CAPFオンラインCAによる自動証明書登録および更新の設定

概要

このドキュメントでは、Cisco Unified Communications Manager(CUCM)のCertificate Authority Proxy Function(CAPF)オンライン機能による自動証明書登録および更新について説明します。

著者：Cisco TAC エンジニア、Michael Mendoza

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Unified Communications Manager
• X.509 証明書
• Windows Server
• Windows Active Directory(AD)
• Windowsインターネットインフォメーションサービス(IIS)
• NT(New Technology) LAN Manager(NTLM)認証
  

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• CUCM バージョン 12.5.1.10000-22
• Windows Server 2012 R2
• IP Phone CP-8865/ファームウェア：SIP 12-1-1SR1-4および12-5-1SR2。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

 このドキュメントでは、追加機能の設定と関連リソースを取り上げて詳細に調査します。

サーバの時刻と日付を検証する

Windowsサーバに、サーバのルートCA（認証局）証明書およびサーバが発行した証明書の有効期間に影響を与えるため、正しい日付、時刻、およびタイムゾーンが設定されていることを確認します。

更新サーバーコンピューター名

デフォルトでは、サーバのコンピュータ名はランダムな名前（WIN-730K65R6BSKなど）です。ADドメインサービスを有効にする前に、まずサーバーのコンピューター名をインストールの最後までにサーバーのホスト名とルートCA発行者名に更新する必要があります。それ以外の場合は、ADサービスのインストール後に変更する追加の手順が多くあります。

• [ローカルサーバ]に移動し、コンピュータ名を選択して[システムのプロパティ]を開きます
• [Change]ボタンを選択し、新しいコンピュータ名を入力します。

• 変更を適用するためにサーバを再起動します

設定

ADサービス、ユーザ、および証明書テンプレート

Active Directoryサービスの有効化と設定

• Server Managerで[Add Roles and Features]オプションを選択し、[Role-based or feature-based installation]を選択し、プールからサーバを選択します（プール内に1つだけ存在する必要があります）。次に、[Active Directory Domain Services]を選択します。

• [次へ]ボタンを選択して、[インストール]を選択します
• インストールが完了した後に[閉じる]ボタンを選択します
• [Server Manager] > [AD DS]の下に、Active Directoryドメインサービスに必要な構成というタイトルの警告タブが表示されます。その他のリンクを選択し、セットアップウィザードを開始するためのアクションを選択してください：

• ドメイン設定ウィザードの指示に従い、目的のルートドメイン名を持つ新しいフォレスト(この実習ではmichamen.comを使用)を追加し、[DNS]ボックスのチェックマークを外し、DSRMパスワードを定義します(C1sc00101223!このラボでは、

• NetBIOSドメイン名を指定する必要があります（この実習ではMICHAMEN1を使用）。
• ウィザードに従って完了します。サーバが再起動し、インストールが完了します。
• 次回ログイン時に新しいドメイン名を指定する必要があります（例： MICHAMEN1\Administrator）。

証明書サービスの有効化と設定

• サーバマネージャで、[役割と機能の追加]を選択します
• [Active Directory Certificate Services]を選択し、プロンプトに従って必要な機能を追加します（使用可能なすべての機能が、このラボで有効にされた役割サービスから選択されています）
• 役割サービスについては、証明機関のWeb登録を確認してください

• [Server Manager] > [AD DS]の下に、[Configuration required for Active Directory Certificate Services]というタイトルの警告タブが表示されます。[more]リンクを選択し、次に使用可能なアクションを選択します。

• AD-CS Post Install Configurationウィザードで、次の手順を実行します。 
• 証明機関と証明機関のWeb登録役割を選択してください
• [Enterprise CA with options]を選択します。
• ルートCA
• 新しい秘密キーの作成
• 秘密キーの使用：デフォルト設定のSHA1
• CAの共通名を設定します（サーバのホスト名と一致する必要があります）。

• 有効期間を5年に設定します（必要に応じて以上）
• ウィザードの残りの部分で[Next]ボタンを選択します

CiscoRAの証明書テンプレートの作成

• MMCを開きます。Windowsのスタートロゴを選択し、「実行」からmmcと入力します
• MMCウィンドウを開き、次のスナップイン（構成の異なるポイントで使用）を追加して、[OK]を選択します。

