概要

この資料は Cisco Unified Communications Manager （CUCM）のためのプロキシ 機能（CAPF）オンライン機能によって自動証明書登録および更新を認証局（CA）記述したものです。

著者：Cisco TAC エンジニア、Michael Mendoza

前提条件

要件

次の項目に関する知識が推奨されます。

• Cisco Unified Communications Manager
• X.509 証明書
• Windows Server
• Windows Active Directory （AD）
• Windows Internet Information Services （IIS）
• NT （新 技術） LAN Manager （NTLM）認証
  

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• CUCM バージョン 12.5.1.10000-22
• Windows Server 2012 R2
• IP Phone CP-8865/ファームウェア: SIP 12-1-1SR1-4 および 12-5-1SR2。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

 この資料は追加リサーチのための機能および関連 リソースの設定を取り扱っています。

サーバ時間および日付を検証して下さい

Windows サーバを過します正しい日付を確認して下さい、それで設定される時間および時間帯はそれによって発行されるサーバのルートCA （認証局（CA））証明書、またそれらの証明書のための妥当性時に影響を与えます。

アップデート サーバ コンピュータ名

デフォルトでサーバのコンピュータ名に WIN-730K65R6BSK のようなランダム名前があります。 最初事柄はアップデートするために AD ドメイン サービスを確認するべきであるサーバのホスト名およびルートCA 発行人名にインストールの終りまでにでほしいものにサーバのコンピュータ名を有効に する前にされる必要があります; さもなければそれは AD サービスがインストールされていた後これを変更するために多くの特別なステップを踏みます。

• ローカルサーバにナビゲート して下さい、システム 性質を開くためにコンピュータ名を選択して下さい
• Change ボタンを選択し、新しいコンピュータ名を打ち込んで下さい:

• 適用されるために変更のためのサーバを再起動して下さい

設定

AD サービス、ユーザおよびおよび証明書のテンプレート

イネーブルおよび設定 Active Directory ディレクトリー・サービス

• 次にサーバマネージャではロールを『Add』 を選択 し、オプションを特色にしましたり、役割ベースか機能ベース インストールを選択し、プール（プールに 1 があるただ必要があります）および Active Directory ドメイン サービスからサーバを選択します:

• ボタンを『Next』 を選択 し、次にインストールし続けて下さい
• インストールを完了した後 Close ボタンを選択して下さい
• Active Directory ドメイン サービスに必要なタイトル設定のサーバマネージャ > AD DS の下で警告タブが現われます; それから利用可能 なアクション Setup ウィザードを開始するためにリンクを『More』 を選択 すれば:

• 利用可能 な場合ドメイン Setup ウィザードのプロンプトに従い、望ましいルート ドメイン名（このラボのための使用された michamen.com）を用いる新しい森林を追加し、DNS ボックスをチェックを外して下さい、DSRM パスワード（使用された C1sc0123 を定義して下さい! このラボのため）:

• ドメイン名（このラボの使用された MICHAMEN1）を NetBIOS（NetBIOS over IP） 規定 する必要があります。
• 完了にウィザードに従って下さい。 インストールを完了するサーバそしてリブート。
• 次の時間ログイン新しいドメイン名を規定 する必要があります。 例えば MICHAMEN1\Administrator。

イネーブルおよび設定 認証 サービス

• サーバマネージャでロールおよび機能を『Add』 を選択 して下さい
• Active Directory 認証 サービスを選択し、要件を追加するためにプロンプトに従って下さい（すべての利用可能 な 機能はこのラボのために有効に なった役割サービスから選択されました）
• ロール サービスに関しては認証局 （CA） Web 登録をチェックして下さい

• Active Directory 認証 サービスに必要なタイトル設定のサーバマネージャ >AD DS の下で警告タブが現われる必要があります; 次により多くのリンクおよび利用可能 な操作を選択して下さい:

• ADC ポストではこれらのステップによって Configuration ウィザード ナビゲートをインストールして下さい: 
• 認証局 （CA）および認証局 （CA） Web 登録ロールを選択して下さい
• オプションの CA を『Enterprise』 を選択 して下さい:
• ルートCA
• 新しいプライベートキーを作成して下さい
• 使用 プライベートキー–デフォルト設定との SHA1
• CA のための Common Name を設定 して下さい（サーバのホスト名を一致するなりません）:

