Cisco Unity セキュリティ ガイド IBM Lotus Domino版 Release 5.x
クライアントとサーバの接続を保護す るための SSL の使用方法
クライアントとサーバの接続を保護するための SSL の使用方法
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 795KB) | フィードバック

目次

クライアントとサーバの接続を保護するための SSL の使用方法

SSL を使用するように Cisco Unity アプリケーションを設定するかどうかの決定

SSL を使用するための手動でのシステムの設定

Microsoft 証明書サービス コンポーネントのインストール

証明書要求の作成と送信

証明書の発行とインストール

SSL を使用するための Cisco Unity Web アプリケーションの設定

信頼されたルート ストアへのルート証明書の配布

ドメイン内のすべてのユーザの信頼されたルート ストアへのルート証明書の配布

ユーザ ワークステーション上の信頼されたルート ストアへの Cisco Unity 証明書の追加

クライアントとサーバの接続を保護するための SSL の使用方法

この章では、Secure Sockets Layer(SSL)プロトコルに関係する潜在的なセキュリティの問題について説明します。また、実施する必要のある作業、さまざまな決定を支援するための推奨事項、決定した事項による影響、および多くのケースについてベスト プラクティスを示します。

SSL は、ネットワーク経由での Cisco Unity データの転送をパブリック/プライベート キー暗号化によって保護する手段として使用できます。SSL は、Cisco Unity ユーザ資格がネットワーク経由で転送されるときに、これらをセキュリティで保護します。また、Cisco Unity Web アプリケーションで入力されたすべてのデータも保護します。

SSL は、Cisco Unity の新規インストールまたはアップグレード中に設定することも、Cisco Unity のインストールまたはアップグレードが完了した後に任意のタイミングで設定することもできます(新規インストールまたはアップグレード中に、Cisco Unity、Cisco Personal Communications Assistant(PCA)、およびステータス モニタを SSL を使用するように設定するためのインストーラでの手順については、『Cisco Unity インストレーション ガイド』および『 Cisco Unity リコンフィギュレーション アップグレード ガイド 』を参照してください)。

この章では、Cisco Unity のインストールまたはアップグレードが正常に完了した後、任意の時点で、SSL を使用するように Cisco Unity を手動で設定するための管理者の手順を説明します。また、ネットワーク管理者またはユーザが、Cisco Unity Web アプリケーションに SSL を使用してアクセスするようにユーザ ワークステーションを設定するための手順も示します。

詳細については、次の項を参照してください。

「SSL を使用するように Cisco Unity アプリケーションを設定するかどうかの決定」

「SSL を使用するための手動でのシステムの設定」

SSL を使用するように Cisco Unity アプリケーションを設定するかどうかの決定

ユーザが Cisco Personal Communications Assistant(PCA)にログオンするとき、ユーザの資格はネットワークを経由して Cisco Unity にクリア テキストで送信されます。これは、Cisco Unity システム管理とステータス モニタを Anonymous 認証方式を使用するように設定する場合も同様です。また、ユーザが Cisco PCA および Cisco Unity システム管理のページで入力する情報は、(どちらの認証方式を使用するかにかかわらず)暗号化されません。

セキュリティを強化するため、Secure Sockets Layer(SSL)プロトコルを使用するように Cisco Unity を設定することを推奨します。SSL は、パブリック/プライベート キーによる暗号化を利用してサーバとクライアントの間に安全な接続を確立し、デジタル証明書を使用してサーバ(またはサーバとクライアント)を認証します(デジタル証明書は、組織(またはコンピュータなどのエンティティ)の ID を証明するための暗号データが含まれたファイルです)。

SSL プロトコルを使用する場合、Cisco Unity ユーザの資格およびユーザが Cisco Unity システム管理と Cisco PCA のページで入力する情報は、ネットワークを経由して送信されるときにすべて暗号化されます。また、SSL を使用するように Cisco Unity を設定した場合、ユーザが Cisco Unity Web アプリケーションにアクセスしようとすると、接続先が本物の Cisco Unity サーバであり、なりすましではないことをブラウザが毎回確認します。ユーザのログオンは、その後に許可されます。

Cisco Unity などの Web サーバを SSL を使用するように設定するには、デジタル証明書を証明機関(CA)から取得します。または、Windows で使用可能な Microsoft 証明書サービスを使用して、独自の証明書を発行します(CA とは、別の組織またはエンティティの要求に応じて証明書を発行および管理する、信頼された組織またはエンティティです)。証明書を CA から購入するか、または独自の証明書を発行するかを決定するときは、いくつかの問題を検討する必要があります。たとえば、コスト、証明書の機能、設定と保守のしやすさ、組織に導入されているセキュリティ ポリシーなどです。