• [ファイル] > [保存]を選択し、このコンソールセッションをデスクトップに保存して、すばやく再アクセスします
• スナップインから、[証明書テンプレートの選択]を選択します
• テンプレート(可能であれば「ルート認証局」テンプレート)を作成または複製し、CiscoRAという名前を付けます

• テンプレートを変更します。それを右クリックし、[プロパティ]を選択します
• 「一般」タブを選択し、有効期間を20年（または必要に応じてその他の値）に設定します。 このタブで、テンプレートの「表示名」と「名前」の値が一致していることを確認します

• [拡張機能]タブを選択し、[アプリケーションポリシー]を選択し、[編集]を選択します

• 表示されたウィンドウに表示されているポリシーを削除します
• 「件名」タブを選択し、「要求で供給」ラジオ・ボタンを選択します
• [セキュリティ]タブを選択し、表示されているすべてのグループまたはユーザー名に対してすべての権限を付与します

証明書テンプレートを発行できるようにする

• MMCスナップインで、[Certification Authority]を選択し、フォルダツリーを展開して、[Certificate Templates]フォルダを見つけます
• [名前]と[使用目的]を含むフレーム内の空白文字を右クリックします
• 発行する新しい証明書テンプレートと証明書テンプレートの選択
• 新しく作成して編集したCiscoRAテンプレートを選択します

Active Directory CiscoRAアカウントの作成

• MMCスナップインに移動し、[Active Directory Users and Computers]を選択します
• 一番左のペインのツリーで[Users]フォルダを選択します
• 名前、タイプ、説明が含まれるフレームの空白を右クリックします
• [新規]および[ユーザー]を選択
• ユーザ名/パスワードを使用してCiscoRAアカウントを作成し(この実習ではciscora/Cisco123を使用)、[Password never expires]チェックボックスをオンにして表示します

IIS 認証とSSLバインディングの設定

Enable NTLM [Authentication]

• MMCスナップインに移動し、[インターネットインフォメーションサービス(IIS)マネージャー]スナップインでサーバー名を選択します
• 機能リストが次のフレームに表示されます。[認証機能]アイコンをダブルクリックします

• Windows認証を選択し、[操作]フレーム（右ペイン）で[有効]オプションを選択します

• [操作]ウィンドウに[詳細設定]オプションが表示されます。これを選択し、 Enable Kernel-mode authenticationのチェックを外します

• [Providers]を選択し、[NTML]、[Negotiate]、およびオプションで[Negotiate:Kerberos]を順に並べます

WebサーバのID証明書の生成

Webサーバの証明書が自己署名の場合、CiscoRAが接続できないため、CAによって署名されたWebサービスの証明書とID証明書を生成する必要があります。

• IISスナップインからWebサーバーを選択し、[サーバー証明機能]アイコンをダブルクリックします。

• デフォルトでは、1つの証明書が表示されます。これは自己署名ルートCA証明書です。[アクション]メニューから[ドメイン証明書の作成]オプションを選択します。新しい証明書を作成するには、設定ウィザードで値を入力します。共通名が解決可能なFQDN（完全修飾ドメイン名）であることを確認し、[次へ]を選択します。

• ルートCAの証明書を発行者として選択し、[Finish]を選択します。

• CA証明書とWebサーバのID証明書の両方が表示されます。

WebサーバーSSLバインド

• ツリービューでサイトを選択し（既定のWebサイトを使用するか、特定のサイトに対してさらに詳細に設定できます）、[操作]ウィンドウから[バインド]を選択します。これにより、Webサイトのバインディングを作成、編集、および削除できるバインディングエディタが表示されます。[Add]を選択して、新しいSSLバインドをサイトに追加します。

• 新しいバインドの既定の設定は、ポート80でHTTPに設定されています。[種類]ドロップダウンリストで[https]を選択してください。[SSL Certificate]ドロップダウンリストから、前のセクションで作成した自己署名証明書を選択し、[OK]を選択します。

