署名付きCA証明書からの新しい証明書の作成
はじめに
このドキュメントでは、Cisco Unified Communications Manager(CUCM)で認証局(CA)によって署名された証明書を再生成する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- リアルタイム監視ツール(RTMT)
- CUCM証明書
使用するコンポーネント
- CUCMリリース14.xおよび15.x
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
ビジネスへの影響
この表は、操作における各証明書更新のビジネスへの影響を示しています。情報を注意深く確認します。各証明書のリスクレベルに基づいて、営業時間後または営業時間外に必要な証明書を更新します。
事前チェック情報
注:自己署名証明書の再生成については、『証明書の再生成ガイド』を参照してください。CA署名付きマルチSAN証明書の再生成については、『マルチSAN証明書の再生成ガイド』を参照してください。
証明書署名要求(CSR)タイプごとにキー使用法が異なり、署名付き証明書に必要なキー使用法が異なります。セキュリティガイドには、証明書のタイプごとに必要なキー使用法を示すテーブルが含まれています。
サブジェクトの設定(地域、都道府県、組織単位など)を変更するには、次のコマンドを実行します。
- set web-security orgunit orgname locality state [country] [alternatehostname]
Tomcat証明書は、set web-securityコマンドを実行すると自動的に再生成されます。Tomcatサービスを再起動しない限り、新しい自己署名証明書は適用されません。このコマンドの詳細については、次のガイドを参照してください。
証明書の設定と再生成
CAによって署名されたCUCMクラスタでシングルノード証明書を再生成する手順は、証明書のタイプごとに示されています。クラスタ内のすべての証明書の有効期限が切れていない場合は、これらの証明書を再生成する必要はありません。
Tomcat証明書 
警告:tomcat証明書の有効期限が切れるか、更新のプロセスが正しくないと、SSOログインが失敗し、電話機が社内ディレクトリなどのCUCMノードでホストされているHTTPsサービスにアクセスできない可能性があります。CUCMには、クラスタ内の他のノードからサービスページにアクセスできないなど、さまざまなWebの問題があります。エクステンションモビリティ(EM)またはクラスタ間のエクステンションモビリティの問題Expresswayトラバーサルゾーンがダウンしている(TLS Verifyが有効)。 Unified Contact Center Express(UCCX)が統合されている場合、CCXからのセキュリティ変更のために、CUCM Tomcat証明書(自己署名)またはTomcatルートおよび中間証明書(CA署名用)をUCCX tomcat-trustストアにアップロードしておく必要があります。これは、Finesseデスクトップログインに影響を与えるためです。
注意:クラスタでSSOが無効になっていることを確認してください(CM Administration > System > SAML Single Sign-On)。 SSOを有効にする場合は、SSOを無効にして、Tomcat証明書の再生成プロセスが完了したら有効にする必要があります。
クラスタのすべてのノード(CallManagerおよびIM&P)で、次の手順を実行します。
ステップ 1:Cisco Unified OS Administration > Security > Certificate Management > Find and verify the expiration date of the Tomcat certificateに移動します。
ステップ 2:Generate CSR > Certificate Purpose: tomcatの順にクリックします。証明書に必要な設定を選択し、Generateをクリックします。成功メッセージが表示されるまで待ち、[閉じる]をクリックします。
ステップ 3:CSRをダウンロードします。Download CSRをクリックし、Certificate Purpose: tomcatを選択して、Downloadをクリックします。
ステップ 4:認証局にCSRを送信します。
ステップ 5:認証局(CA)は、署名付き証明書チェーン用に2つ以上のファイルを返します。証明書を次の順序でアップロードします。
- tomcat-trustとしてのルートCA証明書。Certificate Management > Upload certificate > Certificate Purpose: tomcat-trustの順に移動します。 証明書の説明を設定し、ルート証明書ファイルを参照します。
- tomcat-trustとしての中間証明書(オプション)。 Certificate Management > Upload certificate > Certificate Purpose: tomcat-trustの順に移動します。証明書の説明を設定し、中間証明書ファイルを参照します。
注:一部のCAは中間証明書を提供しません。ルート証明書のみが提供されている場合、この手順は省略できます。
- tomcatとしてのCA署名付き証明書Certificate Management > Upload certificate > Certificate Purpose: tomcatの順に選択します。 証明書の説明を設定し、現在のCUCMノードのCA署名付き証明書ファイルを参照します。
注:この時点で、CUCMはCSRとアップロードされたCA署名付き証明書を比較します。情報が一致すると、CSRが消去され、新しいCA署名付き証明書がアップロードされます。証明書のアップロード後にエラーメッセージを受信した場合は、「証明書のアップロードの一般的なエラーメッセージ」セクションを参照してください。
手順 6:新しい証明書をサーバに適用するには、CLIを使用してCisco Tomcatサービスを再起動する必要があります(パブリッシャで開始し、その後サブスクライバを1つずつ開始します)。コマンドutils service restart Cisco Tomcatを使用します。
Tomcat証明書がCUCMで使用されていることを確認するには、ノードのWebページに移動し、ブラウザでサイト情報(ロックアイコン)を選択します。証明書オプションをクリックし、新しい証明書の日付を確認します。
IPSec証明書 
警告: IPsec証明書の有効期限が切れているか、更新のプロセスが正しくない可能性があります:ディザスタリカバリシステム(DRS)/ディザスタリカバリフレームワーク(DRF)が正しく機能しません。ゲートウェイ(GW)または他のCUCMクラスタへのIPsecトンネルが機能しません。
注意: IPSec証明書を再生成する際は、バックアップタスクまたは復元タスクをアクティブにしないでください。
クラスタのすべてのノード(CallManagerおよびIM&P)について、次の手順を実行します。
ステップ 1:Cisco Unified OS Administration > Security > Certificate Management > Find and verify the expiration date of the ipsec certificateに移動します。
ステップ 2:Generate CSR > Certificate Purpose: ipsecの順にクリックします。証明書に必要な設定を選択し、Generateをクリックします。成功メッセージが表示されるまで待ち、[閉じる]をクリックします。
ステップ 3:CSRをダウンロードします。[Download CSR] をクリックします。Certificate Purpose ipsecを選択し、Downloadをクリックします。
ステップ 4:認証局にCSRを送信します。
ステップ 5:認証局(CA)は、署名付き証明書チェーン用に2つ以上のファイルを返します。証明書を次の順序でアップロードします。
- ipsec-trustとしてのルートCA証明書。Certificate Management > Upload certificate > Certificate Purpose: ipsec-trustの順に移動します。証明書の説明を設定し、ルート証明書ファイルを参照します。
- ipsec-trustとしての中間証明書(オプション)。 Certificate Management > Upload certificate > Certificate Purpose: tomcat-trustの順に移動します。証明書の説明を設定し、中間証明書ファイルを参照します。
注:一部のCAは中間証明書を提供しません。ルート証明書のみが提供されている場合、この手順は省略できます。
- ipsecとしてのCA署名付き証明書Certificate Management > Upload certificate > Certificate Purpose: ipsecの順に移動します。証明書の説明を設定し、現在のCUCMノードのCA署名付き証明書ファイルを参照します。
注:この時点で、CUCMはCSRとアップロードされたCA署名付き証明書を比較します。情報が一致すると、CSRが消去され、新しいCA署名付き証明書がアップロードされます。証明書のアップロード後にエラーメッセージが表示された場合は、「証明書のアップロードの一般的なエラーメッセージ< /strong>」セクションを参照してください。
手順 6:新しい証明書をサーバーに適用するには、必要なサービスを再起動する必要があります(サービスが実行され、アクティブな場合のみ)。 次のとおりに移動します。
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Master(パブリッシャ)
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Local(パブリッシャおよびサブスクライバ)
CAPF証明書
警告: CAPF証明書の有効期限が切れているか、書き換えのプロセスが正しくない場合は、エンドポイント(オンラインおよびオフラインCAPFモードを除く)、電話VPN、802.1x、および電話プロキシの認証と暗号化の設定の問題が発生する可能性があります。CTI、JTAPI、およびTAPI。
注:クラスタが混合モードであるかどうかを確認するには、Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure、1 == Mixed Mode)に移動します。
注:CAPFサービスはパブリッシャでのみ実行され、それが使用される唯一の証明書です。サブスクライバノードが使用されていないため、CAによって署名されたサブスクライバノードを取得する必要はありません。Subscribersで証明書が期限切れになり、期限切れの証明書のアラートを回避するには、Self-SignedとしてサブスクライバCAPF証明書を再生成できます。詳細については、「自己署名としてのCAPF証明書」を参照してください。
パブリッシャ:
ステップ 1:Cisco Unified OS Administration > Security > Certificate Management > Find and verify the expiration date of the CAPF certificateに移動します。
ステップ 2:Generate CSR > Certificate Purpose: CAPFの順にクリックします。証明書に必要な設定を選択し、Generateをクリックします。成功メッセージが表示されるまで待ち、[閉じる]をクリックします。
ステップ 3:CSRをダウンロードします。[Download CSR] をクリックします。Certificate Purpose CAPFを選択し、Downloadをクリックします。
ステップ 4:認証局にCSRを送信します。
ステップ 5: 認証局(CA)は、署名付き証明書チェーン用に2つ以上のファイルを返します。証明書を次の順序でアップロードします。
- CAPF-trustとしてのルートCA証明書。Certificate Management > Upload certificate > Certificate Purpose: CAPF-trustの順に移動します。証明書の説明を設定し、ルート証明書ファイルを参照します。
- CAPF-trustとしての中間証明書(オプション)。 Certificate Management > Upload certificate > Certificate Purpose: CAPF-trustの順に移動します。証明書の説明を設定し、中間証明書ファイルを参照します。
注:一部のCAは中間証明書を提供しません。ルート証明書のみが提供されている場合、この手順は省略できます。
- CAPFとしてのCA署名付き証明書。Certificate Management > Upload certificate > Certificate Purpose: CAPFの順に移動します。証明書の説明を設定し、現在のCUCMノードのCA署名付き証明書ファイルを参照します。
注:この時点で、CUCMはCSRとアップロードされたCA署名付き証明書を比較します。情報が一致すると、CSRが消去され、新しいCA署名付き証明書がアップロードされます。証明書のアップロード後にエラーメッセージが表示された場合は、「証明書のアップロードに関する一般的なエラーメッセージ」セクションを参照してください。
手順 6:クラスタが混合モードの場合、サービスを再起動する前にCTL(トークンまたはトークンレス)を更新します。クラスタが非セキュアモードの場合は、この手順を省略してサービスの再起動に進みます。
手順 7:新しい証明書をサーバーに適用するには、必要なサービスを再起動する必要があります(サービスが実行され、アクティブな場合のみ)。 次のとおりに移動します。
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service(サービスが実行されるすべてのノード)
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP(サービスが実行されるすべてのノード)
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco Certificate Authority Proxy Function(パブリッシャ)
ステップ 8:すべての電話をリセットします。
- Cisco Unified CM Administration > System > Enterprise Parameters > Resetの順に移動します。ポップアップウィンドウに「You are about to reset all devices in the system.この操作は元に戻せません。続行しますか? [OK]を選択し、[リセット]をクリックしてください。
注:RTMT経由でデバイス登録をモニタします。すべての電話機を登録し直したら、次の証明書タイプに進むことができます。
CallManager証明書 
警告:Call Manager証明書の期限切れまたは更新の不適切なプロセスにより、次の問題が発生する可能性があります:電話機の登録に関する問題。暗号化または認証された電話機が登録されません。Trivial File Transfer Protocol(TFTP;トリビアルファイル転送プロトコル)が信頼されていない(電話機は署名付きコンフィギュレーションファイルやITLファイルを受け付けない)。 セキュアなセッション開始プロトコル(SIP)トランクまたはメディアリソース(会議ブリッジ、メディアターミネーションポイント(MTP)、Xcoderなど)が登録または機能しません。AXL 要求が失敗します。
注意:CallManager証明書とTVS証明書を同時に再生成しないでください。これにより、エンドポイントにインストールされているITLとの不一致が回復できない形で発生するため、クラスタ内のすべてのエンドポイントからITLを削除する必要があります。CallManagerのプロセス全体を完了し、電話機が再登録されたら、TVSのプロセスを開始します。
注:クラスタが混合モードであるかどうかを確認するには、Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure、1 == Mixed Mode)に移動します。
クラスタのすべてのCallManagerノードに対して、次の手順を実行します。
ステップ 1:Cisco Unified OS Administration > Security > Certificate Management > Find and verify the expiration date of the CallManager certificateに移動します。
ステップ 2:Generate CSR > Certificate Purpose: CallManagerの順にクリックします。証明書に必要な設定を選択し、Generateをクリックします。成功メッセージが表示されるまで待ち、[閉じる]をクリックします。
ステップ 3:CSRをダウンロードします。[Download CSR] をクリックします。Certificate Purpose: CallManagerを選択し、Downloadをクリックします。
ステップ 4:CSRを認証局(CA)に送信します。
ステップ 5:認証局(CA)は、署名付き証明書チェーン用に2つ以上のファイルを返します。証明書を次の順序でアップロードします。
- CallManager-trustとしてのルートCA証明書Certificate Management > Upload certificate > Certificate Purpose: CallManager-trustの順に移動します。証明書の説明を設定し、ルート証明書ファイルを参照します。
- CallManager-trustとしての中間証明書(オプション)。 Certificate Management > Upload certificate > Certificate Purpose: CallManager-trustの順に移動します。証明書の説明を設定し、中間証明書ファイルを参照します。
注:一部のCAは中間証明書を提供しません。ルート証明書のみが提供されている場合、この手順は省略できます。
- CallManagerとしてのCA署名付き証明書Certificate Management > Upload certificate > Certificate Purpose: CallManagerの順に移動します。証明書の説明を設定し、現在のCUCMノードのCA署名付き証明書ファイルを参照します。
注:この時点で、CUCMはCSRとアップロードされたCA署名付き証明書を比較します。情報が一致すると、CSRが消去され、新しいCA署名付き証明書がアップロードされます。証明書のアップロード後にエラーメッセージを受信した場合は、「証明書のアップロードの一般的なエラーメッセージ」セクションを参照してください。
手順 6:クラスタが混合モードの場合、サービスを再起動する前にCTL(トークンまたはトークンレス)を更新します。クラスタが非セキュアモードの場合は、この手順を省略してサービスの再起動に進みます。
手順 7:新しい証明書をサーバーに適用するには、必要なサービスを再起動する必要があります(サービスが実行され、アクティブな場合のみ)。 次のとおりに移動します。
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
ステップ 8:すべての電話をリセットします。
- Cisco Unified CM Administration > System > Enterprise Parameters > Resetの順に移動します。ポップアップウィンドウに「You are about to reset all devices in the system.この操作は元に戻せません。続行しますか? [OK]を選択し、[リセット]をクリックしてください。
注:RTMT経由でデバイス登録をモニタします。すべての電話機を登録し直したら、次の証明書タイプに進むことができます。
