この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Certificate Authority Proxy Function(CAPF)は Cisco Unified Communications Manager とともに自動的にインストールされ、設定に応じて次のタスクを実行します。
既存の製造元でインストールされる証明書(MIC)、ローカルで有効な証明書(LSC)、ランダム生成された認証文字列、または安全性の低いオプションの「null」認証によって認証します。
電話機にある既存のローカルで有効な証明書をアップグレードします。
電話機の証明書を表示およびトラブルシューティングするために取得します。
インストール中に、CAPF に固有の証明書が生成されます。 Cisco CTL クライアントがクラスタ内のすべての Cisco Unified Communications Manager サーバにコピーする CAPF 証明書では、 .0 拡張子を使用します。
電話機は、CAPF とインタラクションするとき、認証文字列、既存の MIC または LSC 証明書、または「null」を使用して CAPF に対してそれ自体を認証し、公開キーと秘密キーのペアを生成し、署名付きメッセージで公開キーを CAPF サーバに転送します。 秘密キーはそのまま電話機に残り、外部に公開されることはありません。 CAPF は、電話機証明書に署名し、その証明書を署名付きメッセージで電話機に返送します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。 これらの値は設定することができません。
電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合にあたります。 証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。
ヒント |
電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。 |
ヒント |
キー生成の優先順位を低く設定すると、処理中に電話機を動作させることができます。 キー生成の完了には 30 分以上かかります。 証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。 |
次に、ユーザまたは Cisco Unified Communications Manager によって電話機がリセットされたときに CAPF が Cisco Unified IP Phone 7960G および 7940G とどのように相互に作用するかについて説明します。
(注) |
次の例では、LSC が電話機内にまだ存在しない場合や、CAPF情報の [認証モード(Authentication Mode)] に [既存の証明書(By Existing Certificate)] が選択されている場合に、CAPF 証明書操作が失敗します。 |
この例では、[デバイスセキュリティモード(Device Security Mode)] を [非セキュア(Nonsecure)] に、CAPF情報の [認証モード(Authentication Mode)] を [Null ストリング(By Null String)] または [既存の証明書(...の優先)(By Existing Certificate (Precedence...))] に設定した後に電話機がリセットされます。 電話機は、リセット後すぐにプライマリ Cisco Unified Communications Manager に登録し、設定ファイルを受け取ります。 次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。 LSC のインストール後、電話機は [デバイスセキュリティモード(Device Security Mode)] を [認証のみ(Authenticated)] または [暗号化(Encrypted)] に設定します。
この例では、[デバイスセキュリティモード(Device Security Mode)] を [認証のみ(Authenticated)] または [暗号化(Encrypted)] に、CAPF情報の [認証モード(Authentication Mode)] を [Nullストリング(By Null String)] または [既存の証明書(...の優先)(By Existing Certificate (Precedence...))] に設定した後に電話機がリセットされます。 CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco Unified Communications Manager に登録しません。 セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。
この例では、電話機は CAPF サーバに自動的に接続しないので、[認証ストリング(By Authentication String)] を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。
CAPF は、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話機に証明書を発行したり、アップグレードすることができます。 IPv6 アドレスを使用する SCCP が実行されている電話機に対して証明書を発行またはアップグレードするには Cisco Unified Communications Manager の管理ページで Enable IPv6 サービス パラメータを True に設定する必要があります。
電話機が CAPF に接続して証明書を取得すると、CAPF は Enable IPv6 エンタープライズ パラメータの設定を使用して、電話機に対して証明書を発行するか、アップグレードするかを決定します。 このエンタープライズ パラメータが False に設定されると、CAPF は、IPv6 アドレスを使用する電話機からの接続を無視または拒否し、電話機は証明書を受信しません。
次の表では、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話機で CAPF に接続する方法を説明しています。
電話機は IPv6 アドレスを使用して CAPF に接続します。電話機が IPv6 アドレスで接続できない場合は、IPv4 アドレスを使用して接続を試みます。 |
