明書を使用し、後で署名付き証明書を入手して導入できます。

「Cisco Unified Mobility Advantage サーバの署名付き証明書の入手および導入方法」 を参照してください。

リリース 3.x からのアップグレード

Cisco Unified Mobility Advantage リリース 3.1.2 の 管理サーバ上に署名付き証明書が保持されていた場合は、その証明書を再利用できる場合があります。

参照:

「Cisco Adaptive Security Appliance へのインポートのための、Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」

「Cisco Adaptive Security Appliance へのインポートのための、Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」

関連トピック

「セキュア接続と SSL 証明書について」

「Cisco Adaptive Security Appliance に必要な、および推奨される証明書の導入方法」

必須および推奨される自己署名証明書

企業に社内署名機関がある場合は、自己署名証明書の代わりに、社内署名機関によって署名された証明書を使用できます。

 

証明書
追加情報

Cisco Adaptive Security Appliance が Cisco Unified Mobility Advantage と通信するためには、Cisco Unified Mobility Advantage からの証明書(自己署名証明書または署名付き証明書)が必要です。

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

 

「Cisco Unified Mobility Advantage の設定ウィザードの使用」の Configuration Wizard の手順に従った場合は、Cisco Adaptive Security Appliance から Cisco Unified Mobility Advantage に証明書をインポートする必要があります。

この設定は、すべての展開において推奨されます。

Cisco Unified Mobility Advantage の実行には、他のエンタープライズ サーバからの証明書は必要ありませんが、社内のセキュリティ要件や他のサーバの設定により、双方向での証明書の導入が必要になる場合があります。

「内部サーバの自己署名証明書の導入(例)」 を参照してください。

セキュリティ コンテキストの説明

それぞれのクライアントおよびサーバのセキュリティ ポリシーによっては、他のクライアントおよびサーバとの接続において必要な識別情報の検証のタイプが規定されている場合があります。Cisco Unified Mobility Advantage では、1 つ以上の Security Context でセキュリティ ポリシーを指定します。次に、1 つの Security Context を Cisco Unified Mobility Advantage の接続先の各エンタープライズ サーバに関連付けます。さらに、各エンタープライズ サーバの独自のセキュリティ ポリシーによって、Cisco Unified Mobility Advantage に識別情報の検証が要求される場合があります。サーバでは、証明書を使用して識別情報が検証されます。

Cisco Unified Mobility Advantage の Security Context によって次が行われます。

Cisco Unified Mobility Advantage により、接続先の各サーバおよびクライアントに対して要求される、識別情報検証のレベルとタイプの決定。

たとえば、社内ファイアウォール内のサーバ(Cisco Unified Mobility Advantage が通信するほとんどのエンタープライズ サーバ)は、すでに安全であると思われる環境に配置されているため、このようなサーバには、あまり厳重ではない識別情報検証が要求されます。一方、DeMilitarized Zone(DMZ; 非武装地帯)環境は安全性が低いため、一般的に DMZ にあるサーバ(Cisco Adaptive Security Appliance など)との通信には、より厳重な識別情報検証が必要になります。

信用済み証明書のコピーの保存。セキュリティの選択によっては、他のサーバによって提示される証明書を各サーバに割り当てた Security Context に保存された対応する証明書と照合する必要があります。

Cisco Unified Mobility Advantage が、他のサーバに対して自身の識別情報を示す際に提示する証明書の保存。

証明書の作成に必要な情報の収集。この情報を使用して証明書を生成し、他のサーバに提供します(他のサーバは信用済み証明書として保存します)。または、この情報を使用して署名付き証明書の証明書署名要求を生成します。

一般的に、エンタープライズ サーバの Connection Type を TLS または SSL(セキュア)に設定した場合は、そのサーバに接続するための Security Context を指定する必要があります。証明書の要件は、その Security Context で指定します。

自己署名証明書の導入(Cisco Adaptive Security Appliance )

次の手順を使用して、Cisco Unified Mobility Advantage と Cisco Adaptive Security Appliance の間で通信を行うための自己署名証明書を導入します。

始める前に

必要な証明書を特定します。「Cisco Adaptive Security Appliance に必要な、および推奨される証明書の導入方法」 を参照してください。

手順

 

