CUCMを使用したCisco IP PhoneでのLSCの設定

概要

このドキュメントでは、Cisco Internet Protocol Phone(Cisco IP Phone)にローカルで有効な証明書(LSC)をインストールする方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Unified Communications Manager(CUCM)クラスタセキュリティモードオプション
• X.509 証明書
• Manufacturing Installed Certificates(MIC)
• LSC
• Certificate Authority Proxy Function(CAPF)証明書操作
• デフォルトのセキュリティ(SBD)
• 初期信頼リスト(ITL)ファイル

使用するコンポーネント

このドキュメントの情報は、SBD(CUCM 8.0(1)以降)をサポートするCUCMバージョンに基づいています。

注：また、デフォルトのセキュリティ(SBD)をサポートする電話機にのみ関係します。 たとえば、7940と7960の電話機はSBDをサポートせず、7935、7936、および7937の会議電話機もサポートしません。CUCMのバージョンでSBDをサポートするデバイスのリストについては、[Cisco Unified Reporting] > [System Reports] > [Unified CM Phone Feature List]に移動し、[Feature:デフォルトのセキュリティ。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

MICとLSC

802.1XまたはAnyconnect Phone VPNに証明書ベースの認証を使用する場合は、MICとLSCの違いを理解することが重要です。

シスコのすべての電話機には、工場出荷時にMICがプリインストールされています。この証明書は、Cisco Manufacturing CA、Cisco Manufacturing CA SHA2、CAP-RTP-001、またはCAP-RTP-002証明書のいずれかによって、Cisco Manufacturing CA証明書によって署名されます。電話機がこの証明書を提示すると、有効なシスコの電話機であることが証明されますが、電話機が特定の顧客またはCUCMクラスタに属しているかどうかは検証されません。これは、市場で購入された不正な電話か、別のサイトから持ち込まれた可能性があります。

一方、LSCは管理者によって意図的に電話機にインストールされ、CUCMパブリッシャのCAPF証明書によって署名されます。既知のCAPF認証局によって発行されたLSCだけを信頼するように、802.1XまたはAnyconnect VPNを設定します。MICではなくLSCでの証明書認証に基づいて、信頼できる電話デバイスをより詳細に制御できます。

設定

Network Topology

このドキュメントでは、次のCUCMラボサーバを使用しました。

• ao115pub - 10.122.138.102 - CUCMパブリッシャおよびTFTPサーバ
• ao115sub - 10.122.138.103 - CUCMサブスクライバおよびTFTPサーバ 

CAPF証明書の有効期限が切れていないか、近い将来に期限切れになろうとしていないことを確認します。図に示すように、[Cisco Unified OS Administration] > [Security] > [Certificate Management]に移動し、[Find Certificate List where Certificate is exact CAPF.

[Common Name]をクリックして、[Certificate Details]ページを開きます。有効性の検査：および宛先：証明書の有効期限を確認するために、[証明書ファイルのデータ(Certificate File Data)]ペインに表示される日付（図を参照）。

CAPF証明書の有効期限が切れているか、まもなく期限切れになる場合は、その証明書を再生成します。CAPF証明書の有効期限が切れたLSCインストールプロセスを続行しないでください。これにより、CAPF証明書の期限切れにより、近い将来LSCを再発行する必要がなくなります。CAPF証明書を再生成する方法については、「CUCM証明書の再生成/更新プロセス」の記事を参照してください。

同様に、サードパーティの認証局(CA)によって署名されたCAPF証明書が必要な場合は、この段階で選択できます。証明書署名要求(CSR)ファイルの生成とインポートを完了するか、自己署名LSCで準備テストを続行してください。サードパーティの署名CAPF証明書が必要な場合は、通常、この機能を最初に自己署名CAPF証明書で設定し、検証し、再展開しますサードパーティの署名CAPF証明書。これにより、サードパーティの署名付きCAPF証明書を使用したテストが失敗した場合のトラブルシューティングが簡単になります。

警告：CAPFサービスのアクティブ化と開始中にCAPF証明書を再生成するか、サードパーティ署名付きCAPF証明書をインポートすると、電話機はCUCMによって自動的にリセットされます。電話機のリセットが許可されたら、メンテナンスウィンドウで次の手順を実行します。詳細は、『CSCue55353：電話がリセットされるTVS/CCM/CAPF証明書を再生成する際の警告の追加』を参照してください。

注：CUCMバージョンでSBDがサポートされている場合、CUCMクラスタが混合モードに設定されているかどうかに関係なく、このLSCインストール手順が適用されます。SBDはCUCMバージョン8.0(1)以降の一部です。これらのバージョンのCUCMでは、ITLファイルにCUCMパブリッシャのCAPFサービスの証明書が含まれています。これにより、電話機はCAPFサービスに接続して、インストール/アップグレードやトラブルシューティングなどの証明書操作をサポートできます。