|||
電話機は IPv6 アドレスを使用して CAPF に接続します。 接続に失敗すると、電話機は IPv4 アドレスを使用して CAPF に接続します。 |
|||
CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。 CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
証明書のアップグレードまたはインストール操作で、電話機に対して CAPF 認証方式を [認証ストリング(By Authentication String)] にした場合、操作後に同じ認証文字列を電話機に入力する必要があります。入力しなかった場合、操作が失敗します。 TFTP 暗号化設定エンタープライズ パラメータが有効で、認証文字列を入力しなかった場合、電話機に障害が発生し、電話機に入力された認証文字列が一致するまで復帰しないことがあります。
スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。
Cisco Unified Communications Manager クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。
証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。
証明書操作の間、電話機が正しく機能していることを確認します。
保護された電話機が別のクラスタに移動された場合、 Cisco Unified Communications Manager はその電話機が送信する LSC 証明書を信頼しません。これは、その LSC 証明書が別の CAPF によって発行されたものであり、その CAPF の証明書が CTL ファイルに存在しないためです。 保護された電話機で登録できるようにするには、既存の CTL ファイルを削除します。 その後、[インストール/アップグレード(Install/Upgrade)] オプションを使用して、新しい CAPF で新しい LSC 証明書をインストールし、新しい CTL ファイルのために電話機をリセットできます(または MIC を使用できます)。 電話機を移動する前に既存の LSC を削除するには、[電話の設定(Phone Configuration)] ウィンドウの CAPF セクションで [削除(Delete)] オプションを使用します。
ヒント |
Cisco IP Telephony Backup and Restore System(BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは Cisco Unified Communications Manager によって情報が Cisco Unified Communications Manager データベースに格納されるためです。 |
Cisco Unified Serviceability では、次の作業を行います。
詳細については、 『Cisco Unified Serviceability Administration Guide』を参照してください。
Cisco Unified Communications Manager は、 Cisco Unified サービスアビリティで Certificate Authority Proxy Function を自動的にアクティブ化しません。
Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、CTL ファイルを更新する必要があります。 このサービスは、最初のノードでのみアクティブにします。
ステップ 1 | Cisco Unified サービスアビリティで、 の順に選択します。 |
ステップ 2 | [Servers] ドロップダウン リスト ボックスから、Certificate Authority Proxy Function サービスをアクティブにするサーバを選択します。 |
ステップ 3 | [Certificate Authority Proxy Function] チェックボックスをオンにします。 |
ステップ 4 | [Save] をクリックします。 |
CAPF サービスのパラメータを設定するウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数などの情報が表示されます。
CAPF サービス パラメータが、 Cisco Unified Communications Manager の管理ページでアクティブのステータスとして表示されるようにするには、Certificate Authority Proxy Function サービスをアクティブにする必要があります。
ステップ 1 | Cisco Unified Communications Manager の管理ページで、 を選択します。 | ||
ステップ 2 |
[サーバ(Server)] ドロップダウン リスト ボックスから、サーバを選択します。
|
||
ステップ 3 | [サービス(Service)] ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。 | ||
ステップ 4 |
パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。
|
||
ステップ 5 | 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。 |
CAPF LSC はローカルで署名されます。 ただし、電話機にサードパーティ CA 署名済み LSC を使用することを要求することはできます。
(注) |
ステップ 1 と 2 を一度実行し、電話機の LSC 操作に必要なすべての設定を行うまで残りの手順を繰り返します。 |
ステップ 1 | サードパーティ CA 証明書を Unified Communications Manager の信頼ストアにインポートします。 | ||
ステップ 2 | 次の手順に従って、サービス パラメータ [エンドポイントへの証明書発行者(Certificate Issuer to Endpoint)] を設定します。 | ||
ステップ 3 | CSR 生成の進行状況を確認します。 電話機の再登録後、CLI コマンドの utils capf csr count を使用して、CSR が生成されているかどうかを確認します。 | ||