• サイトに新しいSSLバインドが作成されました。残りはすべて、メニューから[Browse *:443 (https)]オプションを選択して機能していることを確認し、デフォルトのIIS WebページでHTTPSが使用されていることを確認することです。

• 設定の変更後、必ずIISサービスを再起動してください。[操作]ウィンドウの[再起動]オプションを使用します。

CUCM の設定

• AD CS Webページ(https://YOUR_SERVER_FQDN/certsrv/)に移動し、CA証明書をダウンロードします

• OS AdministrationページからSecurity > Certificate Managementに移動し、Upload Certificate/Certificate chainボタンを選択して、CAPF-trustに設定した目的でCA証明書をアップロードします。

..この時点で、エンドポイントでセキュアなシグナリング暗号化が有効（または有効）になっている場合に必要になるため、CallManager-trustと同じCA証明書をアップロードすることをお勧めします。クラスタが混合モードの場合に発生する可能性があります。

• [System] > [Service Parameters] に移動します。[Server]フィールドで[Unified CM Publisher]サーバを選択し、[Service]フィールドで[Cisco Certificate Authority Proxy Function]を選択します
• [Certificate Issuer]の値を[Endpoint]から[Online CA]に設定し、[Online CA Parameters]フィールドの値を入力します。WebサーバのFQDN、以前に作成した証明書テンプレートの名前(CiscoRA)、CAタイプをMicrosoft CAとして使用し、以前に作成したCiscoRAユーザアカウントのクレデンシャルを使用することを確認します

• CAPFサービスを再起動する必要があることを示すポップアップウィンドウが表示されます。ただし、最初に[Cisco Unified Serviceability] > [Tools] > [Service Activation]を使用してCisco Certificate Enrollment Serviceをアクティブにし、[Server]フィールドで[Publisher]を選択し、[Cisco Certificate Enrollment Service]チェックボックスをオンにして、[Save]ボタンを選択します。

確認

IIS証明書の確認

• サーバ（CUCMパブリッシャと同じネットワーク内）に接続できるPCのWebブラウザから、URLに移動します。

https://YOUR_SERVER_FQDN/certsrv/

• Certificate not-trustedアラートが表示されます。例外を追加し、証明書を確認します。FQDNが予期されるFQDNと一致していることを確認します。

• 例外を受け入れた後、認証する必要があります。この時点で、以前にCiscoRAアカウントに設定したクレデンシャルを使用する必要があります。

• 認証後、[AD CS (Active Directory Certificate Services) Welcome]ページが表示される必要があります。

CUCM設定の確認

電話機のいずれかにLSC証明書をインストールするには、通常の手順を実行します。

ステップ1:[CallManager Administration]ページ、[Device]、[Phone]の順に開きます。

ステップ2:[Find]ボタンを選択して、電話機を表示します

ステップ3: LSCをインストールする電話機を選択します

ステップ4:Certification Authority Proxy Function(CAPF)情報までスクロールダウンします。

ステップ5：証明書の操作から[Install/Upgrade]を選択します。

ステップ6：認証モードを選択します。（Null文字列はテストの目的に適しています）

ステップ7：ページの上部までスクロールし、[保存]を選択して、[電話の設定の適用]を選択します。

ステップ8：電話機が再起動して登録し直された後、LSCステータスフィルタを使用して、正常にインストールされたLSCを確認します。

• ADサーバ側でMMCを開き、[Certification Authority]スナップインを展開して、[Issued Certificates]フォルダを選択します
• 電話機のエントリが[Summary]ビュー内に表示されます。次に詳細を示します。
  • 要求ID:一意のシーケンス番号
  • 要求者名：設定済みのCiscoRAアカウントのユーザ名が表示されている必要があります
  • 証明書テンプレート：作成したCiscoRAテンプレートの名前が表示されている必要があります
  • 発行された共通名：デバイス名で追加された電話機のモデルを表示する必要があります
  • 証明書の発効日と証明書の有効期限

関連するリンク

• CAPFオンラインCAのトラブルシューティング
• テクニカル サポートとドキュメント – Cisco Systems