このドキュメントは、複数のシスコ リソースを Cisco Jabber で証明書を検証するためのすべての要件を満たすために使用される統合された完全な操作ガイドにまとめたものです。 これが必要となるのは、サーバとのセキュアな接続を確立するために Cisco Jabber で証明書検証を使用する必要があるためです。 この要件は、ユーザ環境に必要となる場合がある多くの変更を伴います。
証明書検証を実行するすべてのクライアントを次の表に示します。
表 1
デスクトップ クライアント | モバイル クライアントとタブレット クライアント |
---|---|
Jabber for Macintosh バージョン 9.2(2013 年 9 月) | Jabber for iPhone バージョン 9.5(2013 年 10 月) |
Jabber for Microsoft (MS) Windows バージョン 9.2.5(2013 年 9 月) | Jabber for iPhone and iPad バージョン 9.6(2013 年 11 月) |
Jabber for Android バージョン 9.6(2013 年 12 月) |
表 1 に記載されているクライアントのインストールまたはアップグレード時に、セキュアな接続にサーバでの必須の証明書検証が使用されます。 基本的に、Jabber クライアントがセキュアな接続を使用しようとすると、サーバは Cisco Jabber に証明書を提示します。 その後、Cisco Jabber は、デバイスの証明書ストアでそれらの証明書の照合を試みます。 クライアントが証明書を検証できない場合、証明書を受け入れて企業の信頼ストアに保存するかを確認するよう求められます。
オンプレミス サーバと、セキュアな接続を確立するために Cisco Jabber に提示する証明書の一覧を次に示します。
表 2
サーバ | 証明書 |
---|---|
Cisco Unified Presence | HTTP(Tomcat) XMPP |
Cisco Unified Communications Manager IM and Presence | HTTP(Tomcat) XMPP |
Cisco Unified Communications Manager | HTTP(Tomcat) |
Cisco Unity Connection | HTTP(Tomcat) |
Cisco WebEx Meetings Server | HTTP(Tomcat) |
以下に注意すべき事項を一部紹介します。
現在、証明書検証にいくつかの方法を使用できます。
方法 1: すべての証明書のポップアップに対して [Accept] をクリックします。 小規模環境においては、この方法が最も理想的なソリューションであると考えられます。 [Accept] をクリックすると、デバイスの企業の信頼ストアに証明書が保存されます。 証明書が企業の信頼ストアに保存された後は、そのローカル デバイスで Jabber クライアントにログインする際に証明書を要求されることがなくなります。
方法 2: 必要な証明書(表 2)を個々のサーバからダウンロードし(デフォルトでは、自己署名証明書)、ユーザ デバイスの企業の信頼ストアにインストールします。 証明書署名でプライベート CA あるいはパブリック CA へのアクセス権がない環境おいては、この方法が最も理想的なソリューションであると考えられます。
これらの証明書をユーザにプッシュする方法はいくつかありますが、簡単な方法の 1 つとして、Microsoft Windows レジストリを使用する方法があります。
これで、Jabber 向けの Enterprise Trust Certificate のインストールが完了し、これ以降はユーザに対してプロンプトは表示されなくなります。
方法 3: パブリック CA またはプライベート CA(表 2)が必要なすべての証明書に署名します。 シスコは、この方法を推奨します。 この方法では、証明書署名要求(CSR)が証明書ごとに生成され、署名され、さらにサーバに再アップロードされ、ユーザ デバイスの Trusted Root Certificate Authorities ストアにインポートされている必要があります。 詳細については、このドキュメントの「CSR の生成」と「証明書をユーザ デバイスの証明書ストアにインポートする方法 」のセクションを参照してください。
特定の形式に準拠するように、パブリック CA には通常、CSR が必要であることに留意しておくことが重要です。 たとえば、パブリック CA は、次のような CSR を受け入れる場合があります。
同様に、複数ノードから CSR を送信すると、パブリック CA は、すべての CSR で情報の整合性がとれていることを必要とする場合があります。
CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認します。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証します。
発生する可能性がある要件を次に示します。
FQDN ごとに 1 つの証明書: いくつかのパブリック CA は完全修飾ドメイン名(FQDN)ごとに 1 つの証明書にのみ署名します。
たとえば、単一の CUCM IM and Presence ノードの HTTP 証明書と XMPP 証明書に署名するには、それぞれの CSR を別々のパブリック CA に送信する必要があります。