• 5 年設定 して下さい（または多くのための有効性を必要であれば）
• ウィザードの残りによって Next ボタンを選択して下さい

CiscoRA のための証明書のテンプレート作成

• MMC を開いて下さい。 ウィンドウ 開始するロゴを選択し、実行からの mmc を入力して下さい
• MMC ウィンドウを開き、続スナップ ins を（設定の異なるポイントで使用される） 『OK』 を選択 します追加して下さい:

• 速い再アクセスのためのデスクトップにこのコンソール セッションを File > Save の順に選択 し、保存して下さい
• スナップ ins から、『Certificate Templates』 を選択 して下さい
• 作成しか、またはテンプレートをクローンとして作り、CiscoRA と指名して下さい

• テンプレートを修正して下さい。 それを右クリックし、『Properties』 を選択 して下さい
• General タブを選択し、20 年設定 して下さい（または他の値に有効期間を必要であれば）
• 拡張機能タブを選択し、アプリケーション ポリシーを強調表示し、次に『Edit』 を選択 して下さい

• 現われるウィンドウで示されているポリシーを取除いて下さい
• サブジェクト名タブを選択し、要求 Radio ボタンの供給を選択して下さい
• Security タブを選択し、表記されるユーザネーム/すべてのグループのためのすべての許可を与えて下さい

発行するために証明書のテンプレートを使用できるようにして下さい

• MMC スナップ ins で認証局 （CA）を選択し、証明書のテンプレート フォルダを見つけるためにフォルダ ツリーを拡張して下さい
• 名前および意図されていた目的が含まれているフレームの空白で右クリックして下さい
• 発行するために証明書のテンプレート 『New』 を選択 すれば
• CiscoRA 新しく作成された、編集されたテンプレートを選択して下さい

Active Directory CiscoRA アカウントの作成

• MMC スナップ ins へのナビゲートは『Active Directory Users and Computers』 を選択 し、
• 左端のペインのツリーのユーザ フォルダを選択して下さい
• 名前、型および説明が含まれているフレームの空白で右クリックして下さい
• ユーザ 『New』 を選択 すれば
• それが示されているとき CiscoRA アカウントを username/password で（ciscora/Cisco123 はこのラボのために使用されました）作成し、パスワードを決してチェックボックス切れません選択して下さい

IIS 認証および SSL バインディング構成

イネーブル NTLM 認証

• MMC スナップ ins にナビゲート すれば Internet Information Services （IIS）マネージャ スナップインの下でサーバ名を選択して下さい
• 機能は次のフレームのディスプレイをリストします。 認証機能 アイコンをダブルクリックして下さい

• Windows 認証を強調表示すれば操作フレーム（右のペイン）から Enable オプションを選択して下さい

• 操作ウィンドウは詳細設定オプションを表示する; それを選択し、イネーブル カーネルモード認証をチェックを外して下さい

• プロバイダを選択し、順序 NTML で置き、ネゴシエートし、オプションでネゴシエートして下さい: Kerberos

Webサーバのための ID証明を生成して下さい

既にケースが、Webサーバの証明書が自己署名である場合 CiscoRA がそれに接続できないので CA によって署名する Web サービスのための ID証明 証明書を生成する必要があれば:

• Webサーバをスナップ式 IIS から選択し、サーバ証明 Feature アイコンをダブルクリックして下さい:

• デフォルトで、そこにリストされている 1 つの証明書を見られます; 自己署名 ルートCA 証明書はであるかどれ; Actions メニューから作成ドメイン 証明書 オプションを選択して下さい。 新しい証明書を作成するために Configuration ウィザードで値を入力して下さい。 Common Name を、解決可能な FQDN （完全修飾ドメイン ネーム）次に『Next』 を選択 します確認して下さい:

• 発行元ですためにおよび『Finish』 を選択 するためにルート CA 証明書を選択して下さい:

• 両方、リストされている CA 認証および Webサーバの ID証明を見られます:

Webサーバ SSL バインディング

• ツリー表示（デフォルトのWebサイトを使用するか、または特定のサイトに粒状にすることができます）のサイトを選択し、操作ウィンドウから『Bindings』 を選択 して下さい。 これは Webサイトのためのバインディングを作成し、編集し、削除することを許可するバインディング エディタを始動します。 サイトに結合 する新しい SSL を追加するために『Add』 を選択 して下さい。

