CAPFオンラインCAによる自動証明書登録および更新の設定

はじめに

このドキュメントでは、Cisco Unified Communications Manager(CUCM)のCAPFオンライン(CUP)機能を使用した自動証明書登録および更新について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Unified Communications Manager
• X.509 証明書
• Windows Server
• Windows Active Directory(AD)
• Windowsインターネットインフォメーションサービス(IIS)
• NT（新しいテクノロジー）LAN Manager(NTLM)認証

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• CUCM バージョン 12.5.1.10000-22
• Windows Server 2012 R2
• IP Phone CP-8865/ファームウェア：SIP 12-1-1SR1-4および12-5-1SR2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントでは、この機能の設定と、その他の調査に役立つ関連リソースについて説明します。

サーバの日付と時刻を確認する

サーバルートCA（認証局）証明書およびその証明書の有効期間に影響を与えるWindowsサーバの日付、時刻、およびタイムゾーンが正しいことを確認します。

サーバーコンピューター名の更新

既定では、サーバーコンピューター名にはWIN-730K65R6BSKなどのランダムな名前が付いています。ADドメインサービスを有効にする前に最初に行う必要があるのは、インストールの最後までに、サーバーコンピューター名をサーバーホスト名とルートCA発行者名を希望する値に更新することです。それ以外の場合は、ADサービスのインストール後に、この設定を変更するために多くの追加手順が必要になります。

• Local Serverに移動し、Computer nameを選択してSystem Propertiesを開きます
• [変更]ボタンを選択し、新しいコンピュータ名を入力します。

• 変更を適用するためにサーバを再起動します

設定

ADサービス、ユーザおよび証明書テンプレート

Active Directoryサービスの有効化と設定

• サーバーマネージャーで、[役割と機能の追加]オプションを選択し、[役割ベースのインストール]または[機能ベースのインストール]を選択して、プールからサーバーを選択し（プール内には1つだけ存在する必要があります）、次にActive Directoryドメインサービスを選択します。

• 続けて[次へ]ボタンを選択し、[インストール]を選択します
• インストールが完了したら、[閉じる]ボタンを選択します
• [サーバーマネージャー] > [AD DS]の下に、[Active Directoryドメインサービスに必要な構成]というタイトルの警告タブが表示されます。セットアップウィザードを起動するには、さらにリンクを選択し、利用可能なアクションを選択してください。

• ドメインセットアップウィザードのプロンプトを完了し、目的のルートドメイン名で新しいフォレストを追加し、使用可能な場合は[DNS]ボックスをオフにして、DSRMパスワードを定義します。

• NetBIOSドメイン名を指定する必要があります（この実習ではMICHAMEN1を使用）。
• ウィザードを完了します。その後、サーバがリブートしてインストールが完了します。
• 次にログインするときに、新しいドメイン名を指定する必要があります。 例：MICHAMEN1\Administrator

証明書サービスの有効化と設定

• サーバーマネージャーで、[役割と機能の追加]を選択します
• Active Directory証明書サービスを選択し、必要な機能を追加します（使用可能なすべての機能は、このラボで有効にされた役割サービスから選択されています）
• 役割サービスの場合は、証明機関Web登録を確認してください

• [サーバーマネージャー] > [AD DS]の下に、[Active Directory証明書サービスに必要な構成]というタイトルの警告タブが表示されている必要があります。詳細リンクを選択し、次に使用可能なアクションを選択してください：

• AD-CS Post Install Configurationウィザードで、次の手順に従います。 
• 証明機関および証明機関のWeb登録ロールの選択
• 次のオプションを使用してエンタープライズCAを選択します。
• ルートCA
• 新しい秘密キーを作成する
• 秘密キーの使用 – 既定の設定でSHA1
• CAの共通名を設定します（サーバのホスト名と一致する必要があります）。

• 有効期間を5年間（必要に応じて以上）に設定
• ウィザードの残りの部分で[次へ]ボタンを選択します

CiscoRA用の証明書テンプレートの作成

• MMCを開きます。Windowsのスタートロゴを選択し、[ファイル名を指定して実行]でmmcと入力します
• MMCウィンドウを開き、スナップイン（構成の別の場所で使用）を追加して、[OK]を選択します。

• File > Saveの順に選択し、このコンソールセッションをデスクトップに保存して、再度アクセスできるようにします
• スナップインで、[証明書テンプレート]を選択します
• テンプレート（可能であれば「ルート認証局」テンプレートを推奨）を作成または複製し、CiscoRAという名前を付けます

• テンプレートを変更します。これを右クリックし、[Properties]を選択します
• 「一般」タブを選択し、有効期間を20年（または必要に応じて他の値）に設定します。 このタブで、テンプレートの「表示名」と「名前」の値が一致していることを確認します

• [Extensions]タブを選択し、[Application Policies]をハイライトして、[Edit]を選択します

• 表示されたウィンドウに表示されているポリシーをすべて削除します
• 「サブジェクト名」タブを選択し、「要求で供給」ラジオ・ボタンを選択します
• [セキュリティ]タブを選択し、必要に応じてグループ名またはユーザー名のアクセス許可を付与します。

注：この例では、わかりやすくするためにボード全体に完全な権限が付与されていますが、これはセキュリティに影響を与えます。実稼働環境では、書き込み権限と登録権限は、それを必要とするユーザとグループにのみ付与する必要があります。詳細については、Microsoftのドキュメントを参照してください。

証明書テンプレートの発行

• MMCスナップインで[Certification Authority]を選択し、フォルダツリーを展開して[Certificate Templates]フォルダを見つけます
• 名前と使用目的を含むフレームの空白スペースを右クリックします
• 発行する新しい証明書テンプレートの選択
• 新しく作成および編集したCiscoRAテンプレートを選択します

Active Directory CiscoRAアカウントの作成

• MMCスナップインに移動し、[Active Directoryユーザーとコンピューター]を選択します
• 左端のペインのツリーでUsersフォルダを選択します
• 名前、タイプ、説明を含むフレームの空白スペースを右クリックします
• 新規およびユーザの選択
• ユーザ名/パスワードを使用してCiscoRAアカウントを作成し（この実習ではciscora/Cisco123を使用）、表示されたら[パスワードを無期限にする]チェックボックスをオンにします

IIS認証とSSLバインディングの設定

NTLM認証を有効にする

• MMCスナップインに移動し、インターネットインフォメーションサービス(IIS)マネージャスナップインでサーバー名を選択します
• 次のフレームに機能リストが表示されます。認証機能アイコンをダブルクリックします

• [Windows認証]をハイライト表示し、[アクション]フレーム（右ペイン）から[有効]オプションを選択します

• [操作]ウィンドウに[詳細設定]オプションが表示されます。このオプションを選択し、[カーネルモード認証を有効にする]チェックボックスをオフにします

• Providersを選択し、NTMLを注文してからNegotiateを選択します。

WebサーバのID証明書の生成

Webサーバの証明書が自己署名の場合、CiscoRAは接続できないため、まだそのケースに当てはまらない場合は、CAによって署名されたWebサービスのID証明書として証明書を生成する必要があります。

• IISスナップインからWebサーバを選択し、サーバ証明書機能アイコンをダブルクリックします。

• デフォルトでは、1つの証明書が表示されます。これは自己署名ルートCA証明書です。[アクション]メニューから[ドメイン証明書の作成]オプションを選択します。新しい証明書を作成するために、コンフィギュレーションウィザードで値を入力します。共通名が解決可能なFQDN（完全修飾ドメイン名）であることを確認し、[次へ]を選択します。

• 発行者にするルートCAの証明書を選択し、Finishを選択します。

• CA証明書とWebサーバID証明書の両方が表示されます。

WebサーバのSSLバインディング

• ツリービューでサイトを選択し（デフォルトのWebサイトを使用するか、特定のサイトにより細かく設定できます）、[操作]ウィンドウから[バインド]を選択します。表示されるバインドエディタを使用して、Webサイトのバインドを作成、編集、削除できます。Addを選択して、新しいSSLバインディングをサイトに追加します。