例: 自己署名とプライベート CA 署名付き証明書
自己署名プライベート CA 署名付き
どのサーバ証明書でも、ユーザ デバイスの信頼ストアで、関連するルート証明書を提示しておくようにします。 Cisco Jabber は、サーバが信頼ストアのルート証明書に対して提示する証明書を検証します。
MS Windows ce rtificate ストアへのインポート ルート証明:
MS Windows ce rtificate ストアに適切なメソッド輸入 証明書を、使用できます(以下を参照):
署名プロセスの一部として、CA は証明書のサーバ識別情報を指定します。 クライアントがその証明書を検証する場合、次のことを確認します。
クライアントは、ID の一致に関して、サーバ証明書の次の ID フィールドを確認します。
Jabber クライアントが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは信頼できるサーバを識別できないため、ユーザに指定するよう要求されます。 したがって、サーバ証明書が FQDN でサーバを識別する場合、サーバの多くの場所の FQDN としてサーバ名を指定します。
表 3 は、IP アドレスまたは FQDN であるかどうかにかかわらず、証明書に表示されるサーバ名を指定する必要があるすべての場所を示します。
表 3
server | 場所(設定は証明書と一致する必要があります) |
---|---|
Cisco Jabber クライアント |
ログイン サーバ アドレス(クライアントによって異なり、通常は [Connection Settings] の下にある) |
CUP(バージョン 8.x 以前) |
**すべてのノード名([System] > [Cluster Topology]) *?注意: これを FQDN に変更した場合、DNS を介してこれを解決できるか、サーバが起動状態であることを確認してください。 TFTP サーバ([Application] > [Cisco] > [Jabber] > [Settings]) プライマリとセカンダリの Cisco Call Manager Cisco IP Phone(CCMCIP)([Application] > [Cisco Jabber] > [CCMCIP Profile]) ボイスメールのホスト名([Application] > [Cisco Jabber] > [Voicemail Server]) メールストア名([Application] > [Cisco] > [Jabber] > [Mailstore]) 会議のホスト名([Application] > [Cisco Jabber] > [Conferencing Server])(Meeting Place 専用) XMPP ドメイン(「クライアントへの XMPP ドメインの提供」セクションを参照) |
CUCM IM and Presence(バージョン 9.x 以降) |
**すべてのノード名([System] > [Cluster Topology]) *?注意: これを FQDN に変更した場合、DNS を介してこれを解決できるか、サーバが起動状態であることを確認してください。 TFTP サーバ([Application] > [Legacy Clients] > [Settings]) プライマリとセカンダリの CCMCIP([Application] > [Legacy Clients] > [CCMCIP Profile]) XMPP ドメイン(「クライアントへの XMPP ドメインの提供」セクションを参照) |
CUCM(バージョン8.x 以前) |
サーバ名([System] > [Server]) |
CUCM(バージョン 9.x 以降) |
サーバ名([System] > [Server]) IM and Presence Server サーバ([User Management] > [User Settings] > [UC Service] > [IM and Presence]) ボイスメールのホスト名([User Management] > [User Settings] > [UC Service] > [Voicemail]) メールストア名([User Management] > [User Settings] > [UC Service] > [Mailstore]) 会議のホスト名([User Management] > [User Settings] > [UC Service] > [Conferencing])(Meeting Place のみ) |
Cisco Unity Connection(すべてのバージョン) |
変更不要 |
クライアントは、FQDN ではなく XMPP ドメインを使用して、XMPP 証明書を識別します。 XMPP の証明書は ID フィールドに XMPP ドメインを含める必要があります。
クライアントがプレゼンス サーバに接続しようとすると、プレゼンス サーバはクライアントに XMPP ドメインを提供します。 その際に、クライアントは XMPP 証明書に対するプレゼンス サーバの識別情報を検証します。
プレゼンス サーバがクライアントに XMPP のドメインを提供することを確認するには、次の手順を実行します。
これで、証明書検証が完了しました。