Cisco Unity システム アドミニストレーション ガイド (Microsoft Exchange版) Release 4.0(3)
SSL を使用するための Cisco Unity の 手動設定
SSL を使用するための Cisco Unity の手動設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

SSL を使用するための Cisco Unity の手動設定

SSL を使用するように を設定するかどうかの決定

SSL を使用するための の手動設定

信頼されたルート ストアへの、ドメイン内の全ユーザのルート証明書の配布(オプション)

SSL を使用するための Cisco Unity の手動設定

Cisco Unity インストレーション ガイド 』に記載されている Cisco Unity のインストール手順には、SSL を使用するための Cisco Unity の設定に関して一部自動化されたプロセスが含まれています。この章では、同じ操作を手動で行うプロセスについて説明し、SSL を使用するように Cisco Unity を設定する必要があるかどうかを決定できるようにします。

SSL を使用するように Cisco Unity を設定するかどうかの決定

ユーザが Cisco Personal Communications Assistant(PCA)にログオンするとき、ユーザの資格はネットワークを経由して Cisco Unity にクリア テキストで送信されます。これは、Cisco Unity システム管理とステータス モニタで Anonymous 認証方式を使用する場合も同様です。また、どの認証方式を使用する場合でも、ユーザが Cisco PCA や Cisco Unity システム管理のページに入力する情報は暗号化されません。

セキュリティを強化するため、Secure Sockets Layer(SSL)プロトコルを使用するように Cisco Unity を設定することを推奨します(Cisco Unity のインストール時に、インストーラを使用してそのように設定していない場合)。

SSL は、公開キー暗号化を利用してサーバとクライアント間の安全な接続を提供し、デジタル証明書を利用して、サーバ、またはサーバとクライアントの両方を認証します。デジタル証明書は、組織またはエンティティ(コンピュータなど)の身元を証明する暗号化データが含まれたファイルです。SSL プロトコルを使用すると、ユーザの資格、およびユーザが Cisco Unity システム管理や Cisco PCA のページに入力する情報が、ネットワークを経由してデータが送信されるときにすべて暗号化されます。また、SSL を使用するように Cisco Unity を設定した場合は、ユーザがいずれかの Cisco Unity Web アプリケーションにアクセスしようとすると、接続先が擬装エンティティではなく本物の Cisco Unity サーバであることが毎回確認され、それからユーザのログオンが許可されるようになります。

SSL を使用するように Cisco Unity などの Web サーバを設定する場合は、証明機関(CA)からデジタル証明書を取得するか、(Windows に用意されている)Microsoft 証明書サービスを利用して独自の証明書を発行します。CA は、別の組織またはエンティティからの要求に応じて証明書の発行と管理を行う、信頼された組織またはエンティティです。証明書を CA から購入するか、または独自に発行するかは、コスト、証明書の機能、設定と保守のしやすさ、および組織が採用しているセキュリティ原則などの問題を考慮して決定します。

サードパーティ CA、Microsoft 証明書サービス、および SSL については、インターネットのほか、
Microsoft Windows や IIS のオンライン ドキュメントでさまざまな情報を入手できます。これらの資料は、SSL を使用するかどうかを決定し、SSL を使用するように Web サーバを設定する方法を把握するのに役立ちます。

この章では、Microsoft 証明書サービスを使用して独自の証明書を発行する手順、および証明書を使用するように Cisco Unity を設定する手順について説明します。詳細については、この章の次の各項を参照してください。

「SSL を使用するための Cisco Unity の手動設定」

「信頼されたルート ストアへの、ドメイン内の全ユーザのルート証明書の配布(オプション)」

SSL を使用するための Cisco Unity の手動設定

Microsoft 証明書サービスを使用して独自の証明書を発行し、Cisco Unity で SSL の使用を有効にするには、この項で説明する手順を順序どおりに実行します。Microsoft Windows と IIS のオンライン ドキュメントには、この項で説明する手順と同様の手順が記載されています。Microsoft のドキュメントには、別の方法で証明書サービスをインストールして設定し、使用するための手順、および Web サーバで SSL の使用を有効にする手順も記載されています。組織によっては、この項で説明する方法よりもそれらの方法を適用したほうがよい場合があります。

一方、証明書を CA から購入した場合は、この項の手順ではなく、CA から提供される手順を参照して Web サーバを設定し、証明書を使用できるようにします。

Microsoft 証明書サービス コンポーネントをインストールする


ステップ 1 証明機関(CA)として機能し、証明書を発行するサーバ上で、Windows の[スタート]メニューから、 [設定] >[コントロール パネル] >[ アプリケーションの追加と削除] の順にクリックします。

