証明書の概要
システムでは、自己署名証明書とサードパーティの署名付き証明書が使用されます。送信元から宛先までのデータ整合性を確保するために、デバイスのセキュア認証、データの暗号化、データのハッシュを行う際に、システム内のデバイス間で証明書を使用します。証明書を使用することにより、帯域幅、通信、操作のセキュアな転送が可能になります。
証明書を使用する際、意図した Web サイト、電話、FTP サーバなどのエンティティとの間でデータがどのように暗号化され共有されているかを理解し、それを定義することが最も重要な部分です。
システムが証明書を信頼するということは、システムにプレインストールされている証明書によって、適切な接続先と情報を共有していることが完全に確信されているということです。そうでない場合、システムはこれらのポイント間の通信を終了します。
証明書を信頼するには、サードパーティ認証局(CA)によって信頼がすでに確立されている必要があります。
まずデバイスが CA 証明書と中間証明書の両方を信頼できると認識していることが必要であり、そうであるならデバイスは Secure Socket Layer(SSL)ハンドシェイクというメッセージの交換によって提供されるサーバ証明書を信頼することができます。
(注) |
Tomcat 用の EC ベースの証明書がサポートされています。この新しい証明書を tomcat-ECDSA といいます。詳細については、『Configuration and Administration of IM and Presence Service on Cisco Unified Communications Manager』の「Enhanced TLS Encryption on IM and Presence Service」の章を参照してください。 Tomcat インターフェイスの EC 暗号はデフォルトで無効になっています。Cisco Unified Communications Manager または IM and Presence Service で [HTTPS 暗号(HTTPS Ciphers)] のエンタープライズ パラメータを使用して、これらを有効にできます。このパラメータを変更すると、すべてのノードで Cisco Tomcat サービスを再起動する必要があります。 EC ベースの証明書の詳細については、Cisco Unified Communications Manager and IM and Presence Service リリース ノートの「ECDSA Support for Common Criteria for Certified Solutions」を参照してください。 |
サードパーティの署名付き証明書または証明書チェーン
アプリケーション証明書に署名した認証局の認証局ルート証明書をアップロードします。下位認証局がアプリケーション証明書に署名した場合は、下位認証局の認証局ルート証明書をアップロードする必要があります。すべての認証局証明書の PKCS#7 形式の証明書チェーンもアップロードできます。
認証局ルート証明書およびアプリケーション証明書は、同じ [証明書のアップロード(Upload Certificate)] ダイアログボックスを使用してアップロードできます。認証局ルート証明書または認証局証明書だけが含まれる証明書チェーンをアップロードする場合は、certificate type-trust 形式の証明書名を選択します。アプリケーション証明書またはアプリケーション証明書と認証局証明書が含まれる証明書チェーンをアップロードする場合は、証明書タイプだけが含まれている証明書名を選択します。
たとえば、Tomcat 認証局証明書または認証局証明書チェーンをアップロードする場合は [tomcat-trust] を選択します。Tomcat アプリケーション証明書またはアプリケーション証明書と認証局証明書が含まれる証明書チェーンをアップロードする場合は、[tomcat] または [tomcat-ECDSA] を選択します。
CAPF 認証局ルート証明書をアップロードすると、CallManager の信頼ストアにコピーされるため、認証局ルート証明書を個別に CallManager にアップロードする必要はありません。
(注) |
サード パーティの認証局署名付き証明書が正常にアップロードされると、署名付き証明書を取得するために使用された、最近生成した CSR が削除され、サード パーティの署名付き証明書(アップロードされている場合)を含む既存の証明書が上書きされます。 |
(注) |
tomcat-trust、CallManager-trust、および Phone-SAST-trust 証明書がクラスタの各ノードに自動的にレプリケートされます。 |
(注) |
DirSync サービスをセキュア モードで実行する場合に必要となるディレクトリの信頼証明書は、tomcat-trust にアップロードすることができます。 |
サード パーティ認証局証明書
サードパーティ認証局が発行するアプリケーション証明書を使用するには、署名付きのアプリケーション証明書と認証局ルート証明書の両方を認証局から取得するか、アプリケーション証明書と認証局証明書の両方が含まれている PKCS#7 証明書チェーン(Distinguished Encoding Rules [DER])から取得する必要があります。これらの証明書の取得に関する情報は、認証局から入手してください。証明書を取得するプロセスは、認証局によって異なります。署名アルゴリズムでは RSA 暗号化が使用されている必要があります。
Cisco Unified Communications オペレーティング システムでは、プライバシー強化メール(PEM)エンコード形式で CSR が作成されます。システムは、DER および PEM エンコード形式の証明書と、PEM 形式の PKCS#7 証明書チェーンを受け入れます。認証局プロキシ機能(CAPF)以外のすべての証明書タイプの場合、それぞれのノードについて認証局ルート証明書およびアプリケーション証明書を取得してアップロードする必要があります。
CAPF の場合、最初のノードについてのみ認証局ルート証明書およびアプリケーション証明書を取得してアップロードします。CAPF および Unified Communications Manager の CSR には、認証局へのアプリケーション証明書要求に含める必要のある拡張情報が含まれています。認証局が拡張要求メカニズムをサポートしていない場合は、次の手順に従って X.509 拡張を有効にする必要があります。
-
CAPF CSR では、次の拡張情報が使用されます。
X509v3 拡張キーの使用: TLS Web サーバ認証、IPSec エンド システム X509v3 キーの使用: デジタル署名、証明書署名
-
Tomcat および Tomcat-ECDSA の CSR では、次の拡張情報が使用されます。
(注)
Tomcat または Tomcat-ECDSA は、キー アグリーメントや IPsec エンド システム キーを使用する必要はありません。
X509v3 拡張キー使用: TLS Web サーバ認証、TLS Web クライアント認証、IPSec エンド システム X509v3 キー使用: デジタル署名、キー暗号化、データ暗号化、キー同意
-
IPsec の CSR では、次の拡張情報が使用されます。
X509v3 拡張キー使用: TLS Web サーバ認証、TLS Web クライアント認証、IPSec エンド システム X509v3 キー使用: デジタル署名、キー暗号化、データ暗号化、キー同意
-
Unified Communications Manager の CSR では、次の拡張情報が使用されます。
X509v3 拡張キー使用: TLS Web サーバ認証、TLS Web クライアント認証 X509v3 キー使用: デジタル署名、キー暗号化、データ暗号化、キー同意
-
IM and Presence Service cup および cup-xmpp 証明書の CSR は、次の拡張機能を使用します。
X509v3 拡張キー使用:TLS Web サーバ認証、TLS Web クライアント認証、IPSec エンド システム X509v3 キー使用:デジタル署名、キー暗号化、データ暗号化、キー アグリーメント
(注) |
使用する証明書に対して CSR を生成し、SHA256 署名を使用してサードパーティ認証局に署名させることもできます。この署名付き証明書を Unified Communications Manager に再度アップロードすることで、Tomcat および他の証明書が SHA256 をサポートできるようになります。 |
CSR キーの用途拡張
次の表には、Unified Communications Manager と IM and Presence Service の CA 証明書の証明書署名要求(CSR)のキーの用途拡張が表示されています。
マルチサーバ |
キーの拡張用途 |
キーの用途 |
|||||||
---|---|---|---|---|---|---|---|---|---|
サーバ認証 (1.3.6.1.5.5.7.3.1) |
クライアント認証 (1.3.6.1.5.5.7.3.2) |
IP セキュリティ末端システム (1.3.6.1.5.5.7.3.5) |
デジタル署名 |
鍵の暗号化 |
データの暗号化 |
キー証明書署名 |
鍵共有 |
||
CallManager CallManager-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
|||
CAPF(パブリッシャのみ) |
N |
Y |
Y |
Y |
|||||
ECDSA |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
|||
TVS |
N |
Y |
Y |
Y |
Y |
Y |
マルチサーバ |
キーの拡張用途 |
キーの用途 |
|||||||
---|---|---|---|---|---|---|---|---|---|
サーバ認証 (1.3.6.1.5.5.7.3.1) |
クライアント認証 (1.3.6.1.5.5.7.3.2) |
IP セキュリティ末端システム (1.3.6.1.5.5.7.3.5) |
デジタル署名 |
鍵の暗号化 |
データの暗号化 |
キー証明書署名 |
鍵共有 |
||
cup cup-ECDSA |
N |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
cup-xmpp cup-xmpp-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
cup-xmpp-s2s cup-xmpp-s2s-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |