CUCMを使用したIP PhoneでのLSCの設定
概要
このドキュメントでは、Cisco Internet Protocol Phone(Cisco IP Phone)にLocally Significant Certificate(LSC)をインストールする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Unified Communications Manager(CUCM)クラスタセキュリティモードオプション
- X.509 証明書
- 製造元でインストールされる証明書(MIC)
- LSC
- Certificate Authority Proxy Function(CAPF)証明書操作
- デフォルトのセキュリティ(SBD)
- 初期信頼リスト(ITL)ファイル
使用するコンポーネント
このドキュメントの情報は、SBDをサポートするCUCMバージョン、つまりCUCM 8.0(1)以降に基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
MICとLSC
802.1XまたはAnyconnect Phone VPNに証明書ベースの認証を使用する場合は、MICとLSCの違いを理解することが重要です。
すべてのCisco電話には、工場でプリインストールされたMICが付属しています。この証明書は、Cisco Manufacturing CA、Cisco Manufacturing CA SHA2、CAP-RTP-001、またはCAP-RTP-002のいずれかのCisco Manufacturing CA証明書によって署名されます。電話機がこの証明書を提示すると、その電話機が有効なシスコの電話機であることが証明されますが、その電話機が特定のお客様またはCUCMクラスタに属しているかどうかは検証されません。これは、公開市場で購入された不正な電話機や、別のサイトから持ち込まれた不正な電話機である可能性があります。
一方、LSCは管理者によって電話機に意図的にインストールされ、CUCMパブリッシャのCAPF証明書によって署名されます。既知のCAPF認証局によって発行されたLSCだけを信頼するように802.1XまたはAnyconnect VPNを設定します。MICではなくLSCに基づいて証明書認証を行うことで、信頼できる電話機をより詳細に制御できます。
設定
Network Topology
このドキュメントでは、次のCUCMラボサーバを使用しました。
- ao115pub - 10.122.138.102 - CUCMパブリッシャおよびTFTPサーバ
- ao115sub - 10.122.138.103 - CUCMサブスクライバおよびTFTPサーバ
CAPF証明書が期限切れでないこと、および近い将来に期限切れになろうとしていないことを確認します。図に示すように、[Cisco Unified OS Administration] > [Security] > [Certificate Management] に移動し、[Find Certificate List where Certificate is exactly CAPF] に移動します。
[Common Name] をクリックして、[Certificate Details]ページを開きます。次の図に示すように、[Certificate File Data] ペインの[Validity From:]と[To:]の日付を調べて、証明書の有効期限が切れる日付を確認します。
CAPF証明書の期限が切れているか、間もなく切れる場合は、その証明書を再生成します。LSCのインストールプロセスを期限切れのCAPF証明書で続行したり、CAPF証明書を期限切れにしたりしないでください。これにより、CAPF証明書の期限切れのために近い将来にLSCを再発行する必要がなくなります。CAPF証明書を再生成する方法については、「CUCM証明書の再生成/更新プロセス」の記事を参照してください。
同様に、CAPF証明書をサードパーティの認証局によって署名する必要がある場合は、この段階で選択できます。証明書署名要求(CSR)ファイルの生成と署名付きCAPF証明書のインポートを今すぐ完了するか、または準備テストのために自己署名LSCの設定を続行します。 サードパーティの署名付きCAPF証明書が必要な場合は、通常、最初に自己署名CAPF証明書を使用してこの機能を設定し、テストと検証を行ってから、サードパーティの署名付きCAPF証明書によって署名されたLSCを再展開します。これにより、サードパーティの署名済みCAPF証明書を使用したテストが失敗した場合のトラブルシューティングが簡素化されます。
CUCMクラスタ内のすべてのTFTPサーバでshow itlコマンドを実行します。ITLファイルにCAPF証明書が含まれていることを確認します。
たとえば、ラボ演習CUCMサブスクライバao115subからのshow itl出力の抜粋を次に示します。
ITL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 727
2 DNSNAME 2
3 SUBJECTNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 CAPF
5 ISSUERNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 64:F2:FE:61:3B:79:C5:D3:62:E2:6D:AB:4A:8B:76:1B
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 C3 E6 97 D0 8A E1 0B F2 31 EC ED 20 EC C5 BC 0F 83 BC BC 5E
12 HASH ALGORITHM 1 null
ITL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 6B:99:31:15:D1:55:5E:75:9C:42:8A:CE:F2:7E:EA:E8
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 05 9A DE 20 14 55 23 2D 08 20 31 4E B5 9C E9 FE BD 2D 55 87
12 HASH ALGORITHM 1 null
ITL Record #:3
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1680
2 DNSNAME 2
3 SUBJECTNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 51:BB:2F:1C:EE:80:02:16:62:69:51:9A:14:F6:03:7E
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 963 DF 98 C1 DB E0 61 02 1C 10 18 D8 BA F7 1B 2C AB 4C F8 C9 D5 (SHA1 Hash HEX)
This etoken was not used to sign the ITL file.