TVS証明書 
警告:TVS証明書が期限切れになるか、プロセスが正しくないと、電話機の登録に問題が発生します。新しい電話機をCisco UCMに登録できません。HTTPSを使用すると、CUCMに登録されているデバイスは、EMサービス、ディレクトリ、MIDletなどのアプリケーションにアクセスできません。TLおよびコンフィギュレーション(cfg)ファイルの認証も失敗します。
注意:CallManager証明書とTVS証明書を同時に再生成しないでください。これにより、エンドポイントにインストールされているITLとの不一致が回復できない形で発生するため、クラスタ内のすべてのエンドポイントからITLを削除する必要があります。CallManagerのプロセス全体を完了し、電話機が再登録されたら、TVSのプロセスを開始します。
クラスタのすべてのTVSノードに対して、次の手順を実行します。
ステップ 1:Cisco Unified OS Administration > Security > Certificate Management > Find and verify the expiration date of the TVS certificateに移動します。
ステップ 2:Generate CSR > Certificate Purpose: TVSの順にクリックします。証明書に必要な設定を選択し、Generateをクリックします。成功メッセージが表示されるまで待ち、[閉じる]をクリックします。
ステップ 3:CSRをダウンロードします。[Download CSR] をクリックします。Certificate Purpose TVSを選択し、Downloadをクリックします。
ステップ 4:認証局にCSRを送信します。
ステップ 5:認証局(CA)は、署名付き証明書チェーン用に2つ以上のファイルを返します。証明書を次の順序でアップロードします。
- TVS-trustとしてのルートCA証明書。Certificate Management > Upload certificate > Certificate Purpose: TVS-trustの順に移動します。証明書の説明を設定し、ルート証明書ファイルを参照します。
- TVS-trustとしての中間証明書(オプション)。 Certificate Management > Upload certificate > Certificate Purpose: TVS-trustの順に移動します。証明書の説明を設定し、中間証明書ファイルを参照します。
注:一部のCAは中間証明書を提供しません。ルート証明書のみが提供されている場合、この手順は省略できます。
- TVSとしてのCA署名証明書Certificate Management > Upload certificate > Certificate Purpose: TVSの順に移動します。証明書の説明を設定し、現在のCUCMノードのCA署名付き証明書ファイルを参照します。
注:この時点で、CUCMはCSRとアップロードされたCA署名付き証明書を比較します。情報が一致すると、CSRが消去され、新しいCA署名付き証明書がアップロードされます。証明書のアップロード後にエラーメッセージを受信した場合は、「証明書のアップロードの一般的なエラーメッセージ」セクションを参照してください。
手順 6:新しい証明書をサーバーに適用するには、必要なサービスを再起動する必要があります(サービスが実行され、アクティブな場合のみ)。 次のとおりに移動します。
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP(サービスが実行されるすべてのノード)
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service(サービスが実行されるすべてのノード)
手順 7:すべての電話をリセットします。
- Cisco Unified CM Administration > System > Enterprise Parameters > Resetの順に移動します。ポップアップウィンドウに「You are about to reset all devices in the system.この操作は元に戻せません。続行しますか? [OK]を選択し、[リセット]をクリックしてください。
注:RTMT経由でデバイス登録をモニタします。すべての電話機が登録し直されたら、次の証明書タイプに進むことができます。
アップロードされる証明書の一般的なエラーメッセージのトラブルシューティング
このセクションでは、CA署名付き証明書をアップロードする際の最も一般的なエラーメッセージの一部を示します。
CA証明書が信頼ストアで使用できない
このエラーは、ルート証明書または中間証明書がCUCMにアップロードされなかったことを意味します。サービス証明書をアップロードする前に、これら2つの証明書が信頼ストアとしてアップロードされていることを確認します。
ファイル/usr/local/platform/.security/tomcat/keys/tomcat.csrが存在しません
