はじめに
このドキュメントでは、コマンドラインインターフェイス(CLI)を使用して、Cisco Voice Operating System(VOS)ベースのコラボレーションサーバにサードパーティの認証局(CA)署名付き証明書をアップロードする方法の設定手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 公開キーインフラストラクチャ(PKI)と、Cisco VOSサーバおよびMicrosoft CAでの実装に関する基本的な知識
- DNSインフラストラクチャが事前設定されている
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- VOSサーバ:Cisco Unified Communications Manager(CUCM)バージョン9.1.2
- CA:Windows 2012 Server
- クライアントブラウザ:Mozilla Firefoxバージョン47.0.1
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
すべてのCisco Unified Communications VOS製品には、アプリケーション(ccmadmin、ccmservice、cuadmin、cfadmin、cuic)とVOSプラットフォーム(cmplatform、drf、cli)の2つ以上のクレデンシャルタイプがあります。
特定のシナリオでは、Webページを介してアプリケーションを管理し、コマンドラインを介してプラットフォーム関連のアクティビティを実行するのが非常に便利です。CLIのみを使用してサードパーティの署名付き証明書をインポートする手順は、次のとおりです。この例では、Tomcat証明書がアップロードされます。CallManagerやその他のアプリケーションの場合も同様です。
CA署名付き証明書の生成
コマンドの概要
記事で使用されているコマンドのリスト。
show cert list own
show cert own tomcat
set csr gen CallManager
show csr list own
show csr own CallManager
show cert list trust
set cert import trust CallManager
set cert import own CallManager CallManager-trust/allevich-DC12-CA.pem
正しい証明書情報の確認
アップロードされたすべての信頼できる証明書をリストします。
admin:show cert list own
tomcat/tomcat.pem: Self-signed certificate generated by system
ipsec/ipsec.pem: Self-signed certificate generated by system
CallManager/CallManager.pem: Certificate Signed by allevich-DC12-CA
CAPF/CAPF.pem: Self-signed certificate generated by system
TVS/TVS.pem: Self-signed certificate generated by system
Tomcatサービスの証明書を発行したユーザーを確認します。
admin:show cert own tomcat
[
Version: V3
Serial Number: 85997832470554521102366324519859436690
SignatureAlgorithm: SHA1withRSA (1.2.840.113549.1.1.5)
Issuer Name: L=Krakow, ST=Malopolskie, CN=ucm1-1.allevich.local, OU=TAC, O=Cisco, C=PL
Validity From: Sun Jul 31 11:37:17 CEST 2016
To: Fri Jul 30 11:37:16 CEST 2021
Subject Name: L=Krakow, ST=Malopolskie, CN=ucm1-1.allevich.local, OU=TAC, O=Cisco, C=PL
Key: RSA (1.2.840.113549.1.1.1)
Key value: 3082010a0282010100a2
<output omited>
発行者がサブジェクトと一致するため、これは自己署名証明書です。
証明書署名要求(CSR)の生成
CSR の生成.
admin:set csr gen tomcat
Successfully Generated CSR for tomcat
証明書署名要求が正常に生成されたことを確認します。
admin:show csr list own
tomcat/tomcat.csr
ファイルを開き、内容をテキストファイルにコピーします。tac_tomcat.csrファイルとして保存します。
admin:show csr own tomcat
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
Tomcatサーバ証明書の生成
CAでTomcatサービスの証明書を生成します。
ブラウザで認証局のWebページを開きます。認証プロンプトに正しいクレデンシャルを入力します。
http://dc12.allevich.local/certsrv/

CAルート証明書をダウンロードします。Download a CA certificate, certificate chain, or CRLメニューを選択します。次のメニューで、リストから適切なCAを選択します。符号化方式はBase 64である必要があります。CA証明書をダウンロードし、ca.cerという名前でオペレーティングシステムに保存します。
Request a Certificateを押してから、Advanced Certificate Requestを押します。Webサーバに証明書テンプレートを設定し、次に示すようにテキストファイルtac_tomcat.csrからCSRの内容を貼り付けます。

ヒント:この操作をラボ(またはCisco VOSサーバで、CAが同じ管理ドメイン内)で行うと、メモリバッファからのCSRのコピーアンドペーストにかかる時間を節約できます。
Submitを押します。Base 64 encodedオプションを選択し、Tomcatサービス用の証明書をダウンロードします。
注:証明書の生成を一括で実行する場合は、証明書の名前を意味のある名前に変更してください。
Cisco VOSサーバへのTomcat証明書のインポート
CA証明書のインポート
ca.cerという名前で保存されたCA証明書を開きます。最初にインポートする必要があります。

その内容をバッファにコピーし、CUCM CLIで次のコマンドを入力します。
admin:set cert import trust tomcat
Paste the Certificate and Hit Enter
CA証明書の貼り付けを求めるプロンプトが表示されます。次の図のように貼り付けます。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
信頼証明書のアップロードが成功すると、次の出力が表示されます。
Import of trust certificate is successful
CA証明書がTomcat-trust証明書として正常にインポートされることを確認します。
admin:show cert list trust
tomcat-trust/ucm1-1.pem: Trust Certificate
tomcat-trust/allevich-win-CA.pem: w2008r2 139
<output omited for brevity>
Tomcat証明書のインポート
次に、Tomcat CA署名付き証明書をインポートします。この操作は、コマンドが異なるだけで、tomcat-trust certの場合と同じように表示されます。
set cert import own tomcat tomcat-trust/allevich-DC12-CA.pem
サービスを再起動する
最後に、Tomcatサービスを再起動します。
utils service restart Cisco Tomcat
注意:エクステンションモビリティ、不在着信、社内ディレクトリなど、Webサーバに依存するサービスの動作が中断されることに注意してください。
確認
生成された証明書を確認します。
admin:show cert own tomcat
[
Version: V3
Serial Number: 2765292404730765620225406600715421425487314965
SignatureAlgorithm: SHA1withRSA (1.2.840.113549.1.1.5)
Issuer Name: CN=allevich-DC12-CA, DC=allevich, DC=local
Validity From: Sun Jul 31 12:17:46 CEST 2016
To: Tue Jul 31 12:17:46 CEST 2018
Subject Name: CN=ucm1-1.allevich.local, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Key: RSA (1.2.840.113549.1.1.1)
Key value: 3082010a028201010095a
発行者名が、その証明書を作成したCAに属していることを確認します。
ブラウザでサーバのFQDNを入力してWebページにログインすると、証明書の警告は表示されません。
トラブルシュート
この記事の目的は、公開キーインフラストラクチャ(PKI)のロジックを強調することではなく、CLIを使用して証明書をアップロードする方法に関するコマンド構文を備えた手順を示すことです。 SAN証明書、下位CA、4096証明書キーの長さ、およびその他の多くのシナリオについては説明しません。
まれに、CLIを使用してWebサーバ証明書をアップロードするときに、「Unable to read CA certificate」というエラーメッセージが表示されて操作が失敗することがあります。 この問題を回避するには、Webページを使用して証明書をインストールします。
非標準の認証局(CA)設定は、証明書のインストールに関する問題の原因となる可能性があります。基本的なデフォルト設定を使用して、別のCAから証明書を生成してインストールしてみます。
バックアウト計画
自己署名証明書を生成する必要がある場合は、CLIでも実行できます。
次のコマンドを入力すると、Tomcat証明書が自己署名されたものに再生成されます。
admin:set cert regen tomcat
WARNING: This operation will overwrite any CA signed certificate previously imported for tomcat
Proceed with regeneration (yes|no)? yes
Successfully Regenerated Certificate for tomcat.
You must restart services related to tomcat for the regenerated certificates to become active.
新しい証明書を適用するには、Tomcatサービスを再起動する必要があります。
admin:utils service restart Cisco Tomcat
Don't press Ctrl-c while the service is getting RESTARTED.If Service has not Restarted Properly, execute the same Command Again
Service Manager is running
Cisco Tomcat[STOPPING]
Cisco Tomcat[STOPPING]
Commanded Out of Service
Cisco Tomcat[NOTRUNNING]
Service Manager is running
Cisco Tomcat[STARTING]
Cisco Tomcat[STARTING]
Cisco Tomcat[STARTED]
関連記事
Webページ経由での証明書のアップロード
Windows Serverの自己署名または証明機関(CA)を取得してアップロードする手順…