• 新しいバインディングのデフォルト設定は、ポート80でHTTPに設定されます。Typeドロップダウンリストでhttpsを選択します。SSL Certificateドロップダウンリストから、前のセクションで作成した自己署名証明書を選択し、OKを選択します。

• これでサイトに新しいSSLバインドが作成されました。残っている操作は、メニューから[参照*:443 (https)]オプションを選択してSSLバインドが機能していることを確認し、既定のIIS WebページでHTTPSが使用されていることを確認することです。

• 設定を変更した後は、必ずIISサービスを再起動してください。[操作]ウィンドウの[再起動]オプションを使用します。

CUCM の設定

• AD CS Webページ(https://YOUR_SERVER_FQDN/certsrv/)に移動し、CA証明書をダウンロードします

• OS AdministrationページからSecurity > Certificate Managementに移動し、Upload Certificate/Certificate chainボタンを選択して、目的がCAPF-trustに設定されたCA証明書をアップロードします。

...この時点で、CallManager-trustと同じCA証明書をアップロードすることもお勧めします。これは、エンドポイントに対してセキュアシグナリング暗号化が有効な場合（クラスタが混合モードの場合など）に必要になるためです。

• [System] > [Service Parameters] に移動します。サーバフィールドでUnified CMパブリッシャサーバを選択し、サービスフィールドでCisco Certificate Authority Proxy Functionを選択します
• Certificate Issuerの値をEndpoint to Online CAに設定し、Online CA Parametersフィールドに値を入力します。WebサーバのFQDN、以前に作成された証明書テンプレートの名前(CiscoRA)、CAタイプとしてMicrosoft CAを使用し、以前に作成されたCiscoRAユーザアカウントのクレデンシャルを使用していることを確認します

• ポップアップウィンドウが表示され、CAPFサービスを再起動する必要があることが通知されます。ただし、最初にCisco Unified Serviceability > Tools > Service Activationを使用してCisco Certificate Enrollment Serviceをアクティブにし、ServerフィールドでPublisherを選択してCisco Certificate Enrollment Serviceチェックボックスにチェックマークを入れてから、Saveボタンを選択します。

確認

IIS証明書の確認

• サーバに接続できるPCのWebブラウザ（できればCUCMパブリッシャと同じネットワーク内）から、URL: 

https://YOUR_SERVER_FQDN/certsrv/

• Certificate not-trustedアラートが表示されます。例外を追加し、証明書を確認します。予期されるFQDNと一致していることを確認します。

• 例外を受け入れた後、認証する必要があります。この時点で、CiscoRAアカウントに対して以前設定したクレデンシャルを使用する必要があります。

• 認証後、AD CS （Active Directory証明書サービス）の開始ページが表示される必要があります：

CUCM設定の確認

いずれかの電話機にLSC証明書をインストールするには、次の手順を実行します。

ステップ 1：CallManager AdministrationページのDevice、Phoneの順に開きます

ステップ 2：Findボタンを選択して、電話機を表示します

ステップ 3：LSCをインストールする電話機を選択します

ステップ 4：Certification Authority Proxy Function(CAPF)情報までスクロールダウンします

ステップ 5：Certificate OperationからInstall/Upgradeを選択します。

手順 6：認証モードを選択します。（テスト目的の場合はBy Null Stringで構いません）

手順 7：ページの上部までスクロールし、電話機に対して保存してから設定の適用を選択します。

ステップ 8：電話機が再起動し、登録されると、LSCステータスフィルタを使用して、LSCが正常にインストールされたことを確認します。

• ADサーバ側からMMCを開き、認証局(CA)スナップインを展開して、Issued Certificatesフォルダを選択します
• 電話機のエントリが表示されます。サマリービュー内には、次の詳細情報が表示されます。
  • 要求ID：一意の順序番号
  • 要求者名：設定されたCiscoRAアカウントのユーザ名を表示する必要があります
  • 証明書テンプレート：作成したCiscoRAテンプレートの名前を表示する必要があります
  • 発行された共通名：デバイス名で追加された電話機のモデルが表示される必要があります
  • 証明書の発効日及び有効期限

関連リンク

• CAPFオンラインCAのトラブルシューティング
• テクニカル サポートとドキュメント - Cisco Systems