ITL Record #:4
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 65:E5:10:72:E7:F8:77:DA:F1:34:D5:E3:5A:E0:17:41
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 00 44 54 42 B4 8B 26 24 F3 64 3E 57 8D 0E 5F B0 8B 79 3B BF
12 HASH ALGORITHM 1 null
ITL Record #:5
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)
This etoken was used to sign the ITL file.
ITL Record #:6
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)
ITL Record #:7
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1031
2 DNSNAME 9 ao115sub
3 SUBJECTNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 53:CC:1D:87:BA:6A:28:BD:DA:22:B2:49:56:8B:51:6C
7 PUBLICKEY 97
8 SIGNATURE 103
9 CERTIFICATE 651 E0 CF 8A B3 4F 79 CE 93 03 72 C3 7A 3F CF AE C3 3E DE 64 C5 (SHA1 Hash HEX)
The ITL file was verified successfully.
ITL内のエントリとして確認されたCAPFエントリを使用して、電話機で証明書操作を完了できます。この例では、ヌルストリング認証を使用して2048ビットのRSA証明書がインストールされます。
電話機で、図に示すようにLSCがまだインストールされていないことを確認します。たとえば、79XXシリーズの電話機で、[Settings] > [4 - Security Configuration] > [4 - LSC] に移動します。
電話機の電話機の設定ページを開きます。[Cisco Unified CM Administration] > [Device] > [Phone] に移動します。
図に示すように、電話機の設定の[CAPF Information]セクションに次の詳細を入力します。
- [Certificate Operation]で、[Install/Upgrade] を選択します
- [Authentication Mode]で、[By Null String] を選択します
- この例では、[Key Order]、[RSA Key Size (Bits)]、および[EC Key Size (Bits)]はシステムのデフォルトに設定したままにします。
- 「工程の完了期限」に、1時間以上の日時を入力します。
設定の変更を保存してから、[Apply Config]をクリックします。
図に示すように、電話機のLSCステータスが[Pending]に変わります。
図に示すように、電話機はキーを生成します。
電話機がリセットされ、リセットが完了すると、図に示すように、電話機のLSCステータスが[Installed]に変わります。
これは、図に示すように、電話機の[ステータスメッセージ(Status Messages)]にも表示されます。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
複数の電話機でのLSC証明書のインストールを確認するには、『Security Guide for Cisco Unified Communications Manager, Release 11.0(1)』の「CAPFレポートの生成」セクションを参照してください。または、LSCステータスまたは認証文字列による電話機の検索手順を使用して、CUCM管理Webインターフェイス内で同じデータを表示できます。
電話機にインストールされているLSC証明書のコピーを取得するには、記事「Cisco IP Phoneから証明書を取得する方法」を参照してください。
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
有効なCAPFサーバがありません
LSCのインストールに失敗する。電話機のステータスメッセージに「No valid CAPF server」と表示されます。これは、ITLファイルにCAPFエントリがないことを示します。CAPFサービスがアクティブになったことを確認し、TFTPサービスを再起動します。再起動後にITLファイルにCAPF証明書が含まれていることを確認し、電話機をリセットして最新のITLファイルを取得してから、証明書操作を再試行します。電話機のセキュリティ設定メニューにCAPFサーバエントリがホスト名または完全修飾ドメイン名として表示される場合は、電話機がエントリをIPアドレスに解決できることを確認します。
LSC:接続に失敗しました
LSCのインストールに失敗する。電話機のステータスメッセージに「LSC: Connection Failed」と表示されます。これは、次のいずれかの状態を示している可能性があります。
- ITLファイルのCAPF証明書と現在の証明書が一致しない場合、CAPFサービスは使用中です。
- CAPFサービスが停止または非アクティブ化されています。
- 電話機がネットワーク経由でCAPFサービスに到達できません。
