ユニファイドコミュニケーションクラスタの設定

ダウンロード オプション

  • PDF     (1.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (966.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (761.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 11 月 23 日
Document ID:118731

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、認証局(CA)署名付きマルチサーバSAN証明書を使用してユニファイドコミュニケーションクラスタを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Unified Communications Manager(CUCM)
    • CUCM IM and Presenceバージョン10.5

    この設定を開始する前に、次のサービスが稼働していることを確認してください。

    • Cisco Platform Administrative Webサービス
    • Cisco Tomcat サービス

    Webインターフェイスでこれらのサービスを確認するには、[Cisco Unified Serviceability Page Services] > [Network Service] > [Select a server] に移動します。CLIでこれらを確認するには、utils service listコマンドを入力します。

    CUCMクラスタでSSOが有効になっている場合は、SSOを無効にして再度有効にする必要があります。

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    CUCMバージョン10.5以降では、この信頼ストア証明書署名要求(CSR)にサブジェクト代替名(SAN)と代替ドメインを含めることができます。

    1. Tomcat:CUCMおよびIM&P
    2. Cisco CallManager:CUCMのみ
    3. Cisco Unified Presence-Extensible Messaging and Presence Protocol(CUP-XMPP) - IM&Pのみ
    4. CUP-XMPPサーバ間(S2S):IM&Pのみ

    このバージョンでは、CA署名付き証明書を取得する方が簡単です。CAが署名する必要があるCSRは1つだけです。各サーバノードからCSRを取得し、CSRごとにCA署名付き証明書を取得して、それらを個別に管理する必要はありません。

    設定

    ステップ 1:

    パブリッシャのオペレーティングシステム(OS)管理にログインし、[Security] > [Certificate Management] > [Generate CSR]に移動します

    Log into Publisher's Operating System Administration and Navigation

    ステップ 2:
    DistributionでMulti-Server SANを選択します。

    Choose Multi-Server SAN in Distribution



    SANドメインと親ドメインが自動入力されます。 

    クラスタのすべてのノードがTomcat用にリストされていることを確認します。CallManager用のすべてのCUCMおよびIM&Pノードがリストされます。CUCMノードのみがリストされます。

    It auto-populates the SAN Domains and the Parent Domain

    ステップ 3:
    [generate]をクリックし、CSRが生成されたら、CSRにリストされているすべてのノードが[Successful CSR exported]リストにも表示されていることを確認します。

    Click Generate and Verify the Nodes Listed in CSR are also Displayed in the Successful CSR Exported List

    証明書管理では、SAN要求が生成されます。
    SAN Request is Generated

    ステップ 4:

    [Download CSR] をクリックし、証明書の目的を選択して、[Download CSR] をクリックします。

    Download CSR and Choose the Certificate Purpose

    Download Certificate

    ローカルCAまたはVeriSignなどの外部CAを使用して、CSR(前の手順でダウンロードしたファイル)に署名を付けることができます。

    この例では、Microsoft Windows ServerベースのCAの設定手順を示します。別のCAまたは外部CAを使用している場合は、手順5に進みます。

    https://<windowsserveripaddress>/certsrv/にログインします
    [Request a Certificate] > [Advanced Certificate Request] を選択します。
    CSRファイルの内容を[Base-64-encoded certificate request]フィールドにコピーし、[Submit] をクリックします。

    Can use Local CA or an External CA


    次に示すように、CSR要求を送信します。

    Submit the CSR



    Certificate Pending

    ステップ 5:

    :Tomcat証明書をアップロードする前に、SSOが無効になっていることを確認してください。SSOが有効になっている場合は、すべてのTomcat証明書の再生成プロセスが完了したら、SSOを無効にして再度有効にする必要があります。

    証明書が署名された状態で、CA証明書をtomcat-trustとしてアップロードします。最初にルート証明書、次に中間証明書(存在する場合)です。

    Upload the CA

    Upload Certificate

    手順 6:

    次の図に示すように、CUCM署名付き証明書をTomcatとしてアップロードし、クラスタのすべてのノードが[Certificate upload operation successful]に表示されていることを確認します。

    Upload CUCM Signed Certificate


    マルチサーバSANは、次の図に示すように[Certificate Management]に表示されます。

    Configure Multi-server SAN

    手順 7:

    CLIでutils service restart Cisco Tomcatコマンドを使用して、SANリスト内のすべてのノード(最初のパブリッシャとサブスクライバ)でTomcatサービスを再起動します。

    Restart Tomcat Service

    確認

    http://<fqdnofccm>:8443/ccmadminにログインして、新しい証明書が使用されていることを確認します。

    Verify

    CallManagerマルチサーバSAN証明書

    CallManager証明書についても同様の手順を実行できます。この場合、自動入力ドメインはCallManagerノードだけです。Cisco CallManagerサービスが実行されていない場合は、SANリストに保持するか、削除するかを選択できます。

    警告:このプロセスは、電話機の登録とコール処理に影響します。CUCM/TVS/ITL/CAPF証明書を使用して作業する場合は、必ずメンテナンスウィンドウをスケジュールしてください。

    CUCMのCA署名付きSAN証明書の前に、次のことを確認します。

    • IP PhoneはTrust Verification Service(TVS)を信頼できます。これは、電話機から任意のHTTPSサービスにアクセスすることで確認できます。たとえば、社内ディレクトリアクセスが機能する場合、電話機はTVSサービスを信頼することを意味します。
    • クラスタが非セキュアモードか混合モードかを確認します。 

    混合モードクラスタかどうかを確認するには、 [Cisco Unified CM Administration] > [System] > [Enterprise Parameters] > [Cluster Security Mode](0 == Non-Secure、1 == Mixed Mode).  

    警告:サービスを再起動する前に混合モードクラスタを使用している場合は、CTLをトークンまたはトークンレスに更新する必要があります。

    CAによって発行された証明書をインストールした後、有効になっているノードで次のサービスのリストを再起動する必要があります。

    • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
    • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
    • [Cisco Unified Serviceability] > [Tools] > [Control Center - Feature Services] > [Cisco CTIManager]
    • [Cisco Unified Serviceability] > [Tools] > [Control Center - Network Services] > [Cisco Trust Verification Service]

    トラブルシュート

    これらのログは、Cisco Technical Assistance Center(TAC)がマルチサーバSAN CSRの生成とCA署名付き証明書のアップロードに関連する問題を特定するのに役立ちます。

    既知の注意事項

    ・ Cisco Bug ID CSCur97909:マルチサーバ証明書をアップロードしても、DB内の自己署名証明書が削除されない
    ・ Cisco Bug ID CSCus47235 - CSRのためにCUCM 10.5.2がSANに複製されない
    ・ Cisco Bug ID CSCup28852:マルチサーバ証明書を使用する場合の証明書の更新により、電話機が7分ごとにリセットされる

    既存のマルチサーバ証明書がある場合は、次のシナリオで再生成が推奨されます。

    • ホスト名またはドメインの変更。ホスト名またはドメインの変更が実行されると、証明書は自己署名として自動的に再生成されます。これをCA署名付きに変更するには、前の手順に従う必要があります。
    • 新しいノードがクラスタに追加された場合は、新しいノードを含めるために新しいCSRを生成する必要があります。
    • サブスクライバが復元され、バックアップが使用されなかった場合、ノードは新しい自己署名証明書を持つことができます。サブスクライバを含めるには、クラスタ全体の新しいCSRが必要になる場合があります。(拡張要求があります。Cisco Bug ID CSCuv75957 この機能を追加します)。

    更新履歴

    改定 発行日 コメント
    2.0
    23-Nov-2022
    タイトルと概要、機械翻訳、SEO、スタイル要件、用語と書式を更新。代替テキストが追加されました。
    1.0
    09-Mar-2015
    初版
    TAC Authored

    シスコ エンジニア提供

    • Vasanth Kumar K
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています