CAPFオンラインCAによる自動証明書登録および更新の設定

はじめに

このドキュメントでは、Cisco Unified Communications Manager(CUCM)のCertificate Authority Proxy Function(CAPF)Online(CAPF)機能を使用した自動証明書登録および更新について説明します。

著者：Cisco TAC エンジニア、Michael Mendoza

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Unified Communications Manager
• X.509 証明書
• Windows Server
• Windows Active Directory(AD)
• Windowsインターネットインフォメーションサービス(IIS)
• NT（新しいテクノロジー）LAN Manager(NTLM)認証
  

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• CUCM バージョン 12.5.1.10000-22
• Windows Server 2012 R2
• IP Phone CP-8865/ファームウェア：SIP 12-1-1SR1-4および12-5-1SR2。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

 このドキュメントでは、この機能の設定と、その他の調査に役立つ関連リソースについて説明します。

サーバの日付と時刻を確認する

サーバのルートCA（認証局）証明書およびそのサーバから発行された証明書の有効期間に影響を与えるため、Windowsサーバに正しい日付、時刻、およびタイムゾーンが設定されていることを確認します。

サーバーコンピューター名の更新

デフォルトでは、サーバのコンピュータ名はWIN-730K65R6BSKのようなランダムな名前です。ADドメインサービスを有効にする前に最初に行う必要があるのは、インストールの最後までに、サーバのコンピュータ名を、サーバのホスト名とルートCA発行者名を希望する値に確実に更新することです。それ以外の場合は、ADサービスのインストール後、これを変更するために多くの追加手順が必要になります。

• Local Serverに移動し、Computer nameを選択してSystem Propertiesを開きます
• Changeボタンを選択して、新しいコンピュータ名を入力します。

• 変更を適用するためにサーバを再起動します

設定

ADサービス、ユーザおよび証明書テンプレート

Active Directoryサービスの有効化と設定

• サーバマネージャで、役割と機能の追加オプションを選択し、役割ベースまたは機能ベースのインストールを選択し、プールからサーバを選択します（プール内にはサーバが1つだけ存在する必要があります）。次に、Active Directoryドメインサービスを選択します。

• 引き続きNextボタンを選択してから、Installを選択します。
• インストールが完了したら、Closeボタンを選択します
• Server Manager > AD DSの下に、「Configuration required for Active Directory Domain Services; Select more link and the available action to start the setup wizard:

• ドメインセットアップウィザードの指示に従って、目的のルートドメイン名(この実習ではmichamen.comで使用)を持つ新しいフォレストを追加し、使用可能な場合はDNSボックスのチェックマークを外して、DSRMパスワード(この実習ではC1sc0123!で使用)を定義します。

• NetBIOSドメイン名を指定する必要があります（この実習ではMICHAMEN1を使用）。
• ウィザードに従って操作を完了します。その後、サーバがリブートしてインストールが完了します。
• 次にログインするときに、新しいドメイン名を指定する必要があります。 例：MICHAMEN1\Administrator

証明書サービスの有効化と設定

• サーバーマネージャーで、[役割と機能の追加]を選択します
• [Active Directory証明書サービス]を選択し、プロンプトに従って必要な機能を追加します（使用可能なすべての機能は、このラボで有効にされた役割サービスから選択されています）
• 役割サービスの場合は、証明機関Web登録を確認してください

• Server Manager >AD DSの下に、「Configuration required for Active Directory Certificate Services」というタイトルの警告タブが表示されている必要があります。moreリンクを選択し、次に利用可能なアクションを選択します。

• AD-CS Post Install Configurationウィザードで、次の手順に従います。 
• 証明機関と証明機関Web登録ロールを選択してください
• 次のオプションを使用してエンタープライズCAを選択します。
• ルートCA
• 新しい秘密キーを作成する
• 秘密キーの使用 – 既定の設定でSHA1
• CAの共通名を設定します（サーバのホスト名と一致する必要があります）。

• 有効期間を5年間（必要に応じて以上）に設定
• ウィザードの残りの部分で「Next」ボタンを選択します

CiscoRA用の証明書テンプレートの作成

• MMCを開きます。Windowsのスタートロゴを選択し、Runからmmcと入力します
• MMCウィンドウを開き、フォロースナップイン（設定の別の場所で使用）を追加して、OKを選択します。

• File > Saveの順に選択して、このコンソールセッションをデスクトップに保存すると、再アクセスが迅速になります
• スナップインで、Certificate Templatesを選択します。
• テンプレート(可能であれば「ルート認証局」テンプレートを推奨)を作成または複製し、CiscoRAという名前を付けます

• テンプレートを変更します。これを右クリックして、Propertiesを選択します。
• Generalタブを選択して、有効期間を20年（または必要に応じてその他の値）に設定します。 このタブで、テンプレートの「表示名」と「名前」の値が一致していることを確認します

• Extensionsタブを選択し、Application Policiesを強調表示してから、Editを選択します

• 表示されたウィンドウに表示されているポリシーをすべて削除します
• Subject Nameタブを選択して、Supply in Requestオプションボタンを選択します
• Securityタブを選択し、表示されているすべてのグループ/ユーザ名にすべての権限を付与します

証明書テンプレートの発行

• MMCスナップインでCertification Authorityを選択し、フォルダツリーを展開して、Certificate Templatesフォルダを見つけます
• 名前と使用目的を含むフレームの空白スペースを右クリックします
• 発行するNewおよびCertificate Templateを選択します
• 新しく作成および編集したCiscoRAテンプレートを選択します

Active Directory CiscoRAアカウントの作成

• MMCスナップインに移動し、Active Directory Users and Computersを選択します。
• 左端のペインのツリーで、Usersフォルダを選択します
• 名前、タイプ、説明を含むフレームの空白スペースを右クリックします
• NewとUserを選択します。
• ユーザ名/パスワードでCiscoRAアカウントを作成し(この実習ではciscora/Cisco123を使用)、画面に表示される[パスワードを無期限にする]チェックボックスをオンにします

IIS認証とSSLバインディングの設定

NTLMを有効にする 認証

• MMCスナップインに移動し、インターネットインフォメーションサービス(IIS)マネージャスナップインでサーバーの名前を選択します
• 次のフレームに機能リストが表示されます。Authentication機能アイコンをダブルクリックします

• Windows Authenticationを強調表示して、Actionsフレーム（右ペイン）からEnableオプションを選択します

• 操作ペインにAdvanced Settingsオプションが表示されます。このオプションを選択してEnable Kernel-mode authenticationのチェックマークをはずします。

• Providersを選択し、NTMLを注文し、Negotiateを選択します。

WebサーバのID証明書の生成

まだ作成されていない場合は、Webサーバの証明書が自己署名の場合、CiscoRAは接続できないため、CAによって署名されたWebサービスのID証明書として証明書を生成する必要があります。

• IISスナップインでWebサーバを選択し、Server Certificates機能アイコンをダブルクリックします。

• デフォルトでは、1つの証明書が表示されます。これは自己署名ルートCA証明書です。ActionsメニューからCreate Domain Certificate オプションを選択します。新しい証明書を作成するために、コンフィギュレーションウィザードで値を入力します。共通名(CN)が解決可能なFQDN（完全修飾ドメイン名）であることを確認し、Nextを選択します。

• 発行者にするルートCAの証明書を選択し、Finishを選択します。

• CA証明書とWebサーバのID証明書の両方が表示されます。

WebサーバのSSLバインディング

• ツリービューでサイトを選択し（デフォルトのWebサイトを使用するか、特定のサイトにより細かく設定します）、操作ペインからバインドを選択します。表示されるバインドエディタを使用して、Webサイトのバインドを作成、編集、削除できます。Addを選択して、新しいSSLバインディングをサイトに追加します。

• 新しいバインディングのデフォルト設定は、ポート80でHTTPに設定されます。Typeドロップダウンリストから、httpsを選択します。SSL Certificateドロップダウンリストから、前のセクションで作成した自己署名証明書を選択し、OKを選択します。

• これでサイトに新しいSSLバインディングができました。残っている処理は、メニューからBrowse *:443 (https)オプションを選択して、バインディングが動作していることを確認し、デフォルトのIIS WebページでHTTPSが使用されていることを確認することです。

• 設定を変更した後は、必ずIISサービスを再起動してください。操作ペインで再起動オプションを使用します。

CUCM の設定

• AD CS Webページ(https://YOUR_SERVER_FQDN/certsrv/)に移動し、CA証明書をダウンロードします

• OSのAdministrationページでSecurity > Certificate Managementの順に移動し、Upload Certificate/Certificate chainボタンを選択して、purposeをCAPF-trustに設定したCA証明書をアップロードします。

...この時点で、CallManager-trustと同じCA証明書をアップロードするのもよい方法です。これは、エンドポイントでセキュアシグナリング暗号化が有効である（または有効になる）場合（クラスタが混合モードの場合）に必要となるためです。

• [System] > [Service Parameters] に移動します。サーバフィールドでUnified CMパブリッシャサーバを選択し、サービスフィールドでCisco Certificate Authority Proxy Functionを選択します
• Certificate Issuerの値をEndpoint to Online CAに設定し、Online CA Parametersフィールドに値を入力します。WebサーバのFQDN、先に作成した証明書テンプレートの名前(CiscoRA)、CAタイプ(Microsoft CA)、および先に作成したCiscoRAユーザアカウントのクレデンシャルを使用していることを確認します

• ポップアップウィンドウが表示され、CAPFサービスを再起動する必要があることが通知されます。ただし、最初にCisco Unified Serviceability > Tools > Service Activationを使用してCisco Certificate Enrollment Serviceをアクティブにし、ServerフィールドでPublisherを選択してCisco Certificate Enrollment Serviceチェックボックスにチェックマークを入れてから、Saveボタンを選択します。

確認

IIS証明書の確認

• サーバに接続できるPCのWebブラウザ（できればCUCMパブリッシャと同じネットワーク内）から、URL:

https://YOUR_SERVER_FQDN/certsrv/

• Certificate not-trustedアラートが表示されます。例外を追加し、証明書を確認します。予期されるFQDNと一致していることを確認します。

• 例外を受け入れた後、認証する必要があります。この時点で、CiscoRAアカウントに対して以前設定したクレデンシャルを使用する必要があります。

• 認証後、AD CS （Active Directory証明書サービス）の開始ページが表示される必要があります：

CUCM設定の確認

いずれかの電話機にLSC証明書をインストールするには、通常は次の手順を実行します。

ステップ 1：CallManager AdministrationページのDevice、Phoneの順に開きます

ステップ 2：Findボタンを選択して電話機を表示します

ステップ 3：LSCをインストールする電話機を選択します

ステップ 4：Certification Authority Proxy Function(CAPF)情報までスクロールダウンします

ステップ 5：Certificate OperationからInstall/Upgradeを選択します。

手順 6：認証モードを選択します。（テスト目的の場合はBy Null Stringで構いません）

手順 7：ページの先頭までスクロールし、電話機に対してsaveを選択してからApply Configを選択します。

ステップ 8：電話機が再起動し、登録されると、LSCステータスフィルタを使用して、LSCが正常にインストールされたことを確認します。

• ADサーバ側からMMCを開き、認証局(CA)スナップインを展開して、Issued Certificatesフォルダを選択します
• 電話機のエントリが表示されます。サマリービュー内には、次の詳細情報が表示されます。
  • 要求ID：一意の順序番号
  • 要求者名：設定されたCiscoRAアカウントのユーザ名を表示する必要があります
  • 証明書テンプレート：作成したCiscoRAテンプレートの名前を表示する必要があります
  • 発行された共通名：デバイス名で追加された電話機のモデルが表示される必要があります
  • 証明書の発効日及び有効期限

関連リンク

• CAPFオンラインCAのトラブルシューティング
• テクニカル サポートとドキュメント - Cisco Systems