CAPFサービスがアクティブになっていることを確認し、CAPFサービスを再起動し、クラスタ全体でTFTPサービスを再起動し、電話機をリセットして最新のITLファイルを取得してから、証明書操作を再試行します。問題が解決しない場合は、電話機とCUCMパブリッシャからパケットキャプチャを取得し、分析して、デフォルトのCAPFサービスポートであるポート3804で双方向通信が行われているかどうかを確認します。そうでない場合は、ネットワークの問題が発生している可能性があります。
LSC:失敗
LSCのインストールに失敗する。電話機のステータスメッセージに「LSC: Failed」と表示されます。[Phone Configuration] Webページに、[Certificate Operation Status: Upgrade Failed: User Initiated Request Late/Timedout] が表示されます。これは、操作が時間と日付によって完了したことを示します。期限が切れているか、過去の日付です。少なくとも1時間後の日付と時刻を入力してから、証明書の操作を再試行してください。
LSC:Operation Pending
LSCのインストールに失敗する。電話機のステータスメッセージに「LSC: Connection Failed」と表示されます。[Phone Configuration]ページに[Certificate Operation Status: Operation Pending] が表示されます。[Certificate Operation Status: Operation Pending] ステータスが表示される理由はさまざまです。たとえば、次のような機能があります。
- 電話機上のITLが、設定されたTFTPサーバで現在使用されているITLと異なる。
- 破損したITLに関する問題この状態が発生すると、デバイスは信頼できるステータスを失い、電話でITLRecovery証明書を使用するように強制するには、CUCMパブリッシャからコマンドutils itl reset localkeyを実行する必要があります。クラスタが混合モードの場合は、コマンドutils ctl reset localkeyを使用する必要があります。次に、CUCMのCLIから破損したITLを表示しようとしたときの表示例を示します。ITLを表示してutils itl reset localkeyコマンドを実行しようとしたときに不具合が発生し、2番目のエラーが表示される場合は、Cisco Bug ID CSCus33755のエラーである可能性があります。CUCMのバージョンが該当するかどうかを確認します。
- TVSの障害が原因で、電話機が新しいLSCの認証に失敗する。
- 電話機はMIC証明書を使用しますが、電話機の設定ページの[Certificate Authority Proxy Function (CAPF) Information]セクションで、[Authentication Mode]が[Existing Certificate (Precedence to LSC)]に設定されています。
- 電話機がCUCMのFQDNを解決できません。
最後のシナリオでは、電話機がCUCMのFQDNを解決できなかった場合にログに表示される内容をシミュレートするようにラボ環境を設定します。現在、ラボは次のサーバでセットアップされています。
- バージョン11.5.1.15038-2を実行するCUCMパブリッシャおよびサブスクライバ
- Windows 2016 ServerをDNSサーバーとしてセットアップする
テスト用に設定されたPUB11 CUCMサーバのDNSエントリはありません。
ラボ内の電話(8845)のいずれかにLSCをプッシュしてみた。[Certificate Operation Status: Operation Pending]がまだ表示されていることを確認します。
電話機のコンソールログで、設定されたDNSサーバアドレスにクエリーを転送する前に、電話機がローカルキャッシュ(127.0.0.1)へのクエリーを試行することを確認します。
0475 INF Mar 12 15:07:53.686410 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
0476 INF Mar 12 15:07:53.686450 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
0477 INF Mar 12 15:07:53.694909 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
0478 INF Mar 12 15:07:53.695263 dnsmasq[12864]: reply PUB11.brianw2.lab is NXDOMAIN-IPv4
0479 INF Mar 12 15:07:53.695833 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
0480 INF Mar 12 15:07:53.695865 dnsmasq[12864]: cached PUB11.brianw2.lab is NXDOMAIN-IPv4
0481 WRN Mar 12 15:07:53.697091 (12905:13036) JAVA-configmgr MQThread|NetUtil.traceIPv4DNSErrors:? - DNS unknown IPv4 host PUB11.brianw2.lab
++ However, we see that the phone is not able to resolve the FQDN of the CUCM Publisher. This is because we need to configure the DNS entry for PUB11 on our DNS server.
0482 ERR Mar 12 15:07:53.697267 (12905:13036) JAVA-configmgr MQThread|cip.sec.TvsProperty:? - Failed to resolve Tvs Ipv4 Address with hostname PUB11.brianw2.lab
++ Afterwards, we see the CAPF operation fail. This is expected because we do not have a DNS mapping for PUB11.
0632 NOT Mar 12 15:07:55.760715 (12905:13036) JAVA-configmgr MQThread|cip.sec.CertificateProperty:? - CertificateProperty.setCertificate() authMode=CAPF_AUTH_MODE_NULL_STR authorizationString=null theReason=CAPF_REASON_AUTO
0633 NOT Mar 12 15:07:55.761649 (322:17812) SECUREAPP-RCAPF_START_MODE: Start CAPF - mode:[1]([NULL_STR]), reason:[1]([AUTO]) no auth-str
0634 NOT Mar 12 15:07:55.761749 (322:17812) SECUREAPP-CAPF_CLNT_INIT:CAPF clnt initialized
0635 NOT Mar 12 15:07:55.761808 (322:17812) SECUREAPP-CAPFClnt: SetDelayTimer - set with value <0>
0636 ERR Mar 12 15:07:55.761903 (322:17812) SECUREAPP-Sec create BIO - invalid parameter.
0637 ERR Mar 12 15:07:55.761984 (322:17812) SECUREAPP-SEC_CAPF_BIO_F: CAPF create bio failed
0638 ERR Mar 12 15:07:55.762040 (322:17812) SECUREAPP-SEC_CAPF_OP_F: CAPF operation failed, ret -7
0639 CRT Mar 12 15:07:55.863826 (12905:13036) JAVA-configmgr MQThread|cip.sec.CertificateProperty$1:? - LSC: Connection failed
++ What we would expect to see is something similar to the following where DNS replies with the IP address that is associated with the FQDN of CUCM. After configuring a AAAA record in DNS for PUB11, we now see the below result in the console logs.
4288 INF Mar 12 16:34:06.162666 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
4289 INF Mar 12 16:34:06.162826 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
4290 INF Mar 12 16:34:06.164908 dnsmasq[12864]: reply PUB11.brianw2.lab is X.X.X.X
4291 NOT Mar 12 16:34:06.165024 (12905:13036) JAVA-configmgr MQThread|cip.sec.TvsProperty:? - Resolve Tvs Ipv4 Address to X.X.X.X from hostname PUB11.brianw2.lab次の電話機ステータスメッセージで、電話機がPUB11.brianw2.labを解決できないことを確認します。その後、「LSC: Connection failed」メッセージを参照してください。
不具合:
Cisco Bug ID CSCub62243:LSCのインストールが断続的に失敗し、その後CAPFサーバがフリーズする
拡張不具合の考慮事項:
Cisco Bug ID CSCuz18034:LSCがインストールされたエンドポイントと期限切れステータスのレポートが必要
関連情報
次のドキュメントでは、AnyConnect VPNクライアント認証と802.1X認証のコンテキストでのLSCの使用に関する詳細を説明します。
- AnyConnect VPN 電話 - IP Phone、ASA、および CUCM のトラブルシューティング
- Identity-Based Networking Services: IP Telephony In IEEE 802.1X-Enabled Networks Deployment and Configuration Guide
LSC設定の高度なタイプもあります。このタイプでは、LSC証明書がCAPF証明書ではなくサードパーティの認証局によって直接署名されます。
詳細については、「CUCMサードパーティCA署名付きLSCの生成とインポートの設定例」を参照してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
17-Mar-2023 |
タイトル、概要、代替テキスト、SEO、スタイル要件、機械翻訳、言語とフォーマットを更新。スペルを訂正。 |
1.0 |
03-May-2018 |
初版 |
フィードバック