• 新しいバインディングのデフォルト設定はポート 80 の HTTP に行われます。 型ドロップダウン リストの https を選択して下さい。 SSL 証明書 ドロップダウン リストからの前のセクションで作成し、『OK』 を選択 する 自己署名証明書を選択して下さい。

• この場合サイトの新しい SSL バインディングがあり、残すすべてはによって『Browse』 を選択 する メニューから *:443 （https）オプションを確認することはたらく、デフォルト IIS Webページを使用します HTTPS をことを確認します:

• コンフィギュレーション変更の後で IIS サービスを再開することを忘れないようにして下さい。 操作ウィンドウからの再始動 オプションを使用して下さい。

CUCM の設定

• AD CS Webページへのナビゲート（https://YOUR_SERVER_FQDN/certserv/) は CA 認証をダウンロードし、

• OS 管理 ページからのセキュリティ > Certificate Management にナビゲート し、目的によって設定 される CAPF 信頼の CA 認証をアップ ロードするためにアップ ロード証明書/証明書 チェーン ボタンを選択して下さい

• [System] > [Service Parameters] に移動します。 サービス フィールドの Cisco Server フィールドおよびプロキシ 機能の統一された CM パブリッシャ サーバを認証局（CA）選択して下さい
• 証明書 発行元の谷をエンドポイントにオンライン CA に設定 し、オンライン CA パラメータ フィールドの値を入力して下さい。 Webサーバの Microsoft CA として（CiscoRA）、CA タイプを先に作成される証明書のテンプレートの FQDN、名前使用し、先に作成される CiscoRA ユーザアカウントの資格情報を使用するために確認して下さい

• pop ウィンドウは CAPF サービスが再開される必要があること知らせます。 しかし最初に、Cisco 証明書登録サービスを Cisco Unified サービサビリティ > Tools > Service アクティベーションによってアクティブにし、Server フィールドのパブリッシャを選択し、Cisco 証明書登録サービス チェックボックスをチェックし、次に SAVE ボタンを選択して下さい:

確認

IIS 証明書を確認して下さい

• 接続がある PC の Webブラウザからサーバへの（できれば CUCM パブリッシャと同じネットワークで） URL にナビゲート して下さい:

https:// YOUR_SERVER_FQDN/certserv/

• 証明書によってない信頼されるアラートは表示する。 例外を追加し、証明書をチェックして下さい。 それを一致します期待された FQDN と確認して下さい:

• 例外を受け入れた後、認証する必要があります; この時点で先に設定される CiscoRA アカウントのために資格情報を使用する必要があります:

• 認証が AD CS （Active Directory 認証 サービス）ウェルカム画面を見られる必要があった後:

CUCM 設定を確認して下さい

電話の 1 台で LSC 証明書をインストールするために普通続くステップを実行して下さい。

ステップ 1. CallManager管理ページを、デバイス開き、次に電話をかけて下さい

ステップ 2.電話を表示するために Find ボタンを選択して下さい

ステップ 3. LSC をインストールしたい電話を選択して下さい

ステップ 4.認証局 （CA） プロキシ 機能（CAPF）情報にスクロールして下さい

ステップ 5.証明書 オペレーションからインストール/アップグレードを選択して下さい。

ステップ 6.認証モードを選択して下さい。 （ヌルストリングによってテストの目的でうまくあります）

ステップ 7.ページの上にスクロールし、それから適用します電話のための構成を『SAVE』 を選択 して下さい。

ステップ 8 電話が確認するために使用を LSC ステータス フィルタ再起動した、登録する後 LSC はインストールに成功しました。

• AD サーバの側面開いた MMC から発された認証 フォルダを選択するためにスナップ式認証局 （CA）を拡張すれば
• 電話のためのエントリは概要ビューの中で、これらあります表示するいくつかの詳細 表示する:
  • 要求 ID: ユニークなシーケンス番号
  • 要求者名前: CiscoRA 設定されたアカウントのユーザ名は表示する必要があります
  • 証明書のテンプレート: 作成される CiscoRA テンプレートの名前は表示する必要があります
  • 発行された Common Name: デバイス名によって追加 される電話のモデルは表示する必要があります
  • 証明書 有効な日付および認証満了満了日

関連リンク

• CAPF オンライン CA のトラブルシューティング
• テクニカル サポートとドキュメント – Cisco Systems