このドキュメントでは、Unified Communications Managerで証明書を再生成する手順について説明します。
次の項目に関する知識があることが推奨されます。
次のツールをインストールしておくことを推奨します。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
このドキュメントでは、Cisco Unified Communications Manager(CUCM)リリース8.X以降で証明書を再生成する手順について説明します。 ご使用のリリースの『セキュリティガイド』を参照してください。
Communications Manager(CUCM)リリース8.X ~ 11.5.X:ITLはCall Manager証明書によって署名されます。
Communications Manager(CUCM)リリース12.0以降では、ITLはITLRecovery証明書によって署名されています。
ITLファイルとCTLファイルのインタラクション
Cisco IP Phoneは、CTLファイルを使用してクラスタセキュリティモード(非セキュアモードまたは混合モード)を認識します。 CTLファイルは、Unified Communications Manager証明書をUnified Communications Managerレコードに含めることによって、クラスタセキュリティモードを追跡します。 ITLファイルには、クラスタセキュリティモードの表示も含まれています。
ITL署名者の比較



システムが正常に機能するためには、CUCMクラスタ全体ですべての証明書を更新することが重要です。証明書の有効期限が切れているか無効な場合、システムの通常の機能に大きな影響を与える可能性があります。影響は、システムの設定によって異なる場合があります。無効または期限切れの特定の証明書に対するサービスのリストを次に示します。
信頼検証サービス(TVS)は、デフォルトではセキュリティの主要なコンポーネントです。TVSを使用すると、HTTPSの確立時にCisco Unified IP PhoneでEMサービス、ディレクトリ、MIDletなどのアプリケーションサーバを認証できます。
TVSには次の機能があります。
ITLRecovery(信頼検証サービス)
Certificate Manager ECDSAのサポート
Unified Communications Managerリリース11.0では、証明書マネージャは自己署名ECDSA証明書の生成とECDSA証明書署名要求(CSR)の両方をサポートします。 Unified Communications Managerの以前のリリースでは、RSA証明書だけがサポートされていました。ただし、Unified Communications Managerリリース11.0以降では、CallManager-ECDSA証明書が既存のRSA証明書とともに追加されています。
CallManagerとCallManager-ECDSAの両方の証明書が、共通の証明書信頼ストアであるCallManager-Trustを共有します。Unified Communications Managerは、これらの証明書をこの信頼ストアにアップロードします。
サードパーティCA署名付きID証明書
TomcatおよびTomcat-ECDSAの再生成プロセスは、サービスの再起動を含めて同じです。
サードパーティの証明書が使用されているかどうかを確認します。

5. 次の手順は、CCX環境から使用されます(該当する場合)。
その他の参考資料:
IPSEC PEM証明書を選択します。パブリッシャのIPSEC.pem証明書が有効であり、すべてのサブスクライバにIPSECトラストストアとして存在する必要があります。サブスクライバのIPSEC.pem証明書が、標準の展開でIPSEC-trustとしてパブリッシャに存在しない。有効性を確認するために、パブリッシャからのIPSEC.pem証明書のシリアル番号とSUBのIPSEC-trustを比較します。これらは一致する必要があります。
CAPF PEM証明書を選択します。これで電話機がリセットされます。RTMTツールを使用して各自のアクションをモニタし、リセットが成功してデバイスがCUCMに再登録されたことを確認します。電話機の登録が完了してから、次の証明書に進みます。電話機の登録プロセスには、時間がかかる場合があります。再生成プロセスの前に不良ITLがあったデバイスは、削除されるまでクラスタに登録されません。
CallManagerとCallManager-ECDSAの再生成プロセスは、サービスの再起動を含めて同じです。
これで電話機がリセットされます。RTMTツールを使用して各自のアクションをモニタし、リセットが成功してデバイスがCUCMに再登録されたことを確認します。電話機の登録が完了してから、次の証明書に進みます。電話機の登録プロセスには、時間がかかる場合があります。再生成プロセスの前に不良ITLがあったデバイスは、ITLが削除されるまでクラスタに登録されません。
クラスタ内の各サーバに移動します(Webブラウザの個別のタブで)。最初にパブリッシャを指定し、次に各サブスクライバを指定します。 Cisco Unified OS Administration > Security > Certificate Management > Findの順に移動します。
これで電話機がリセットされます。RTMTツールを使用して各自のアクションをモニタし、リセットが成功してデバイスがCUCMに再登録されたことを確認します。電話機の登録が完了してから、次の証明書に進みます。電話機の登録プロセスには、時間がかかる場合があります。再生成プロセスの前に不良ITLがあったデバイスは、ITLが削除されるまでクラスタに登録されません。
Cisco Unified Serviceabilityにログインします。
Master/DRF Local(IPSECのセクションを参照)。CLIからCUCMに存在する証明書を一覧表示するには、次のコマンド出力を使用します。
sql select c.servername, tcs.name, dist.moniker, c.ipv4address, c.certificate from certificate as c inner join certificateservicecertificatemap as cscm on c.pkid = cscm.fkcertificate inner join typecertificateservice as tcs on cscm.tkcertificateservice = tcs.enum inner join typecertificatedistribution as dist on c.tkcertificatedisdistribution =.enumを実行します。
この設定では、トラブルシューティング手順は使用できません。
| 改定 | 発行日 | コメント |
|---|---|---|
6.0 |
01-Jul-2026
|
再認定 |
4.0 |
30-Oct-2024
|
機械翻訳、スタイルの要件、および書式を更新。 |
3.0 |
28-Sep-2022
|
UPDATED |
2.0 |
16-Sep-2022
|
再公開。 |
1.0 |
03-Apr-2019
|
初版 |