以前のバージョンのCUCMでは、証明書操作をサポートするために混合モード用にクラスタを設定する必要がありました。これは不要なため、802.1X認証またはAnyConnect VPNクライアント認証の電話ID証明書としてLSCを使用する際の障壁が軽減されます。

CUCMクラスタ内のすべてのTFTPサーバでshow itlコマンドを実行します。ITLファイルにCAPF証明書が含まれていることを確認します。

たとえば、ラボのCUCM Subscriber ao115subからのshow itl出力の抜粋を次に示します。

注：このファイルには、CAPFのFUNCTIONを持つITLレコードエントリがあります。

注：ITLファイルにCAPFエントリがない場合は、CUCMパブリッシャにログインし、CAPFサービスがアクティブになっていることを確認します。これを確認するには、[Cisco Unified Serviceability] > [Tools] > [Service Activation] > [CUCM Publisher] > [Security]に移動し、Cisco Certificate Authority Proxy Function Serviceをアクティブにします。サービスが非アクティブ化され、アクティブ化したばかりの場合は、[Cisco Unified Serviceability] > [Tools] > [Control Center - Feature Services] > [Server] > [CM Services]に移動し、CUCMクラスタ内のすべてのTFTPサーバでCisco TFTPサービスをを再起動をファイルで再生します。また、CSCuj78330にヒットしていないことを確認してください。

注：作業が完了したら、CUCMクラスタ内のすべてのTFTPサーバでshow itlコマンドを実行し、現在のCUCMパブリッシャのCAPF証明書がファイルに含まれていることを確認します。

 ITL Record #:1
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 727
2 DNSNAME 2
3 SUBJECTNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 CAPF
5 ISSUERNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 64:F2:FE:61:3B:79:C5:D3:62:E2:6D:AB:4A:8B:76:1B
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 C3 E6 97 D0 8A E1 0B F2 31 EC ED 20 EC C5 BC 0F 83 BC BC 5E
12 HASH ALGORITHM 1 null

 ITL Record #:2
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 6B:99:31:15:D1:55:5E:75:9C:42:8A:CE:F2:7E:EA:E8
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 05 9A DE 20 14 55 23 2D 08 20 31 4E B5 9C E9 FE BD 2D 55 87
12 HASH ALGORITHM 1 null

 ITL Record #:3
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1680
2 DNSNAME 2
3 SUBJECTNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 51:BB:2F:1C:EE:80:02:16:62:69:51:9A:14:F6:03:7E
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 963 DF 98 C1 DB E0 61 02 1C 10 18 D8 BA F7 1B 2C AB 4C F8 C9 D5 (SHA1 Hash HEX)
This etoken was not used to sign the ITL file.

 ITL Record #:4
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 65:E5:10:72:E7:F8:77:DA:F1:34:D5:E3:5A:E0:17:41
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 00 44 54 42 B4 8B 26 24 F3 64 3E 57 8D 0E 5F B0 8B 79 3B BF
12 HASH ALGORITHM 1 null

 ITL Record #:5
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)
This etoken was used to sign the ITL file.

 ITL Record #:6
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)

 ITL Record #:7
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1031
2 DNSNAME 9 ao115sub
3 SUBJECTNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 53:CC:1D:87:BA:6A:28:BD:DA:22:B2:49:56:8B:51:6C
7 PUBLICKEY 97
8 SIGNATURE 103
9 CERTIFICATE 651 E0 CF 8A B3 4F 79 CE 93 03 72 C3 7A 3F CF AE C3 3E DE 64 C5 (SHA1 Hash HEX)

The ITL file was verified successfully.

CAPFエントリがITLのエントリとして確認されたら、電話機で証明書操作を実行できます。この例では、ヌルストリング認証を使用して2048ビットのRSA証明書がインストールされます。

電話機で、図に示すように、LSCがまだインストールされていないことを確認します。たとえば、79XXシリーズの電話機で、[Settings] > [4 - Security Configuration] > [4 - LSC]に移動します。

電話機の電話設定ページを開きます。[Cisco Unified CM Administration] > [Device] > [Phone]の順に移動します。

図に示すように、電話機の設定の[CAPF Information]セクションに次の詳細を入力します。

• [証明書の操作]で、[インストール/アップグレード]を選択します
• 認証モードの場合は、NULL文字列で選択します
• この例では、[Key Order]、[RSA Key Size (Bits)]、および[EC Key Size (Bits)]をシステムのデフォルト値に設定しておきます。
• [Operation Completed By（工程の完了期限）]に、将来に最低1時間の日時を入力します。