 
手順
詳細の参照先

ステップ 1

Cisco Unified Mobility Advantage で、[Trust Policy] に対して [Trusted Certificate] を指定する Security Context を作成します。

「Cisco Unified Mobility Advantage の設定ウィザードの使用」 の Configuration Wizard の手順に従った場合は、 cuma Security Context がすでに作成されています。

「Security Context の作成」

ステップ 2

[System Management] > [Network Properties] で、この表の ステップ 1 の Security Context を指定します。

Configuration Wizard の手順に従った場合、この手順はすでに完了しています。

ステップ 3

Cisco Unified Mobility Advantage から自己署名証明書を生成します。

Configuration Wizard の手順に従った場合:

「自己署名証明書のダウンロード(設定ウィザードの実行後)」

その他の場合:

「Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」

ステップ 4

Cisco Adaptive Security Appliance のトラスト ストアにこの証明書をインポートします。

「Cisco Unified Mobility Advantage からの自己署名証明書のインポート」

ステップ 5

Cisco Adaptive Security Appliance から自己署名証明書を生成します。

「Cisco Adaptive Security Appliance からの Cisco Unified Mobility Advantage の証明書の生成」

ステップ 6

Cisco Unified Mobility Advantage のトラスト ストアにこの証明書をインポートします。

「信用済みサーバからの自己署名証明書のインポート」

ステップ 7

Cisco Adaptive Security Appliance で、残りの設定を完了します。

「TLS プロキシの設定」およびその章の残りの手順。

内部サーバの自己署名証明書の導入(例)

内部サーバ間のセキュア接続は、デフォルトでは Cisco Unified Mobility Advantage の動作に必須ではありません。ただし、社内のセキュリティ ポリシーによって要求される場合があります。

[Trust Policy] が [Trusted Certificates] に設定されている Security Context をエンタープライズ サーバに割り当てる場合は、そのサーバの識別情報を検証するための証明書を導入する必要があります。一般的に、使用するセキュリティ ポリシーが一貫している場合、この証明書は互いに必要な要件になるため、識別情報を検証するためのCisco Unified Mobility Advantage からの証明書を他のサーバに提示する必要があります。

社内ファイアウォール内のサーバの識別情報検証には、自己署名証明書または社内署名機関によって署名された証明書を使用できます。

この設定例では、自己署名証明書を使用して内部サーバのセキュリティを設定する場合について説明します。セキュア接続がサポートされる各エンタープライズ サーバにおいて、同じ基本的な手順を使用します。

始める前に

設定にセキュリティを導入する前に、導入したすべての機能が適切に機能していることを検証することをお勧めします。

次のサーバにおいては、このトピックとは異なる手順を使用します。

Cisco Adaptive Security Applianceについては、「自己署名証明書の導入(Cisco Adaptive Security Appliance )」を参照してください。

Cisco Unified Communications Managerについては、「Cisco Unified Communications Manager と接続する場合のサーバ セキュリティの設定方法」を参照してください。

Cisco Unified Presence については、「Cisco Unified Presence のサーバ セキュリティの設定方法」を参照してください。

手順

 

 
手順
詳細の参照先

ステップ 1

Cisco Unified Mobility Advantage で、[Trust Policy] に対して [Trusted Certificate] を指定する Security Context を作成します。

同じセキュリティ要件のすべてのエンタープライズ サーバに、この Security Context を使用できます。

Configuration Wizard の手順に従った場合は、 cuma Security Context を使用できます。

「Security Context の作成」

ステップ 2

目的のサーバの Enterprise Adapter で、[Transport Type] として [TLS] または [SSL] を選択し、この表の ステップ 1 の Security Context を指定します。

「エンタープライズ アダプタ設定の表示と変更」

付録 A「参照ページ:Cisco Unified Mobility Advantage でのエンタープライズ アダプタの設定」

ステップ 3

エンタープライズ サーバ上で、セキュア通信を要求します。

サーバのマニュアルを参照してください。

ステップ 4

Cisco Unified Mobility Advantage から自己署名証明書を生成します。

「Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」

ステップ 5

この証明書を、エンタープライズ サーバのトラスト ストアにインポートします。

サーバのマニュアルを参照してください。

ステップ 6

エンタープライズ サーバから証明書を生成します。

サーバのマニュアルを参照してください。

ステップ 7

Cisco Unified Mobility Advantage のトラスト ストアにこの証明書をインポートします。

「信用済みサーバからの自己署名証明書のインポート」

Security Context の作成

Security Context は Cisco Unified Mobility Advantage と他のエンタープライズ サーバの接続に関するセキュリティ ポリシーと識別情報検証証明書を管理します。また、Security Context を使用して、サーバの識別情報を検証するデジタル証明書を生成および保存できます。