ステップ 2 [Windows コンポーネントの追加と削除] をクリックします。

ステップ 3 [Windows コンポーネント]ダイアログボックスで、 [証明書サービス] チェックボックスをオンにします。他の項目は変更しないでください。コンピュータの名前を変更できない、ドメインに参加できない、またはドメインから削除できないという警告が表示されたら、 [はい] をクリックします。

ステップ 4 [次へ] をクリックします。

ステップ 5 [スタンドアロンのルート CA] をクリックし、 [次へ] をクリックします。

スタンドアロン CA は、Active Directory を必要としない CA です。

ステップ 6 画面上の指示に従ってインストールを完了します。詳細については、Windows のドキュメントを参照してください。

コンピュータ上でインターネット インフォメーション サービスが動作しているため、停止してから処理を続行する必要があるというメッセージが表示されたら、 [OK] をクリックしてサービスを停止します。

ステップ 7 [Windows コンポーネント ウィザードの完了]ダイアログボックスで、 [完了] をクリックします。

ステップ 8 [アプリケーションの追加と削除]ダイアログボックスを閉じ、[コントロール パネル]を閉じます。


 

証明書要求を作成する


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[ インターネット サービス マネージャ] をクリックします。

ステップ 2 [<システム名>]を展開します。

ステップ 3 [既定の Web サイト] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [既定の Web サイトのプロパティ]ダイアログボックスの[ ディレクトリ セキュリティ] タブをクリックします。

ステップ 5 [セキュリティ保護された通信]の[ サーバー証明書] をクリックします。

ステップ 6 [サーバー証明書ウィザードへようこそ]ウィンドウで、 [次へ] をクリックします。

ステップ 7 [証明書の新規作成] をクリックし、 [次へ] をクリックします。

ステップ 8 [証明書の要求を作成して後で送信する] をクリックし、 [次へ] をクリックします。

ステップ 9 証明書の名前とビット長を入力します。

ビット長には 512 を選択することを強く推奨します。これより長く設定すると、パフォーマンスが低下する可能性があります。

ステップ 10 [次へ] をクリックします。

ステップ 11 組織の情報を入力し、 [次へ] をクリックします。

ステップ 12 サイトの通常名には、Cisco Unity サーバのシステム名または完全修飾ドメイン名のいずれかを入力します。


注意 入力する名前は、セキュアな接続を利用してこのシステムにアクセスするための URL のホスト名の部分と完全に一致する必要があります。

ステップ 13 [次へ] をクリックします。

ステップ 14 地理情報を入力し、 [次へ] をクリックします。

ステップ 15 証明書要求のファイル名と保存先を指定し、 [次へ] をクリックします。

このファイルは、証明機関サーバがアクセスできるディスクおよびディレクトリに保存してください。

ステップ 16 要求ファイルの情報を確認し、 [次へ] をクリックします。

ステップ 17 [完了] をクリックして[サーバー証明書ウィザード]を閉じます。

ステップ 18 [OK] をクリックして[既定の Web サイトのプロパティ]ダイアログボックスを閉じます。

ステップ 19 [インターネット サービス マネージャ]を閉じます。


 

証明書要求を送信する


ステップ 1 CA サーバ上で、Windows の[スタート]メニューの[ ファイル名を指定して実行] をクリックし、 certreq を実行します。

ステップ 2 前の手順のステップ 15 で証明書要求ファイルを保存したディレクトリを参照し、ファイルをダブルクリックします。

ステップ 3 使用する CA をクリックし、 [OK] をクリックします。


 

デフォルトでは、CA が証明書要求を処理するときに、証明書はセキュリティ強化のために保留中の状態になります。このため、要求者は要求が真正なものであることを証明し、証明書が使用する仮想ディレクトリに証明書を手動で発行する必要があります。この作業を実施するには、次の 2 つの手順を実行します。

証明書を発行する


ステップ 1 CA サーバ上で、Windows の[スタート]メニューから、 [プログラム] >[管理ツール] >[ 証明機関] の順にクリックします。

ステップ 2 [証明機関]ウィンドウの左ペインで、[証明機関]、[<証明機関名>]の順に展開します。

ステップ 3 [保留中の要求] をクリックします。

ステップ 4 右ペインで、要求を右クリックし、 [すべてのタスク] >[発行] をクリックします。

ステップ 5 左ペインで、 [発行した証明書] をクリックします。

ステップ 6 右ペインで、証明書をダブルクリックして開きます。

ステップ 7 [詳細設定] タブをクリックします。

ステップ 8 [表示]リストの[ すべて] を選択し、 [ファイルにコピー] をクリックします。

ステップ 9 [証明書のエクスポート ウィザードの開始]ウィンドウで、 [次へ] をクリックします。

ステップ 10 デフォルトのエクスポート ファイル形式( [DER encoded binary X.509 (.CER)] )をそのまま使用し、 [次へ] をクリックします。

ステップ 11 Cisco Unity サーバがアクセスできるファイル名と保存先を指定し、 [次へ] をクリックします。

ステップ 12 設定を確認し、 [完了] をクリックします。

ステップ 13 [OK] をクリックして[証明書]ダイアログボックスを閉じます。

ステップ 14 [証明機関]ウィンドウを閉じます。


 

証明書をインストールする


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[ インターネット サービス マネージャ] をクリックします。

ステップ 2 [<システム名>]を展開します。

ステップ 3 [既定の Web サイト] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [既定の Web サイトのプロパティ]ダイアログボックスの[ ディレクトリ セキュリティ] タブをクリックします。

ステップ 5 [セキュリティ保護された通信]の[ サーバー証明書] をクリックします。

ステップ 6 [サーバー証明書ウィザードへようこそ]画面で、 [次へ] をクリックします。

ステップ 7 [保留中の要求を処理し、証明書をインストールする] をクリックし、 [次へ] をクリックします。

ステップ 8 証明書(.cer)ファイルのディレクトリを参照し、ファイルをダブルクリックします。

ステップ 9 証明書の情報を確認し、 [次へ] をクリックします。

ステップ 10 [完了] をクリックして[サーバー証明書ウィザード]ウィンドウを閉じます。

ステップ 11 [OK] をクリックして[既定の Web サイトのプロパティ]ダイアログボックスを閉じます。

ステップ 12 [インターネット サービス マネージャ]を閉じます。


 

IIS で SSL の使用を有効にする


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[ インターネット サービス マネージャ] をクリックします。

ステップ 2 [<システム名>]を展開し、[既定の Web サイト]を展開します。

ステップ 3 [Web] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [Web のプロパティ]ダイアログボックスの[ ディレクトリ セキュリティ] タブをクリックします。

ステップ 5 [セキュリティ保護された通信]の[ 編集] をクリックします。

ステップ 6 [保護されたチャンネル (SSL) を要求する] チェックボックスをオンにします。

ステップ 7 [OK] をクリックして[セキュリティ保護された通信]ダイアログボックスを閉じます。

ステップ 8 [OK] をクリックして[Web のプロパティ]ダイアログボックスを閉じます。

ステップ 9 [既定の Web サイト]の[ Jakarta] を右クリックし、 [プロパティ] をクリックします。

ステップ 10 [プロパティ]ダイアログボックスの[ ディレクトリ セキュリティ] タブをクリックします。

ステップ 11 [セキュリティ保護された通信]の[ 編集] をクリックします。

ステップ 12 [保護されたチャンネル (SSL) を要求する] チェックボックスをオンにします。

ステップ 13 [OK] をクリックして[セキュリティ保護された通信]ダイアログボックスを閉じます。

ステップ 14 [OK] をクリックして[Jakarta のプロパティ]ダイアログボックスを閉じます。

ステップ 15 [インターネット サービス マネージャ]を閉じます。


 

信頼されたルート ストアへの、ドメイン内の全ユーザのルート証明書の配布(オプション)

SSL を使用するように Cisco Unity を設定すると、Cisco Unity システム管理、ステータス モニタ、および Cisco PCA の各 Web アプリケーションは、ユーザがそれぞれの Web サイトを参照するたびに、SSL 接続を自動的に使用するようになります。SSL 接続の場合、Cisco Unity は、ユーザが Cisco Unity システム管理、ステータス モニタ、または Cisco PCA にアクセスしようとするたびに、「SSL を使用するための Cisco Unity の手動設定」で発行したデジタル証明書を身元証明として提示します。ユーザ コンピュータ上の信頼されたルート ストアにこの証明書を追加するまで、ブラウザはユーザに対し、サイトが本物であるかどうかを確認できず、したがってサイトのコンテンツが信頼できないことを警告するメッセージを表示します。

証明書をグループ ポリシーに追加すると、ドメイン内の全ユーザの信頼されたルート ストアに証明書を配布できます。これを実行する前に、組織のネットワーク管理者と相談してください。この方法を利用できない場合は、ユーザに対して、各自のコンピュータ上の信頼されたルート ストアに証明書を追加する方法を通知してください(これは、Cisco PCA を使用するようにユーザのブラウザを設定するときに通知することもできます。手順については、「Cisco PCA を使用するためのユーザ ブラウザの設定」を参照してください)。

次の 2 つの手順を順序どおりに実行してください。

CA ルート証明書をエクスポートする


ステップ 1 CA サーバ上で、Windows の[スタート]メニューから、 [プログラム] >[管理ツール] >[ 証明機関] の順にクリックします。

ステップ 2 [証明機関]ウィンドウの左ペインで、[<ルート証明機関名>]を右クリックし、 [プロパティ] をクリックします。

ステップ 3 [証明書の表示] をクリックします。

ステップ 4 [詳細設定] タブをクリックします。

ステップ 5 [表示]リストの[ すべて] を選択し、 [ファイルにコピー] をクリックします。

ステップ 6 [証明書のエクスポート ウィザードの開始]画面で、 [次へ] をクリックします。

ステップ 7 デフォルトのエクスポート ファイル形式( [DER encoded binary X.509 (.CER)] )をそのまま使用し、 [次へ] をクリックします。

ステップ 8 ファイル名と保存先を指定し、 [次へ] をクリックします。この格納場所は、グループ ポリシーを修正する Domain Admins アカウントがアクセスできる場所にする必要があります。

ステップ 9 設定を確認し、 [完了] をクリックします。

ステップ 10 [OK] をクリックして[証明書]ダイアログボックスを閉じます。

ステップ 11 [OK] をクリックして、ルート証明機関の[プロパティ]ダイアログボックスを閉じます。

ステップ 12 [証明機関]ウィンドウを閉じます。


 

信頼されたルート証明機関のドメイン グループ ポリシーにルート証明書を追加する


ステップ 1 CA サーバで、Domain Admins グループのメンバーになっているアカウントを使用して Windows にログオンします。

ステップ 2 Windows の[スタート]メニューの[ ファイル名を指定して実行] をクリックし、 mmc を実行します。

ステップ 3 最上部のメニューの[ コンソール] をクリックします。

ステップ 4 [スナップインの追加と削除] をクリックします。

ステップ 5 [スタンドアロン]タブで、 [追加] をクリックします。

ステップ 6 [スタンドアロン スナップインの追加]ダイアログボックスで、 [グループ ポリシー] をクリックし、 [追加] をクリックします。

ステップ 7 [参照] をクリックします。

ステップ 8 [グループ ポリシー オブジェクトの参照]ダイアログボックスで、 [ドメイン/OU] タブをクリックします。

ステップ 9 [場所]リストで、Cisco Unity サーバが属しているドメインを選択します。

ステップ 10 [ドメイン、OU、およびリンクされたグループ ポリシー オブジェクト]リストで、 [Default Domain Policy] をクリックし、 [OK] をクリックします。

ステップ 11 [完了] をクリックします。

ステップ 12 [スタンドアロン スナップインの追加]ダイアログボックスを閉じます。

ステップ 13 [OK] をクリックして[スナップインの追加と削除]ダイアログボックスを閉じます。

ステップ 14 コンソール ウィンドウの左ペインで、Cisco Unity サーバのドメインの[ Default Domain Policy] を展開します。

ステップ 15 [コンピュータの構成] >[Windows の設定] >[ セキュリティの設定] >[ 公開キーのポリシー] をクリックします。

ステップ 16 [信頼されたルート証明機関] を右クリックし、 [すべてのタスク] >[ インポート] をクリックします。

ステップ 17 [証明書のインポート ウィザードの開始]画面で、 [次へ] をクリックします。

ステップ 18 ルート証明機関証明書を保存した場所を参照し、証明書ファイルをダブルクリックします。

ステップ 19 [次へ] をクリックします。

ステップ 20 デフォルトの証明書ストアをそのまま使用し、 [次へ] をクリックします。

ステップ 21 設定を確認し、 [完了] をクリックします。

ステップ 22 コンソールの設定を保存します。

ステップ 23 コンソール ウィンドウを閉じます。