概要
このドキュメントでは、認証局(CA)署名付きマルチサーバSAN証明書を使用してユニファイドコミュニケーションクラスタを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Unified Communications Manager(CUCM)
- CUCM IM and Presenceバージョン10.5
この設定を開始する前に、次のサービスが稼働していることを確認してください。
- Cisco Platform Administrative Webサービス
- Cisco Tomcat サービス
Webインターフェイスでこれらのサービスを確認するには、[Cisco Unified Serviceability Page Services] > [Network Service] > [Select a server] に移動します。CLIでこれらを確認するには、utils service listコマンドを入力します。
CUCMクラスタでSSOが有効になっている場合は、SSOを無効にして再度有効にする必要があります。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
CUCMバージョン10.5以降では、この信頼ストア証明書署名要求(CSR)にサブジェクト代替名(SAN)と代替ドメインを含めることができます。
- Tomcat:CUCMおよびIM&P
- Cisco CallManager:CUCMのみ
- Cisco Unified Presence-Extensible Messaging and Presence Protocol(CUP-XMPP) - IM&Pのみ
- CUP-XMPPサーバ間(S2S):IM&Pのみ
このバージョンでは、CA署名付き証明書を取得する方が簡単です。CAが署名する必要があるCSRは1つだけです。各サーバノードからCSRを取得し、CSRごとにCA署名付き証明書を取得して、それらを個別に管理する必要はありません。
設定
ステップ 1:
パブリッシャのオペレーティングシステム(OS)管理にログインし、[Security] > [Certificate Management] > [Generate CSR]に移動します。
ステップ 2:
DistributionでMulti-Server SANを選択します。
SANドメインと親ドメインが自動入力されます。
クラスタのすべてのノードがTomcat用にリストされていることを確認します。CallManager用のすべてのCUCMおよびIM&Pノードがリストされます。CUCMノードのみがリストされます。
ステップ 3:
[generate]をクリックし、CSRが生成されたら、CSRにリストされているすべてのノードが[Successful CSR exported]リストにも表示されていることを確認します。
証明書管理では、SAN要求が生成されます。
ステップ 4:
[Download CSR] をクリックし、証明書の目的を選択して、[Download CSR] をクリックします。
ローカルCAまたはVeriSignなどの外部CAを使用して、CSR(前の手順でダウンロードしたファイル)に署名を付けることができます。
この例では、Microsoft Windows ServerベースのCAの設定手順を示します。別のCAまたは外部CAを使用している場合は、手順5に進みます。
https://<windowsserveripaddress>/certsrv/にログインします
[Request a Certificate] > [Advanced Certificate Request] を選択します。
CSRファイルの内容を[Base-64-encoded certificate request]フィールドにコピーし、[Submit] をクリックします。
次に示すように、CSR要求を送信します。
ステップ 5:
注:Tomcat証明書をアップロードする前に、SSOが無効になっていることを確認してください。SSOが有効になっている場合は、すべてのTomcat証明書の再生成プロセスが完了したら、SSOを無効にして再度有効にする必要があります。
証明書が署名された状態で、CA証明書をtomcat-trustとしてアップロードします。最初にルート証明書、次に中間証明書(存在する場合)です。
手順 6:
次の図に示すように、CUCM署名付き証明書をTomcatとしてアップロードし、クラスタのすべてのノードが[Certificate upload operation successful]に表示されていることを確認します。
マルチサーバSANは、次の図に示すように[Certificate Management]に表示されます。
手順 7:
CLIでutils service restart Cisco Tomcatコマンドを使用して、SANリスト内のすべてのノード(最初のパブリッシャとサブスクライバ)でTomcatサービスを再起動します。
確認
http://<fqdnofccm>:8443/ccmadminにログインして、新しい証明書が使用されていることを確認します。
CallManagerマルチサーバSAN証明書
CallManager証明書についても同様の手順を実行できます。この場合、自動入力ドメインはCallManagerノードだけです。Cisco CallManagerサービスが実行されていない場合は、SANリストに保持するか、削除するかを選択できます。
警告:このプロセスは、電話機の登録とコール処理に影響します。CUCM/TVS/ITL/CAPF証明書を使用して作業する場合は、必ずメンテナンスウィンドウをスケジュールしてください。
CUCMのCA署名付きSAN証明書の前に、次のことを確認します。
- IP PhoneはTrust Verification Service(TVS)を信頼できます。これは、電話機から任意のHTTPSサービスにアクセスすることで確認できます。たとえば、社内ディレクトリアクセスが機能する場合、電話機はTVSサービスを信頼することを意味します。
- クラスタが非セキュアモードか混合モードかを確認します。
混合モードクラスタかどうかを確認するには、 [Cisco Unified CM Administration] > [System] > [Enterprise Parameters] > [Cluster Security Mode](0 == Non-Secure、1 == Mixed Mode).
警告:サービスを再起動する前に混合モードクラスタを使用している場合は、CTLをトークンまたはトークンレスに更新する必要があります。
CAによって発行された証明書をインストールした後、有効になっているノードで次のサービスのリストを再起動する必要があります。
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
- [Cisco Unified Serviceability] > [Tools] > [Control Center - Feature Services] > [Cisco CTIManager]
- [Cisco Unified Serviceability] > [Tools] > [Control Center - Network Services] > [Cisco Trust Verification Service]
トラブルシュート
これらのログは、Cisco Technical Assistance Center(TAC)がマルチサーバSAN CSRの生成とCA署名付き証明書のアップロードに関連する問題を特定するのに役立ちます。
- Cisco Unified OS Platform API
- Cisco Tomcat
- IPT プラットフォーム CertMgr ログ
- 証明書の更新プロセス
既知の注意事項
・ Cisco Bug ID CSCur97909:マルチサーバ証明書をアップロードしても、DB内の自己署名証明書が削除されない
・ Cisco Bug ID CSCus47235 - CSRのためにCUCM 10.5.2がSANに複製されない
・ Cisco Bug ID CSCup28852:マルチサーバ証明書を使用する場合の証明書の更新により、電話機が7分ごとにリセットされる
既存のマルチサーバ証明書がある場合は、次のシナリオで再生成が推奨されます。
- ホスト名またはドメインの変更。ホスト名またはドメインの変更が実行されると、証明書は自己署名として自動的に再生成されます。これをCA署名付きに変更するには、前の手順に従う必要があります。
- 新しいノードがクラスタに追加された場合は、新しいノードを含めるために新しいCSRを生成する必要があります。
- サブスクライバが復元され、バックアップが使用されなかった場合、ノードは新しい自己署名証明書を持つことができます。サブスクライバを含めるには、クラスタ全体の新しいCSRが必要になる場合があります。(拡張要求があります。Cisco Bug ID CSCuv75957 この機能を追加します)。