このエラーは、証明書(tomcat、callmanager、ipsec、capf、tvs)のCSRが存在しない場合に表示されます。 CSRが以前に作成され、証明書がそのCSRに基づいて作成されたことを確認します。留意すべき重要なポイント:
- サーバおよび証明書タイプごとに1つのCSRのみが存在できます。つまり、新しいCSRが作成されると、古いCSRが置き換えられます。
- ワイルドカード証明書はCUCMではサポートされていません。
- 新しいCSRがないと、現在有効なサービス証明書を置き換えることはできません。
- 同じ問題に関するもう1つの考えられるエラーは、「The file /usr/local/platform/upload/certs//tomcat.der could not be uploaded.」です。 これは、CUCMのバージョンによって異なります。
CSR公開キーと証明書の公開キーが一致しない
このエラーは、CAによって提供された証明書に、CSRファイルで送信されたものと異なる公開キーがある場合に表示されます。考えられる理由は次のとおりです。
- 誤った証明書(別のノードからのものなど)がアップロードされている。
- CA証明書が異なるCSRで生成されました。
- CSRが再生成され、署名付き証明書の取得に使用された古いCSRが置き換えられました。
CSRと証明書の公開キーの一致を確認するには、SSLなどの複数のツールをオンラインで使用します。
同じ問題に関するもう1つの考えられるエラーは、「The file /usr/local/platform/upload/certs//tomcat.der could not be uploaded.」です。 これは、CUCMのバージョンによって異なります。
CSRサブジェクト代替名(SAN)と証明書SANが一致しない
CSRと証明書の間のSANは同じである必要があります。これにより、許可されていないドメインの認証が防止されます。SANの不一致を確認するには、次の手順を実行します。
1. CSRと証明書をデコードします(ベース64)。 デコーダなど、さまざまなデコーダをオンラインで使用できます。
2. SANエントリを比較し、すべてのエントリが一致していることを確認します。順序は重要ではありませんが、CSRのすべてのエントリが証明書と同じである必要があります。
たとえば、CA署名付き証明書には、証明書の共通名と追加のIPアドレスの2つの追加SANエントリがあります。
3. SANが一致しないことを確認したら、次の2つの方法で修正します。
- CSRで送信されるのとまったく同じSANエントリを持つ証明書を発行するようにCA管理者に依頼します。
- CAの要件に一致するCSRをCUCMで作成します。
CUCMによって作成されたCSRを変更するには、次の手順を実行します。
- CAがドメインを削除すると、ドメインなしでCUCM内にCSRを作成できます。CSRの作成中に、デフォルトで設定されているドメインを削除します。
- マルチSAN証明書を作成する場合、共通名の – msを受け入れないCAがあります。-msは、CSRの作成時にCSRから削除できます。
3. CUCMによって自動入力される名前以外の代替名を追加するには、次の手順を実行します。
- マルチSAN証明書を使用する場合は、追加できるFQDNの数を増やすことができます。(IPアドレスは受け付けられません)。
b.証明書がシングルノードの場合は、set web-securityコマンドを使用します。このコマンドは、マルチSAN証明書にも適用されます。(任意の種類のドメインを追加でき、IPアドレスも許可されます)。
詳細については、『コマンドラインリファレンスガイド』を参照してください。
同じCNを持つ信頼できる証明書が置き換えられていない
CUCMは、同じ共通名(CN)と同じ証明書タイプを持つ証明書を1つだけ保存するように設計されています。つまり、tomcat-trustの証明書がデータベースにすでに存在しており、同じCNの最新の証明書で置き換える必要がある場合、CUCMは古い証明書を削除して新しい証明書で置き換えます。
CUCMが古い証明書を置き換えない場合があります。
- アップロードされた証明書の有効期限が切れています。CUCMでは、有効期限が切れた証明書をアップロードすることはできません。
- 古い証明書の方が、新しい証明書よりも新しいFROM日付です。CUCMは最新の証明書を保持し、古いFROMの日付は古い日付としてカタログ化されます。このシナリオでは、不要な証明書を削除してから、新しい証明書をアップロードする必要があります。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
5.0 |
12-Nov-2025
|
代替テキスト、機械翻訳、フォーマットを更新。
各証明書の再生成に関する影響の表と主な推奨事項が追加されました。 |
4.0 |
27-Aug-2024
|
代替テキスト、機械翻訳、フォーマットを更新。 |
3.0 |
14-Sep-2022
|
再認定 |
1.0 |
17-May-2021
|
初版 |
フィードバック