サードパーティ CA、Microsoft 証明書サービス、および SSL に関する情報は、インターネット上のさまざまな場所で入手できるほか、Windows と IIS のオンライン ドキュメントにもあります。これらの資料を参考にして、SSL を使用するかどうかを決定し、SSL を使用するように Web サーバを設定する方法を確認してください。

SSL を使用するための手動でのシステムの設定

次のタスク リストに、Cisco Unity を手動で設定し、Microsoft 証明書サービスを通じて SSL が使用されるようにするプロセスを示します。各項の手順を順序どおりに実行してください。使用している環境に該当しない手順については、スキップします。


) この項では、Microsoft 証明書サービスを通じて SSL を使用するように Cisco Unity を設定する手順を示します。SSL を設定し、Microsoft 証明書サービスを利用しない場合は、サードパーティ証明機関のドキュメントを参照してください。


1. 証明機関として機能するサーバを選定し、Microsoft 証明書サービスをインストールします。「Microsoft 証明書サービス コンポーネントのインストール」を参照してください。

2. Microsoft 証明書サービスを使用して証明書要求を作成し、送信します。「証明書要求の作成と送信」を参照してください。

3. 証明書を発行し、Cisco Unity サーバにインストールします。「証明書の発行とインストール」を参照してください。

4. Cisco Unity システム管理、ステータス モニタ、および Cisco PCA を SSL を使用するように設定します。「SSL を使用するための Cisco Unity Web アプリケーションの設定」を参照してください。

5. Cisco Unity システム管理、ステータス モニタ、および Cisco PCA にユーザがアクセスするときに、SSL が使用されるようにユーザ ワークステーションを設定します。「信頼されたルート ストアへのルート証明書の配布」を参照してください。

Microsoft 証明書サービス コンポーネントのインストール

Microsoft 証明書サービス コンポーネント(Windows で使用可能)を Cisco Unity サーバまたは他のサーバにインストールするには、この項の手順を実行します。

Microsoft 証明書サービス コンポーネントをインストールする


ステップ 1 証明機関(CA)として機能し、証明書を発行するサーバ上で、Windows の[スタート]メニューの [設定] >[コントロール パネル] > [アプリケーションの追加と削除] をクリックします。

ステップ 2 [Windows コンポーネントの追加と削除] をクリックします。

ステップ 3 [Windows コンポーネント]ダイアログボックスで、 [証明書サービス] チェックボックスをオンにします。他の項目は変更しないでください。コンピュータの名前変更、ドメインへの参加、およびドメインからの削除ができなくなるという警告が表示された場合は、 [はい] をクリックします。

ステップ 4 [次へ] をクリックします。

ステップ 5 [スタンドアロンのルート CA] をクリックし、 [次へ] をクリックします(スタンドアロンの CA とは、Active Directory を必要としない CA です)。

ステップ 6 画面の指示に従って、インストールを完了します。詳細については、Windows のドキュメントを参照してください。

コンピュータ上でインターネット インフォメーション サービスが動作しているため、処理を続行するにはサービスを停止する必要があるというメッセージが表示された場合は、 [OK] をクリックしてサービスを停止します。

ステップ 7 [Windows コンポーネント ウィザードの完了]ダイアログボックスで、 [完了] をクリックします。

ステップ 8 [アプリケーションの追加と削除]ダイアログボックスとコントロール パネルを閉じます。


 

証明書要求の作成と送信

Cisco Unity サーバ上で証明書要求を作成して送信するには、この項の 2 つの手順を実行します。

Microsoft 証明書サービスを使用して証明書要求を作成する


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[インターネット サービス マネージャ] をクリックします。

ステップ 2 Cisco Unity サーバの名前を展開します。

ステップ 3 [既定の Web サイト] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [既定の Web サイトのプロパティ]ダイアログボックスの [ディレクトリ セキュリティ] タブをクリックします。

ステップ 5 [セキュリティで保護された通信]の [サーバー証明書] をクリックします。

ステップ 6 [Web サーバー証明書ウィザードの開始]ページで、 [次へ] をクリックします。

ステップ 7 [証明書の新規作成] をクリックし、 [次へ] をクリックします。

ステップ 8 [証明書の要求を作成して後で送信する] をクリックし、 [次へ] をクリックします。

ステップ 9 証明書の名前とビット長を入力します。

ビット長には[512]を選択することをお勧めします。これよりも大きいビット長にすると、パフォーマンスが低下する可能性があります。

ステップ 10 [次へ] をクリックします。

ステップ 11 組織の情報を入力し、 [次へ] をクリックします。

ステップ 12 サイトの通常名には、Cisco Unity サーバのシステム名または完全修飾ドメイン名を入力します。


注意 この名前は、安全な接続を使用してシステムにアクセスするときの URL に含まれている、ホスト部分と完全に一致している必要があります。

ステップ 13 [次へ] をクリックします。

ステップ 14 地理情報を入力し、 [次へ] をクリックします。

ステップ 15 証明書要求ファイルの名前と場所を指定し、書き留めておきます。この情報は、次の手順で必要になります。

ディスク(または、証明機関(CA)からアクセスできるディレクトリ)にファイルを保存します。

ステップ 16 [次へ] をクリックします。

ステップ 17 要求ファイルの情報を確認し、 [次へ] をクリックします。

ステップ 18 [完了] をクリックして[Web サーバー証明書ウィザード]を終了します。

ステップ 19 [OK] をクリックして[既定の Web サイトのプロパティ]ダイアログボックスを閉じます。

ステップ 20 [インターネット サービス マネージャ]ウィンドウを閉じます。


 

証明書要求を送信する


ステップ 1 CA サーバの Windows の[スタート]メニューで、 [ファイル名を指定して実行] をクリックし、 certreq を実行します。

ステップ 2 「Microsoft 証明書サービスを使用して証明書要求を作成する」ステップ 15 で証明書要求ファイルを保存したディレクトリを参照し、ダブルクリックします。

ステップ 3 使用する CA をクリックし、 [OK] をクリックします。


 

証明書の発行とインストール

デフォルトでは、証明書要求を処理するとき、CA はセキュリティを強化するために保留ステータスを割り当てます。つまり、要求の正当性を確認し、証明書が使用される仮想ディレクトリに対して証明書を手動で発行する必要があります。

証明書を発行する


ステップ 1 CA として機能するサーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[ 証明機関] をクリックします。

ステップ 2 [証明機関]ウィンドウの左ペインで、 [証明機関] を展開します。

ステップ 3 [<証明機関名>]を展開します。

ステップ 4 [保留中の要求] をクリックします。

ステップ 5 右ペインで、要求を右クリックし、 [すべてのタスク] >[発行] をクリックします。

ステップ 6 左ペインの [発行した証明書] をクリックします。

ステップ 7 右ペインで、証明書をダブルクリックして開きます。

ステップ 8 [詳細設定] タブをクリックします。

ステップ 9 [表示]リストの [<すべて>] を選択し、 [ファイルにコピー] をクリックします。

ステップ 10 [証明書のエクスポート ウィザードの開始]ページで、 [次へ] をクリックします。

ステップ 11 デフォルトのエクスポート ファイル形式である [DER encoded binary X.509 (.CER)] をそのまま使用し、 [次へ] をクリックします。

ステップ 12 Cisco Unity サーバからアクセスできるファイル名および場所を指定し、 [次へ] をクリックします。

ステップ 13 設定を確認し、 [完了] をクリックします。

ステップ 14 [OK] をクリックして[証明書の詳細]ダイアログボックスを閉じます。

ステップ 15 [証明機関]ウィンドウを閉じます。


 

証明書をインストールする


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[インターネット サービス マネージャ] をクリックします。

ステップ 2 Cisco Unity サーバの名前を展開します。

ステップ 3 [既定の Web サイト] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [既定の Web サイトのプロパティ]ダイアログボックスの [ディレクトリ セキュリティ] タブをクリックします。

ステップ 5 [セキュリティで保護された通信]の [サーバー証明書] をクリックします。

ステップ 6 [Web サーバー証明書ウィザードの開始]ページで、 [次へ] をクリックします。

ステップ 7 [保留中の要求を処理し、証明書をインストールする] をクリックし、 [次へ] をクリックします。

ステップ 8 証明書(.cer)ファイルのディレクトリを参照し、ダブルクリックします。

ステップ 9 証明書の情報を確認し、 [次へ] をクリックします。

ステップ 10 [完了] をクリックして[Web サーバー証明書ウィザード]ウィンドウを閉じます。

ステップ 11 [OK] をクリックして[既定の Web サイトのプロパティ]ダイアログボックスを閉じます。

ステップ 12 [インターネット サービス マネージャ] ウィンドウを閉じます。

ステップ 13 ネットワーク内の Cisco Unity サーバごとに、ステップ 1ステップ 12 を繰り返します。フェールオーバーを導入している場合は、フェールオーバー ペアの両方のサーバについて手順を実行します。


 

SSL を使用するための Cisco Unity Web アプリケーションの設定

証明書をインストールした後は、次の手順を実行して、Cisco Unity システム管理、ステータス モニタ、および Cisco Personal Communications Assistant を SSL を使用するように設定します。

Cisco Unity システム管理、ステータス モニタ、および Cisco PCA を SSL を使用するように設定する


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] > [インターネット サービス マネージャ] をクリックします。

ステップ 2 Cisco Unity サーバの名前を展開します。

ステップ 3 [既定の Web サイト] を展開します。

ステップ 4 [既定の Web サイト]で、 [Web] を右クリックし、 [プロパティ] をクリックします。

ステップ 5 [プロパティ]ダイアログボックスで、SSL を使用するように Web ディレクトリを設定します。

a. [ディレクトリ セキュリティ] タブをクリックします。

b. [セキュリティで保護された通信]の [編集] をクリックします。

c. [セキュリティで保護されたチャネル (SSL) を要求する] チェックボックスをオンにします。

d. [OK] をクリックして[セキュリティで保護された通信]ダイアログボックスを閉じます。

e. [OK] をクリックして[プロパティ]ダイアログボックスを閉じます。

ステップ 6 [既定の Web サイト]で、 [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 7 ステップ 5 を繰り返して、SSL を使用するように SAWeb ディレクトリを設定します。

ステップ 8 [既定の Web サイト]で、 [Status] を右クリックし、 [プロパティ] をクリックします。

ステップ 9 ステップ 5 を繰り返して、SSL を使用するように Status ディレクトリを設定します。

ステップ 10 [既定の Web サイト]で、 [Jakarta] を右クリックし、 [プロパティ] をクリックします。

ステップ 11 ステップ 5 を繰り返して、SSL を使用するように Cisco PCA を設定します。

ステップ 12 [既定の Web サイト]で、 [AvXML] をダブルクリックします。

ステップ 13 右ペインで、 [AvXml.dll] を右クリックし、 [プロパティ] をクリックします。

ステップ 14 [プロパティ]ダイアログボックスの [ファイル セキュリティ] タブをクリックします。

ステップ 15 [セキュリティで保護された通信]の [編集] をクリックします。

ステップ 16 [セキュリティで保護されたチャネル (SSL) を要求する] チェックボックスをオンにします。

ステップ 17 [OK] をクリックして[セキュリティで保護された通信]ダイアログボックスを閉じます。

ステップ 18 [OK] をクリックして[AvXml.dll のプロパティ]ダイアログボックスを閉じます。

ステップ 19 [インターネット サービス マネージャ]ウィンドウを閉じます。


 

信頼されたルート ストアへのルート証明書の配布

SSL を使用するように Cisco Unity を設定した場合、Cisco Unity システム管理、ステータス モニタ、または Cisco PCA にユーザがアクセスしようとすると、「SSL を使用するための手動でのシステムの設定」で発行したデジタル証明書がその都度 ID の証明として提示されます。ただし、ユーザ ワークステーション上の信頼されたルート ストアに証明書が追加されていない場合、ブラウザはユーザに対し、サイトが本物であるかどうかを確認できず、したがってサイトのコンテンツが信頼できないことを警告するメッセージを表示します。このブラウザ メッセージが表示された場合も、SSL が正常に機能しなくなることはありません。ただし、ユーザが誤解してヘルプ デスクに電話をかける原因になる可能性があります。

ユーザ ワークステーション上の信頼されたルート ストアに証明書を追加するには、次のいずれかまたは両方の該当する手順を実行します。

証明書をグループ ポリシーに追加して、ドメイン内のすべてのユーザに配布します。「ドメイン内のすべてのユーザの信頼されたルート ストアへのルート証明書の配布」を参照してください。

個々のユーザ ワークステーション上の信頼されたルート ストアに証明書を追加します。「ユーザ ワークステーション上の信頼されたルート ストアへの Cisco Unity 証明書の追加」を参照してください。

ドメイン内のすべてのユーザの信頼されたルート ストアへのルート証明書の配布

ドメイン内のすべてのユーザの信頼されたルート ストアに証明書を配布するには、次の 2 つの手順を実行します。

CA ルート証明書をエクスポートする


ステップ 1 CA サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[証明機関] をクリックします。

ステップ 2 [証明機関]ウィンドウの左ペインで、[<ルート証明機関名>]を右クリックし、 [プロパティ] をクリックします。

ステップ 3 [証明書の表示] をクリックします。

ステップ 4 [詳細設定] タブをクリックします。

ステップ 5 [表示]リストの [<すべて>] を選択し、 [ファイルにコピー] をクリックします。

ステップ 6 [証明書のエクスポート ウィザードの開始]画面で、 [次へ] をクリックします。

ステップ 7 デフォルトのエクスポート ファイル形式である [DER encoded binary X.509 (.CER)] をそのまま使用し、 [次へ] をクリックします。