構成の変更を保存し、[構成の適用]を選択します。

図に示すように、電話機のLSCステータスが[Pending]に変わります。

電話機は、図に示すようにキーを生成します。

電話機がリセットされ、リセットが完了すると、図に示すように、電話機のLSCステータスがInstalledに変わります。

これは、図に示すように、電話機の[ステータスメッセージ]にも表示されます。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

複数の電話機でのLSC証明書のインストールを確認するには、『Cisco Unified Communications Managerリリース11.0(1)のセキュリティガイド』の「CAPFレポートの生成」セクションを参照してください。 または、[Find Phones by LSC Status]または[Authentication String]の手順を使用して、CUCM Administration Webインターフェイス内の同じデータを表示できます。

電話機にインストールされているLSC証明書のコピーを取得するには、記事「Cisco IP Phoneから証明書を取得する方法」を参照してください。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

有効なCAPFサーバがありません

LSCのインストールに失敗します。電話機のステータスメッセージに「No valid CAPF server」と表示されます。これは、ITLファイルにCAPFエントリがないことを示します。CAPFサービスがアクティブになっていることを確認し、TFTPサービスを再起動します。再起動後、ITLファイルにCAPF証明書が含まれていることを確認し、電話機をリセットして最新のITLファイルを取得してから、証明書操作を再試行してください。電話機の[セキュリティ設定(security settings)]メニューのCAPFサーバエントリがホスト名または完全修飾ドメイン名として表示される場合は、電話機がエントリをIPアドレスに解決できることを確認します。

LSC:接続に失敗しました。

LSCのインストールに失敗します。電話機のステータスメッセージにLSCが表示されます。接続に失敗しました。これは、次のいずれかの条件を示している可能性があります。

• ITLファイルのCAPF証明書と現在の証明書の間で不一致が発生し、CAPFサービスが使用中です。
• CAPFサービスが停止または非アクティブになります。
• 電話機がネットワーク経由でCAPFサービスに到達できない。

CAPFサービスがアクティブになっていることを確認し、CAPFサービスを再起動し、クラスタ全体でTFTPサービスを再起動し、電話機をリセットして最新のITLファイルを取得し、証明書操作を再試行します。問題が解決しない場合は、電話機とCUCMパブリッシャからパケットキャプチャを取得し、ポート3804（デフォルトのCAPFサービスポート）に双方向通信があるかどうかを確認するために分析します。そうでない場合は、ネットワークに問題がある可能性があります。

LSC:Failed（故障）

LSCのインストールに失敗します。電話機のステータスメッセージにLSCが表示されます。失敗しました。[電話の設定(Phone Configuration)]Webページに[証明書の動作ステータス(Certificate Operation Status)]が表示されます。アップグレード失敗：ユーザ開始要求の遅延/タイムアウト。これは、[Operation Completed By]の日時が期限切れになったか、過去の日付であることを示します。将来に最低1時間の日時を入力してから、証明書の操作をやり直してください。

LSC:保留中の操作

LSCのインストールに失敗します。電話機のステータスメッセージにLSCが表示されます。接続に失敗しました。[Phone Configuration]ページに[Certificate Operation Status]が表示されます。操作は保留中です。証明書の操作ステータスが表示される理由は次のとおりです。操作の保留中の状態です。その中には次のようなものがあります。

• 電話機のITLは、混乱したTFTPサーバで現在使用されているものと異なります。
• ITLの破損に関する問題これが発生するとデバイスの信頼できる状態が失われ、CUCMパブリッシャからコマンドutils itl reset localkeyを実行して、電話機でITLRecovery証明書を使用するように強制する必要があります。クラスタが混合モードの場合は、utils ctl reset localkeyコマンドを使用する必要があります。次に、CUCMのCLIから破損したITLを表示しようとする場合に表示される可能性のある内容の例を示します。ITLを表示してutils itl reset localkeyコマンドを実行しようとするときに次のエラーが発生し、2番目のエラーが表示された場合は、不具合CSCus33755である可能性があります。CUCMのバージョンが影響を確認。

• TVSの障害により、電話機は新しいLSCを認証できません。
• 電話機はMIC証明書を使用しますが、電話機の設定ページの[Certificate Authority Proxy Function(CAPF)Information]セクションで、[Authentication Mode]が[by Existing Certificate (Presence to LSC)]に設定されています。
• 電話機はCUCMのFQDNを解決できません。

上記の最後のシナリオでは、CUCMのFQDNを解決できなかった電話機がログに表示される内容をシミュレートするためにラボ環境を設定しました。現在、次のサーバを使用してラボをセットアップしています。

• バージョン11.5.1.15038-2を実行しているCUCMパブリッシャとサブスクライバ
• DNSサーバとしてのWindows 2016 Serverのセットアップ

テストでは、PUB11 CUCMサーバのDNSエントリが設定されていません。

ラボの電話機(8845)のいずれかにLSCをプッシュしようとしました。引き続き[Certificate Operation Status]が表示されることを次に示します。操作は保留中です。

電話コンソールログで、電話機がローカルキャッシュ(127.0.0.1)を照会しようとするのを確認してから、設定されたDNSサーバアドレスにクエリを転送します。

0475 INF Mar 12 15:07:53.686410 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
0476 INF Mar 12 15:07:53.686450 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
0477 INF Mar 12 15:07:53.694909 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
0478 INF Mar 12 15:07:53.695263 dnsmasq[12864]: reply PUB11.brianw2.lab is NXDOMAIN-IPv4
0479 INF Mar 12 15:07:53.695833 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
0480 INF Mar 12 15:07:53.695865 dnsmasq[12864]: cached PUB11.brianw2.lab is NXDOMAIN-IPv4
0481 WRN Mar 12 15:07:53.697091 (12905:13036) JAVA-configmgr MQThread|NetUtil.traceIPv4DNSErrors:? - DNS unknown IPv4 host PUB11.brianw2.lab

++ However, we see that the phone is not able to resolve the FQDN of the CUCM Publisher. This is because we need to configure the DNS entry for PUB11 on our DNS server.

0482 ERR Mar 12 15:07:53.697267 (12905:13036) JAVA-configmgr MQThread|cip.sec.TvsProperty:? - Failed to resolve Tvs Ipv4 Address with hostname PUB11.brianw2.lab

++ Afterwards, we see the CAPF operation fail. This is expected because we do not have a DNS mapping for PUB11. 

0632 NOT Mar 12 15:07:55.760715 (12905:13036) JAVA-configmgr MQThread|cip.sec.CertificateProperty:? - CertificateProperty.setCertificate() authMode=CAPF_AUTH_MODE_NULL_STR authorizationString=null theReason=CAPF_REASON_AUTO
0633 NOT Mar 12 15:07:55.761649 (322:17812) SECUREAPP-RCAPF_START_MODE: Start CAPF - mode:[1]([NULL_STR]), reason:[1]([AUTO]) no auth-str
0634 NOT Mar 12 15:07:55.761749 (322:17812) SECUREAPP-CAPF_CLNT_INIT:CAPF clnt initialized
0635 NOT Mar 12 15:07:55.761808 (322:17812) SECUREAPP-CAPFClnt: SetDelayTimer - set with value <0>
0636 ERR Mar 12 15:07:55.761903 (322:17812) SECUREAPP-Sec create BIO - invalid parameter.
0637 ERR Mar 12 15:07:55.761984 (322:17812) SECUREAPP-SEC_CAPF_BIO_F: CAPF create bio failed
0638 ERR Mar 12 15:07:55.762040 (322:17812) SECUREAPP-SEC_CAPF_OP_F: CAPF operation failed, ret -7
0639 CRT Mar 12 15:07:55.863826 (12905:13036) JAVA-configmgr MQThread|cip.sec.CertificateProperty$1:? - LSC: Connection failed

++ What we would expect to see is something similar to the following where DNS replies with the IP address that is associated with the FQDN of CUCM. After configuring a AAAA record in DNS for PUB11, we now see the below result in the console logs.

4288 INF Mar 12 16:34:06.162666 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
4289 INF Mar 12 16:34:06.162826 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
4290 INF Mar 12 16:34:06.164908 dnsmasq[12864]: reply PUB11.brianw2.lab is X.X.X.X
4291 NOT Mar 12 16:34:06.165024 (12905:13036) JAVA-configmgr MQThread|cip.sec.TvsProperty:? - Resolve Tvs Ipv4 Address to X.X.X.X from hostname PUB11.brianw2.lab

電話機がPUB11.brianw2.labを解決できないことを次の電話ステータスメッセージで確認します。その後、LSC:Connection failedメッセージです。

検討する不具合:

CSCub62243:LSCのインストールが断続的に失敗し、その後CAPF Srvrがフリーズする

検討する拡張不具合:

CSCuz18034：期限切れステータスとともに、LSCがインストールされたエンドポイントのレポートが必要

関連情報

次のドキュメントでは、AnyConnect VPNクライアント認証および802.1X認証に関するコンテキストでのLSCの使用に関する詳細について説明します。

• AnyConnect VPN 電話 - IP Phone、ASA、および CUCM のトラブルシューティング
• Identity-Based Networking Services：IEEE 802.1X対応ネットワークにおけるIPテレフォニーの導入および設定ガイド

高度なタイプのLSC設定もあります。LSC証明書は、CAPF証明書ではなく、サードパーティの認証局(CA)によって直接署名されます。

詳細については、「CUCMサードパーティCA署名付きLSCの生成とインポートの設定例」を参照してください

• テクニカル サポートとドキュメント – Cisco Systems