この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco Unified Communications Manager(CUCM)リリース8.X以降で証明書を再生成する手順について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
このドキュメントでは、Cisco Unified Communications Manager(CUCM)リリース8.X以降で証明書を再生成する手順について説明します。ただし、これは12.0以降のITLリカバリの変更を反映するものではありません。
ヒント:一部の証明書の再生成プロセスは、エンドポイントに影響する可能性があります。サービスの再起動と電話機の再起動が必要なため、通常の営業時間後にアクションプランを検討します。RTMTによる電話登録が強く推奨されることを確認します。
警告:現在のITLの不一致があるエンドポイントでは、このプロセスの後に登録の問題が発生する可能性があります。 エンドポイントでのITLの削除は、再生成プロセスが完了し、他のすべての電話機が登録された後の一般的なベストプラクティスソリューションです。
システム機能を正常に動作させるには、CUCMクラスタ全体ですべての証明書を更新することが重要です。証明書の期限が切れたり無効になったりすると、システムの通常の機能に大きな影響を与える可能性があります。影響は、システムの設定によって異なる場合があります。無効または期限切れの特定の証明書のサービスのリストを次に示します。
信頼検証サービス(TVS)は、デフォルトでセキュリティの主要コンポーネントです。TVSを使用すると、HTTPSが確立されたときに、Cisco Unified IP PhoneでEMサービス、ディレクトリ、MIDletなどのアプリケーションサーバを認証できます。
TVSには次の機能があります。
注:証明書を再生成する前に、すべてのエンドポイントの電源をオンにして登録する必要があります。そうでない場合は、接続されていない電話機でITLを削除する必要があります。
サードパーティ証明書が使用されているかどうかを確認します。
5.次の手順は、CCX環境(該当する場合)から必要です。
参考資料:
注:DRFのバージョン10.X以前のCUCM/Instant Messaging and Presence(IM&P) Master
エージェントは、CUCMパブリッシャとIM&Pパブリッシャの両方で実行されます。DRF Localサービスは、加入者でそれぞれ実行されます。 バージョン10.X以降、DRF Master
エージェントはCUCMパブリッシャでのみ実行され、CUCMサブスクライバ、IM&Pパブリッシャ、およびサブスクライバではDRFローカルサービスが実行されます。
注:ディザスタリカバリシステムは、Secure Socket Layer(SSL)ベースの通信を Master
CUCMクラスタノード間のデータの認証と暗号化を行うエージェントとローカルエージェント。DRSは、公開/秘密キー暗号化にIPSec証明書を使用します。[Certificate Management]ページからIPSECトラストストア(hostname.pem)ファイルを削除すると、DRSが期待どおりに動作しなくなることに注意してください。IPSEC-trustファイルを手動で削除する場合は、IPSEC証明書をIPSEC信頼ストアにアップロードする必要があります。詳細については、『Cisco Unified Communications Managerセキュリティガイド』の証明書管理のヘルプページを参照してください。
Master
service .パブリッシャのIPSEC.pem証明書は有効であり、すべてのサブスクライバにIPSECトラストストアとして存在する必要があります。サブスクライバのIPSEC.pem証明書は、標準導入ではIPSECトラストストアとしてパブリッシャに存在しません。有効性を確認するには、PUBからのIPSEC.pem証明書のシリアル番号をSUBのIPSEC-trustと比較します。一致する必要があります。
警告:先に進む前に、クラスタが混合モードになっているかどうかを確認してください。 「クラスタが混合モードか非セキュアモードかを特定する」の項を参照してください。
これで電話機がリセットされます。RTMTツールを使用して各自のアクションを監視し、リセットが成功したこと、およびデバイスがCUCMに再登録されたことを確認します。 電話機の登録が完了するまで待ってから、次の証明書に進みます。この電話登録プロセスには、時間がかかる場合があります。再生成プロセスの前に不正なITLを持っていたデバイスは、削除されるまでクラスタに登録し直さないことに注意してください。
警告:先に進む前に、クラスタが混合モードになっているかどうかを確認してください。「クラスタが混合モードか非セキュアモードかを特定する」セクションを参照してください。
警告:CallManager.PEM証明書とTVS.PEM証明書を同時に再生成しないでください。 これにより、クラスタ内のすべてのエンドポイントからITLを削除する必要があるエンドポイントにインストールされているITLと回復不能な不一致が発生します。CallManager.PEMのプロセス全体を終了し、電話機が再登録されたら、TVS.PEMのプロセスを開始します。
これで電話機がリセットされます。RTMTツールを使用して各自のアクションを監視し、リセットが成功したこと、およびデバイスがCUCMに再登録されたことを確認します。 電話機の登録が完了するまで待ってから、次の証明書に進みます。この電話登録プロセスには、時間がかかる場合があります。再生成プロセスの前に不正なITLを持っていたデバイスは、ITLが削除されるまでクラスタに登録し直さないことに注意してください。
警告: CallManager.PEM証明書とTVS.PEM証明書を同時に再生成しないでください。 これにより、クラスタ内のすべてのエンドポイントからITLを削除する必要があるエンドポイントにインストールされているITLと回復不能な不一致が発生します。
注:TVSは、Call Managerの代わりに証明書を認証します。この証明書を最後に再生成します。
クラスタ内の各サーバに移動します(Webブラウザの別のタブで)。最初にパブリッシャ、次に各サブスクライバの順に移動します。 [Cisco Unified OS Administration] > [Security] > [Certificate Management] > [Find:
これで電話機がリセットされます。RTMTツールを使用して各自のアクションを監視し、リセットが成功したこと、およびデバイスがCUCMに再登録されたことを確認します。 電話機の登録が完了するまで待ってから、次の証明書に進みます。この電話登録プロセスには、時間がかかる場合があります。再生成プロセスの前に不正なITLを持っていたデバイスは、ITLが削除されるまでクラスタに登録し直さないことに注意してください。
注:ITLRecovery証明書は、デバイスが信頼できるステータスを失ったときに使用されます。証明書はITLとCTLの両方に表示されます(CTLプロバイダーがアクティブな場合)。
デバイスの信頼状態が失われた場合は、非セキュアクラスタに対してコマンドutils itl reset localkeyを使用し、ミックスモードクラスタに対してコマンドutils ctl reset localkeyを使用できます。Call Managerバージョンのセキュリティガイドを読み、ITLRecovery証明書の使用方法と、信頼できるステータスを回復するために必要なプロセスについて理解します。
クラスタが2048のキー長をサポートするバージョンにアップグレードされ、クラスタサーバ証明書が2048に再生成され、ITLRecoveryが再生成されておらず、現在のキー長が1024である場合、ITL回復コマンドは失敗し、ITLRecoveryメソッドは使用されません。
注:削除する必要がある、不要になった、または期限が切れた信頼証明書を特定します。CallManager.pem、tomcat.pem、ipsec.pem、CAPF.pem、およびTVS.pemを含む5つの基本証明書は削除しないでください。信頼証明書は、必要に応じて削除できます。次に再起動するサービスは、それらのサービス内のレガシー証明書の情報をクリアするように設計されています。
Master
/DRFローカル(IPSECセクションを参照)。この設定では、確認手順は使用できません。
この設定では、トラブルシューティング手順は使用できません。
改定 | 発行日 | コメント |
---|---|---|
3.0 |
28-Sep-2022 |
UPDATED |
2.0 |
16-Sep-2022 |
再公開。 |
1.0 |
03-Apr-2019 |
初版 |