ステップ 8 ファイルの名前と場所を指定し、 [次へ] をクリックします。

この場所は、グループ ポリシーを修正するための Domain Admin アカウントでアクセスできるものにする必要があります。

ステップ 9 設定を確認し、 [完了] をクリックします。

ステップ 10 [OK] をクリックして[証明書の詳細]ダイアログボックスを閉じます。

ステップ 11 [OK] をクリックして、ルート証明機関の[プロパティ]ダイアログボックスを閉じます。

ステップ 12 [証明機関] ウィンドウを閉じます。


 

信頼されたルート証明機関のドメイン グループ ポリシーにルート証明書を追加する


ステップ 1 CA サーバで、Domain Admins グループのメンバーになっているアカウントを使用して Windows にログオンします。

ステップ 2 Windows の[スタート]メニューで、 [ファイル名を指定して実行] をクリックし、 mmc を実行します。

ステップ 3 最上部のメニューで、 [ファイル] をクリックします。

ステップ 4 [スナップインの追加と削除] をクリックします。

ステップ 5 [スタンドアロン]タブで、 [追加] をクリックします。

ステップ 6 [スタンドアロン スナップインの追加]ダイアログボックスで、 [グループ ポリシー] をクリックし、 [追加] をクリックします。

ステップ 7 [参照] をクリックします。

ステップ 8 [グループ ポリシー オブジェクトの参照]ダイアログボックスで、 [ドメイン/OU] タブをクリックします。

ステップ 9 [場所]リストで、Cisco Unity サーバが所属しているドメインを選択します。

ステップ 10 [ドメイン、OU、およびリンクされたグループ ポリシー オブジェクト]リストで、 [既定のドメイン ポリシー] をクリックし、 [OK] をクリックします。

ステップ 11 [完了] をクリックします。

ステップ 12 [スタンドアロン スナップインの追加] ダイアログボックスを閉じます。

ステップ 13 [OK] をクリックして[スナップインの追加と削除]ダイアログボックスを閉じます。

ステップ 14 コンソール ウィンドウの左ペインで、Cisco Unity サーバ ドメインの [既定のドメイン ポリシー] を展開します。

ステップ 15 [コンピュータの構成] >[Windows の設定] >[セキュリティの設定] >[公開キーのポリシー] をクリックします。

ステップ 16 [信頼されたルート証明機関] を右クリックし、 [すべてのタスク] >[インポート] をクリックします。

ステップ 17 [証明書のインポート ウィザードの開始]画面で、 [次へ] をクリックします。

ステップ 18 保存されているルート証明機関証明書の場所を参照し、ダブルクリックします。

ステップ 19 [次へ] をクリックします。

ステップ 20 証明書ストアのデフォルト値をそのまま使用し、 [次へ] をクリックします。

ステップ 21 設定を確認し、 [完了] をクリックします。

ステップ 22 コンソールの設定を保存します。

ステップ 23 コンソール ウィンドウを閉じます。


 

ユーザ ワークステーション上の信頼されたルート ストアへの Cisco Unity 証明書の追加

ユーザ ワークステーション上の信頼されたルート ストアに Cisco Unity 証明書を追加できるのは、次の場合です。

ドメイン内の、すべてのユーザの信頼されたルート ストアに証明書を配布するわけではない場合。

信頼されたドメインに所属していないワークステーション(自宅のコンピュータなど)から、ユーザが Cisco Unity の Web アプリケーションにアクセスできるようにする場合。ユーザに対して、各自のコンピュータ上の信頼されたルート ストアに証明書を追加する方法を通知してください。

該当するすべてのワークステーション上で、次の手順を実行します。または、この手順をユーザに通知して、必要に応じて各自で実行してもらいます。SSL の初期セットアップ後に新しいユーザ ワークステーションを設置した場合は、この手順をその都度再実行する必要があります。

Cisco Unity 証明書を各ユーザ ワークステーション上の信頼されたルート ストアに追加する


ステップ 1 各ユーザ ワークステーション上で、Internet Explorer を起動します。

ステップ 2 http://<証明機関サーバ>/Certsrv に移動します。

ステップ 3 Microsoft 証明書サービスのページで、[タスクの選択]の [CA 証明書または証明書失効リストの取得] をクリックします。

ステップ 4 [次へ] をクリックします。

ステップ 5 [この CA 証明書のパスのインストール] リンクをクリックします。

ステップ 6 メッセージが表示されたら、 [はい] をクリックして証明書をルート ストアに追加します。