他のサーバと Cisco Unified Mobility Advantage との通信を可能にするには、必要に応じた異なるタイプのセキュリティごとのセキュリティ コンテキストを作成します。

たとえば、内部サーバからのインポート済み証明書は必要ではなく、DMZ の Cisco Adaptive Security Appliance からの自己署名証明書は必要な場合は、2 つの Security Context を作成します。Configuration Wizard の手順に従った場合は、これらの 2 つの Security Context がすでに作成されています。

複数のサーバにおいてそのすべてのサーバの要件が同じである場合は、単一のセキュリティ コンテキストを使用して、複数のサーバとの関係を規定できます。

すべてのエンタープライズ サーバのセキュリティ要件を満たすためには、複数のセキュリティ コンテキストの作成が必要な場合があります。たとえば、一部のサーバでは、Cisco Unified Mobility Advantage による信用済み証明書の提示が必要です。

始める前に

Cisco Unified Mobility Advantage サーバの所在地を表す 2 文字の ISO 国名コードを特定します。 http://www.iso.org/iso/country_codes/iso_3166_code_lists/english_country_names_and_code_elements.htm を参照してください。

手順


ステップ 1 Cisco Unified Mobility Advantage Admin Portal にログインします。

ステップ 2 [Security Context Management] の横の [+] をクリックします。

ステップ 3 [Security Contexts] をクリックします。

ステップ 4 [Add Context] をクリックします。

ステップ 5 次の情報を入力します。

 

フィールド
説明

[Context Name]

証明書の名前を入力します。

スペースまたは特殊文字を名前に含めることはできません。

[Description]

証明書の説明を入力します。

[Trust Policy]

 

この値により、Cisco Unified Mobility Advantage が通信を開始するエンタープライズ サーバ(Cisco Adaptive Security Appliance、Cisco Unified Communications Manager など)において必要な証明書のタイプが決まります。

オプションは次のとおりです。

[Trusted Certificates]:他のサーバは、次のいずれかを提示する必要があります。

Cisco Unified Mobility Advantage にすでにインポート済みの自己署名証明書。

Cisco Unified Mobility Advantage によってサポートされる、公認の認証局によって署名された証明書。

社内署名機関などの、他の機関によって署名された証明書。この場合は、署名機関の証明書を Cisco Unified Mobility Advantage にインポートする必要があります。

[All Certificates]:各サーバが提示する証明書を検証しない場合は、このオプションを選択します。

Cisco Unified Mobility Advantage では、この Security Context にエンタープライズ アダプタが関連付けられている各サーバからの証明書が信用されます。この場合は、証明書をインポートする必要はありません。

[Default]:すべてのサーバは、公認の認証局によって署名された証明書を提示する必要があります。

[Client Authentication Policy]

この設定により、Cisco Unified Mobility Advantage でクライアントまたは接続を開始する他のサーバからの証明書を要求するかどうかが決まります。クライアントまたは

一般的に、TLS プロトコルを使用した通信の場合、このような状況では証明書は必要ありません。

Cisco Unified Mobility Advantage は、サーバとして機能する場合(Cisco Adaptive Security Appliance と通信する場合など)は [Client Authentication Policy] を使用します。

オプションは次のとおりです。

[None]:Cisco Unified Mobility Advantageはクライアントからの証明書を要求しません。

[Optional]:Cisco Unified Mobility Advantageはクライアントからの証明書を要求しますが、証明書は必須ではありません。

[Required]:Cisco Unified Mobility Advantageではクライアントからの証明書が必須になります。

必要な証明書のタイプは、上記の [Trust Policy] フィールドで指定します。

[Certificate Password]

この証明書に割り当てるパスワードを入力します。パスワードの長さは、6 文字以上にする必要があります。

リリース 3.x からアップグレードする場合に、Cisco Unified Mobility Advantage リリース 3.x からの証明書をアップロードするときは、アップグレードを実行する前に書き留めたものと同じパスワードを入力する必要があります。

安全な場所にこのパスワードを書き留めます。後で必要になります。

[Server Name]

このサーバの完全修飾されたホスト名を入力します。

[Department Name]

Cisco Unified Mobility Advantage を使用する部署の名前を入力します(1 つの部署に限定する場合)。

Cisco Adaptive Security Appliance に関連付ける Security Context の場合は、Cisco Adaptive Security Appliance からの署名付き証明書の証明書署名要求を生成したときに入力した OU 値と、この値が一致する必要があります。

[Company Name]

社名を入力します。

この Security Context の情報を使用して署名付き証明書を入手する場合は、業務を行うために正式に登録されている会社または組織の名前を使用します。VeriSign では、正式な業務登録文書と照らし合わせて、この名前が確認されます。

会社名に [Shift] キー操作を必要とする記号が含まれている場合は、認証局の Web サイトの指示を参照してください。

[City]

部署または会社の所在地の市を入力します。

[State]

市が位置している州または都道府県を入力します。

サポート対象の認証局に問い合わせて、この値における正確な要件を確認します。本書出版時における要件は、次のとおりです。

所在地が米国およびカナダにある場合は、フルスペルを入力する必要があります。
例:California(CA は不可)。

他の所在地の場合は、この値に関する制約事項はありません。

[Country Code]

会社の所在地の国を表す 2 文字のコードを入力します。

この値は、この手順の前提条件を満たすために入手済みです。

ステップ 6 [Submit] をクリックします。


 

次の手順

TLS 接続または SSL 接続が必要な各エンタープライズ サーバに対して、適切な Security Context を指定します。複数のサーバにおいてそのすべてのサーバの要件が同じである場合は、単一の Security Context を複数のサーバに関連付けることができます。

Cisco Adaptive Security Appliance の場合:[System Management] > [Network Properties] ページで、Security Context を割り当てます。

他のエンタープライズ サーバの場合:各サーバの [Enterprise Adapter] ページで、適切な Security Context を割り当てます。 付録 A「参照ページ:Cisco Unified Mobility Advantage でのエンタープライズ アダプタの設定」 「Cisco Unified Mobility Advantage からエンタープライズ サーバへの接続の設定」 を参照してください。

[Trust Policy] を [Trusted Certificates] に設定して、自己署名証明書を使用して信用を確立する場合:

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」 を参照してください。

「内部サーバの自己署名証明書の導入(例)」

[Trust Policy] を [Trusted Certificates] に設定して、社内署名機関などの非公認機関によって署名された証明書を使用する場合:

社内の手順に従って、必要な証明書チェーンを入手します。

証明書を Cisco Unified Mobility Advantage にインポートします。「中間証明書のインポート」「認証局によって署名された証明書のインポート」 を参照してください。

ルート証明書を、他のサーバのトラスト ストアにインポートします。

[Trust Policy] を [Default] または [Trusted Certificates] に設定して、公認の認証局によって署名された証明書を使用する場合は、「Cisco Unified Mobility Advantage サーバの署名付き証明書の入手および導入方法」 の手順に従います。

信用済みサーバからの自己署名証明書のインポート

この手順は、次の場合に使用します。

Cisco Adaptive Security Appliance から自己署名証明書をインポートする。

他のエンタープライズ サーバから自己署名証明書をインポートする(Enterprise Adapterで TLS 接続を指定し、関連付けられたサーバが自己署名証明書を提示する場合)

複数の証明書を、単一の Security Context にインポートできます。

始める前に

Cisco Unified Mobility Advantage の Enterprise Adapter で、Security Context の [Trust Policy] を [Trusted Certificates] に指定した各エンタープライズ サーバから、自己署名証明書を生成します。

Cisco Adaptive Security Appliance については、「Cisco Adaptive Security Appliance からの Cisco Unified Mobility Advantage の証明書の生成」を参照してください。

Cisco Unified Communications Managerについては、 「Cisco Unified Communications Manager からの証明書の取得」 を参照してください

証明書ファイルには、CallManager.pem および tomcat.pem という名前が付きます。

Cisco Unified Presence については、製品のマニュアルを参照してください。

次の 3 つの個別の証明書があります。

- sipproxy.pem

- tomcat.pem(このファイルの名前は、混乱を避けるために一意の名前に変更できます)

- PresenceEngine.pem

Cisco Unity Connection の場合は、tomcat.pem ファイルが必要です(このファイルの名前は、混乱を避けるために一意の名前に変更できます)。

他のサーバについては、各サーバのマニュアルを参照してください。

証明書のインポート元のサーバに関連付けられている Security Context の名前を特定します。

Cisco Adaptive Security Appliance の場合:[System Management] > [Network Properties] ページで指定された Security Context がこれに当たります。

他のサーバの場合:証明書のインポート元サーバの [Enterprise Adapter] ページで指定された Security Context がこれに当たります。

Security Context の [Trust Policy] が、[Trusted Certificates] に設定されていることを確認します。

手順


ステップ 1 証明書を(メモ帳ではなく)ワードパッドで開きます。

ステップ 2 Admin Portal の [Security Context Management] の横の [+] をクリックします。

ステップ 3 [Security Contexts] をクリックします。

ステップ 4 証明書をインポートする Security Context の [Manage Context] をクリックします。

Configuration Wizard を使用した場合は、[cuma] セキュリティ コンテキストがこれに当たります。

ステップ 5 Trusted Certificate(s) 行の [Import] をクリックします。

ステップ 6 証明書の名前(スペースなし)を入力します。

ステップ 7 証明書のテキストを、Certificate フィールドにコピー アンド ペーストします。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

ステップ 8 [Import] をクリックします。

ステップ 9 Cisco Unified Mobility Advantage を停止してから起動します。


 

関連トピック

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

「内部サーバの自己署名証明書の導入(例)」

Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード

Cisco Unified Mobility Advantage が通信するサーバにおいて識別情報検証が必要な場合は、自己署名証明書を作成して導入できます。

Cisco Adaptive Security Appliance では識別情報検証が必要です。

この手順では、.cer ファイル名拡張子付きの Privacy Enhanced Mail(PEM; プライバシー エンハンスト メール)形式で符号化された証明書をダウンロードします。

始める前に

自己署名証明書が、必要な要件を満たしていることを確認します。「必須および推奨される自己署名証明書」 を参照してください。

1 つ以上のセキュリティ コンテキストを作成します。フォーム内のすべてのフィールドを入力します。

この手順は、「証明書のアップロードおよびダウンロード」および「Proxy Server 証明書のダウンロード、および Cisco Adaptive Security Appliance 上で使用するための準備」で説明した keystore ファイルをダウンロードする手順とは異なることに注意してください。

手順


ステップ 1 [Security Context Management] の横の [+] をクリックします。

ステップ 2 [Security Contexts] をクリックします。

ステップ 3 ダウンロードする証明書を保持するセキュリティ コンテキストの横の [Manage Context] をクリックします。

ステップ 4 [Download Certificate] をクリックします。

証明書がチェーン(ルート証明書または中間証明書が関連付けられている証明書)の場合は、チェーン内の最初の証明書だけがダウンロードされます。自己署名証明書の場合は、これだけで十分です。

ステップ 5 ファイルを保存します。


 

関連トピック

「セキュア接続と SSL 証明書について」

「Security Context の作成」

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

「内部サーバの自己署名証明書の導入(例)」

「自己署名証明書のダウンロード(設定ウィザードの実行後)」

次の手順

この証明書を、証明書を必要とするサーバ(1 台または複数)にインポートします。

Cisco Adaptive Security Appliance については、「Cisco Unified Mobility Advantage からの自己署名証明書のインポート」を参照してください。

Cisco Unity については、Cisco Unity がインストールされているプラットフォーム上の Internet Information Server(IIS; インターネット インフォメーション サーバ)のマニュアルを参照してください。

他の Cisco 製品については、「Cisco Unified Operating System サーバへの証明書のインポート」を参照してください。

他のサーバについては、各サーバのマニュアルの手順を参照してください。

Cisco Unified Mobility Advantage サーバの署名付き証明書の入手および導入方法

「Cisco Unified Mobility Advantage サーバの署名付き証明書の入手および導入」

「認証局によって署名される証明書の作成」

「中間証明書のインポート」

「認証局によって署名された証明書のインポート」

Cisco Unified Mobility Advantage サーバの署名付き証明書の入手および導入

署名付き証明書の入手方法には、状況によって異なる次の 2 つの方法があります。

 

対象作業
手順

(リリース 3.1.2 からアップグレードした場合)既存の署名付き証明書を再利用できるかどうかを判断する。

「Cisco Adaptive Security Appliance へのインポートのための、Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」 を参照してください。

Cisco Unified Mobility Advantage の署名付き証明書を入手する。

必要に応じて、次の操作を順に実行します。

1. 「認証局によって署名される証明書の作成」

2. 「中間証明書のインポート」

3. 「認証局によって署名された証明書のインポート」

関連トピック

「必須および推奨される署名付き証明書」

認証局によって署名される証明書の作成

Cisco Unified Mobility Advantage の署名付き証明書は認証局である VeriSign および GeoTrustから取得できます。これらの証明書は、すべてのモバイル デバイスで一般に使用できるので、サポートされます。

始める前に

必要な証明書を特定します。「必須および推奨される SSL 証明書について」 を参照してください。

認証局(VeriSign または GeoTrust)の Web サイトを参照して、署名付き証明書を購入するためのプロセスおよび要件を確認します。

ここでは、認証局のポリシーに関する一般的な情報を確認することをお勧めします。たとえば、必要な記録を維持できるように証明書を延長するための要件を確認します。

手順


ステップ 1 署名付き証明書を必要とするサーバに関連付けられているセキュリティ コンテキストを作成するか、またはそのセキュリティ コンテキストに移動します。

Configuration Wizard の手順に従った場合は、[cuma] Security Context を使用します。

ステップ 2 [Manage Context] をクリックします。

ステップ 3 [Retrieve CSR] をクリックして、Certificate Signing Request(CSR; 証明書署名要求)を生成します。

CSR が表示されます。

ステップ 4 認証局の Webサイトの手順に従い、署名付き証明書を購入します。

前の手順で取得した CSR が必要です。

署名付き証明書の情報を含む E メール メッセージが届きます。

このプロセスには最大24時間かかります。

ステップ 5 後で参照できるように、証明書のパスワードを安全な場所に書き留めます。


 

次の手順

認証局からの署名付き証明書を受信したら、「中間証明書のインポート」の手順に従います。

中間証明書のインポート

署名付き証明書をインポートする前に、中間証明書のインポートが必要な場合があります(署名を行う認証局からの指示がある場合)。

始める前に

認証局で中間証明書が必要かどうかを確認します。

「認証局によって署名される証明書の作成」の手順を実行します。

認証局からの E メール経由で署名付き証明書を受信します。この E メール メッセージには、中間証明書に関する情報も含まれています(必要な場合)。

認証局からの指示を確認します。

Cisco Unified Mobility Advantage からの署名付き証明書を要求するサーバに関連付けられた Security Context の名前を特定します。Cisco Adaptive Security Appliance では、[System Management] > [Network Properties] ページで指定された Security Context がこれに当たります。この Security Context に証明書をインポートする必要があります。

手順


ステップ 1 [Security Context Management] の横の [+] をクリックします。

ステップ 2 [Security Contexts] をクリックします。

ステップ 3 署名付き証明書をインポートする Security Context の横にある、[Manage Context] をクリックします。

Configuration Wizard の手順に従った場合は、[cuma] Security Context がこれに当たります。

ステップ 4 [Trusted Certificates] バーの [Import] をクリックします。

ステップ 5 中間証明書のテキストを貼り付けます。

ステップ 6 証明書に名前を付けます。

ステップ 7 [Import] をクリックします。


 

次の手順

署名付き証明書をインポートします。「認証局によって署名された証明書のインポート」 を参照してください。

認証局によって署名された証明書のインポート

認証局から署名付き証明書を受信した後には、その証明書をCisco Unified Mobility Advantage にインポートする必要があります。

他のサーバにインストールする必要はありません。

始める前に

「認証局によって署名される証明書の作成」の手順を実行します。

認証局からの E メール経由で署名付き証明書を受信します。この E メール メッセージには、中間証明書に関する情報も含まれています(必要な場合)。

認証局からの指示を確認します。

Cisco Unified Mobility Advantage からの署名付き証明書を要求するサーバに関連付けられた Security Context の名前を特定します。Cisco Adaptive Security Appliance では、[System Management] > [Network Properties] ページで指定された Security Context がこれに当たります。この Security Context に証明書をインポートする必要があります。

必要な場合は、中間証明書をインポートします。「中間証明書のインポート」を参照してください。

手順


ステップ 1 [Security Context Management] の横の [+] をクリックします。

ステップ 2 [Security Contexts] をクリックします。

ステップ 3 証明書をインポートする Security Context の横にある、[Manage Context] をクリックします。

Configuration Wizard の手順に従った場合は、[cuma] Security Context がこれに当たります。

ステップ 4 [Import CA Reply] をクリックします。

ステップ 5 証明書に名前を付けます。

ステップ 6 証明書のテキストを貼り付けます。

ステップ 7 [Import] をクリックします。

Cisco Unified Mobility Advantage の署名付き証明書を、他のサーバにインポートする必要はありません。


 

証明書のアップロードおよびダウンロード

Cisco Unified Mobility Advantage が識別情報の検証に使用する証明書などを他のサーバにアップロードまたはダウンロードすることができます。

これらの機能は、Cisco Unified Mobility Advantage リリース 3.x からアップグレードする際に、Proxy Server の署名付き証明書を再利用する場合は、特に役立ちます。

 

操作
詳細

証明書のアップロード

目的のサーバに有効な既存の署名付き証明書がある場合は、新しい証明書を作成する代わりに、既存の証明書をアップロードできます。

サポートされるファイル形式は、JKS および PKCS12 です。

証明書をアップロードするセキュリティ コンテキストでは、[Trust Policy] を [All Certificates] には設定できません。

アップロードは、信用済みサーバからの証明書のインポートとは異なります。

証明書のダウンロード

このプロセスでは、PKCS12 形式の keystore ファイルがダウンロードされます。

自己署名証明書を生成する場合は、このプロセスを使用しないでください。

関連トピック

「リリース 7.x への Proxy Server 証明書のアップロード」

「Proxy Server 証明書のダウンロード、および Cisco Adaptive Security Appliance 上で使用するための準備」

「信用済みサーバからの自己署名証明書のインポート」

「Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」

 

証明書の詳細情報の表示

有効期限など、証明書の情報を表示できます。

手順

 

表示対象
手順

Cisco Unified Mobility Advantage が他のサーバに提示する証明書

1. 証明書を保持している Security Context に移動します。

2. [Manage Context] をクリックします。

3. [Key Entry] セクションのサーバ証明書の情報を確認します。

4. [View Certificate Chain] をクリックして、そのサーバ証明書に関連付けられている中間証明書およびルート証明書をすべて表示します。

信用済みサーバからインポートされた証明書

1. 証明書を保持している Security Context に移動します。

2. [Manage Context] をクリックします。

3. [Trusted Certificates] の下にある証明書名の横の [+] をクリックします。

サーバに保持されている任意の証明書

1. [Security Context Management] の横の [+] をクリックします。

2. [Certificate Utility] をクリックします。

3. 目的の証明書に移動します。

4. 証明書のタイプを選択します。

5. 証明書のパスワードを入力します。

6. [View] をクリックします。

セキュリティ コンテキストおよび証明書の削除

手順

 

削除対象
手順

セキュリティ コンテキスト、および関連付けられたすべての証明書。

いずれかの [Enterprise Adapter] ページまたは [Network Properties] ページで指定されているセキュリティ コンテキストは削除できません。

1. このセキュリティ コンテキストに関連付けられているすべての署名付き証明書をダウンロードして保存することを検討します。必ず [Download] ボタンを使用します。[Download Certificate] ボタンは使用しないでください。

2. [Security Context Management] の横の [+] をクリックします。

3. [Security Contexts] をクリックします。

4. 該当するセキュリティ コンテキストの横の [Delete] をクリックします。

インポートされた信用済みサーバの証明書。

1. 証明書を保持している Security Context に移動します。

2. [Manage Context] をクリックします。

3. [Trusted Certificates] の下にある証明書名の横の [Delete] をクリックします。

関連トピック

「Proxy Server 証明書のダウンロード、および Cisco Adaptive Security Appliance 上で使用するための準備」