ステップ 4 | CLI コマンドの utils capf csr dump を使用して、CSR を任意の場所(ローカル ディレクトリ、または FTP や TFTP を通じてリモート ディレクトリ)にダンプします。 アップロードする前に、CLI により、CSR が tar および zip 処理されて単一ファイル(.tgz)になります。 | ||
ステップ 5 | CA によってすべての署名済み証明書を提供されている場合は、Linux コマンドの tar cvzf <filename.tgz> *.der を使用してすべての証明書を tar および zip 処理して単一ファイルにする必要があります。 | ||
ステップ 6 |
CLI コマンドの utils capf cert import を使用して証明書を Unified Communications Manager にインポートします。
|
以前に作成してインポートした CSR と証明書をすべて削除するには、コマンド utils capf csr delete を使用できます。
ステップ 1 | 『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従って、電話機を検索します。 |
ステップ 2 | 検索結果が表示された後、証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を見つけて、その電話機の [デバイス名(回線)(Device Name (Line))] リンクをクリックします。 |
ステップ 3 | 表 1 の説明に従って、設定項目を入力します。 |
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 5 | [リセット(Reset)] をクリックします。 |
次の表に、 Cisco Unified Communications Manager の管理ページの [電話の設定(Phone Configuration)] ウィンドウにある CAPF の設定項目を示します。
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
|
|||
[認証ストリング(By Authentication String)] オプションを選択した場合に、このフィールドは適用されます。 文字列を手動で入力するか、あるいは [文字列を生成(Generate String)] ボタンをクリックして文字列を生成します。 文字列が 4 ~ 10 桁であることを確認してください。 ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、電話機のユーザまたは管理者が認証文字列を電話機に入力する必要があります。 |
|||
CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。 4 ~ 10 桁の認証文字列が [認証文字列(Authentication String)] フィールドに表示されます。 |
|||
このフィールドには、<operation type> pending、failed、successful などの証明書操作の進行状況が表示されます。操作のタイプは、[インストール/アップグレード(Install/Upgrade)]、[削除(Delete)]、または [トラブルシューティング(Troubleshoot)] の証明書操作オプションに対応します。 このフィールドに表示される情報は変更できません。 |
ステップ 1 |
Cisco Unified Communications Manager の管理ページで、 の順に選択します。 検索/一覧表示ウィンドウが表示されます。 ウィンドウには、アクティブな(前の)クエリーのレコードが表示される場合もあります。 |
||
ステップ 2 | 最初のドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 | ||
ステップ 3 | 2 番めのドロップダウン リスト ボックスで、検索パターンを選択します。 | ||
ステップ 4 |
必要に応じて、適切な検索テキストを指定します。
|
||
ステップ 5 |
[検索(Find)] をクリックします。 一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。 |
||
ステップ 6 |
表示されたレコード リストから、目的のレコードのリンクをクリックします。
選択した項目がウィンドウに表示されます。 |
必要に応じて CAPF レポートを生成し、証明書操作のステータス、認証文字列、セキュリティ プロファイル、認証モードなどを表示できます。 レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどが含まれます。
ステップ 1 |
Cisco Unified Communications Manager の管理ページで、 を選択します。 検索/一覧表示ウィンドウが表示されます。 ウィンドウには、アクティブな(前の)クエリーのレコードが表示される場合もあります。 |
ステップ 2 |
データベース内のすべてのレコードを検索するには、ダイアログボックスが空になっていることを確認し、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。 |
ステップ 3 |
[検索(Find)] をクリックします。 一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。 |
ステップ 4 | [関連リンク] ドロップダウン リスト ボックスで、[ファイルでのCAPFレポート] を選択し、[移動] をクリックします。 |
ステップ 5 | ファイルを任意の場所に保存します。 |
ステップ 6 | Microsoft Excel を使用して .csv ファイルを開きます。 |
認証ストリング モードを選択して認証文字列を生成した場合、ローカルで有効な証明書をインストールするには、電話機に認証文字列を入力する必要があります。
ヒント |
認証文字列は 1 回の使用に限って適用されます。 [電話の設定(Phone Configuration)] ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。 |
ステップ 1 | 電話機の [設定] ボタンを押します。 |
ステップ 2 | 設定がロックされている場合は、[**#](アスタリスク、アスタリスク、ポンド記号)を押してロック解除します。 |
ステップ 3 | [設定] メニューまでスクロールダウンします。 「セキュリティ設定」を強調表示して、[選択] ソフトキーを押します。 |
ステップ 4 | [セキュリティ設定] メニューまでスクロールダウンします。 「LSC」を強調表示して、[更新] ソフトキーを押します。 |
ステップ 5 |
認証文字列の入力を要求するプロンプトが表示された場合、システムから提供された文字列を入力して [送信] ソフトキーを押します。 電話機は現在の CAPF の設定に応じて、証明書をインストール、更新、削除、または取得します。 電話機に表示されるメッセージを確認すると、証明書の操作の進捗をモニタすることができます。 [送信] を押すと、LSC オプションの下に「処理中」というメッセージが表示されます。 電話機は、公開キーと秘密キーのペアを生成し、情報を電話機に表示します。 電話機が正常に手順を完了すると、成功したことを示すメッセージが電話機に表示されます。 電話機に失敗のメッセージが表示されるのは、誤った認証文字列を入力したか、電話機のアップグレードを有効にしなかった場合です。 [中止] オプションを選択すると、いつでも手順を停止できます。 |
電話機に証明書がインストールされているかどうかは、 の順に選択し、LSC の設定が [インストール済み] と [未インストール] のどちらであるかによって確認できます。
目次
- Certificate Authority Proxy Function
- Certificate Authority Proxy Function について
- Cisco Unified IP Phone と CAPF のインタラクション
- IPv6 アドレッシングとの CAPF のインタラクション
- CAPF システムのインタラクションおよび要件
- Cisco Unified サービスアビリティでの CAPF の設定
- CAPF の設定
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- サードパーティ CA 署名済み LSC の生成とインポート
- CAPF を使用した電話機からの証明書のインストール、アップグレード、トラブルシューティング、または削除
- CAPF の設定項目
- LSC ステータスまたは認証文字列による電話機の検索
- CAPF レポートの作成
- 電話機認証文字列の入力
- 電話機認証文字列の確認
- CAPF の設定の参考情報
- Certificate Authority Proxy Function について
- Cisco Unified IP Phone と CAPF のインタラクション
- IPv6 アドレッシングとの CAPF のインタラクション
- CAPF システムのインタラクションおよび要件
- Cisco Unified サービスアビリティでの CAPF の設定
- CAPF の設定
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- サードパーティ CA 署名済み LSC の生成とインポート
- CAPF を使用した電話機からの証明書のインストール、アップグレード、トラブルシューティング、または削除
- CAPF の設定項目
- LSC ステータスまたは認証文字列による電話機の検索
- CAPF レポートの作成
- 電話機認証文字列の入力
- 電話機認証文字列の確認
- CAPF の設定の参考情報
Certificate Authority Proxy Function について
Certificate Authority Proxy Function(CAPF)は Cisco Unified Communications Manager とともに自動的にインストールされ、設定に応じて次のタスクを実行します。
既存の製造元でインストールされる証明書(MIC)、ローカルで有効な証明書(LSC)、ランダム生成された認証文字列、または安全性の低いオプションの「null」認証によって認証します。
電話機にある既存のローカルで有効な証明書をアップグレードします。
電話機の証明書を表示およびトラブルシューティングするために取得します。
インストール中に、CAPF に固有の証明書が生成されます。 Cisco CTL クライアントがクラスタ内のすべての Cisco Unified Communications Manager サーバにコピーする CAPF 証明書では、 .0 拡張子を使用します。
Cisco Unified IP Phone と CAPF のインタラクション
電話機は、CAPF とインタラクションするとき、認証文字列、既存の MIC または LSC 証明書、または「null」を使用して CAPF に対してそれ自体を認証し、公開キーと秘密キーのペアを生成し、署名付きメッセージで公開キーを CAPF サーバに転送します。 秘密キーはそのまま電話機に残り、外部に公開されることはありません。 CAPF は、電話機証明書に署名し、その証明書を署名付きメッセージで電話機に返送します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。 これらの値は設定することができません。
電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合にあたります。 証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。
ヒント
電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。
ヒント
キー生成の優先順位を低く設定すると、処理中に電話機を動作させることができます。 キー生成の完了には 30 分以上かかります。
証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。
次に、ユーザまたは Cisco Unified Communications Manager によって電話機がリセットされたときに CAPF が Cisco Unified IP Phone 7960G および 7940G とどのように相互に作用するかについて説明します。
(注)
次の例では、LSC が電話機内にまだ存在しない場合や、CAPF情報の [認証モード(Authentication Mode)] に [既存の証明書(By Existing Certificate)] が選択されている場合に、CAPF 証明書操作が失敗します。
例:非セキュアのデバイス セキュリティ モード
この例では、[デバイスセキュリティモード(Device Security Mode)] を [非セキュア(Nonsecure)] に、CAPF情報の [認証モード(Authentication Mode)] を [Null ストリング(By Null String)] または [既存の証明書(...の優先)(By Existing Certificate (Precedence...))] に設定した後に電話機がリセットされます。 電話機は、リセット後すぐにプライマリ Cisco Unified Communications Manager に登録し、設定ファイルを受け取ります。 次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。 LSC のインストール後、電話機は [デバイスセキュリティモード(Device Security Mode)] を [認証のみ(Authenticated)] または [暗号化(Encrypted)] に設定します。
例:認証のみまたは暗号化デバイス セキュリティ モード
この例では、[デバイスセキュリティモード(Device Security Mode)] を [認証のみ(Authenticated)] または [暗号化(Encrypted)] に、CAPF情報の [認証モード(Authentication Mode)] を [Nullストリング(By Null String)] または [既存の証明書(...の優先)(By Existing Certificate (Precedence...))] に設定した後に電話機がリセットされます。 CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco Unified Communications Manager に登録しません。 セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。
この例では、電話機は CAPF サーバに自動的に接続しないので、[認証ストリング(By Authentication String)] を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。
IPv6 アドレッシングとの CAPF のインタラクション
CAPF は、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話機に証明書を発行したり、アップグレードすることができます。 IPv6 アドレスを使用する SCCP が実行されている電話機に対して証明書を発行またはアップグレードするには Cisco Unified Communications Manager の管理ページで Enable IPv6 サービス パラメータを True に設定する必要があります。
電話機が CAPF に接続して証明書を取得すると、CAPF は Enable IPv6 エンタープライズ パラメータの設定を使用して、電話機に対して証明書を発行するか、アップグレードするかを決定します。 このエンタープライズ パラメータが False に設定されると、CAPF は、IPv6 アドレスを使用する電話機からの接続を無視または拒否し、電話機は証明書を受信しません。
次の表では、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話機で CAPF に接続する方法を説明しています。
CAPF システムのインタラクションおよび要件
CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。 CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
証明書のアップグレードまたはインストール操作で、電話機に対して CAPF 認証方式を [認証ストリング(By Authentication String)] にした場合、操作後に同じ認証文字列を電話機に入力する必要があります。入力しなかった場合、操作が失敗します。 TFTP 暗号化設定エンタープライズ パラメータが有効で、認証文字列を入力しなかった場合、電話機に障害が発生し、電話機に入力された認証文字列が一致するまで復帰しないことがあります。
スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。
Cisco Unified Communications Manager クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。
証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。
証明書操作の間、電話機が正しく機能していることを確認します。
保護された電話機が別のクラスタに移動された場合、 Cisco Unified Communications Manager はその電話機が送信する LSC 証明書を信頼しません。これは、その LSC 証明書が別の CAPF によって発行されたものであり、その CAPF の証明書が CTL ファイルに存在しないためです。 保護された電話機で登録できるようにするには、既存の CTL ファイルを削除します。 その後、[インストール/アップグレード(Install/Upgrade)] オプションを使用して、新しい CAPF で新しい LSC 証明書をインストールし、新しい CTL ファイルのために電話機をリセットできます(または MIC を使用できます)。 電話機を移動する前に既存の LSC を削除するには、[電話の設定(Phone Configuration)] ウィンドウの CAPF セクションで [削除(Delete)] オプションを使用します。
ヒント
Cisco IP Telephony Backup and Restore System(BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは Cisco Unified Communications Manager によって情報が Cisco Unified Communications Manager データベースに格納されるためです。
CAPF の設定
手順
ステップ 1 ローカルで有効な証明書が電話機に存在するかどうかを確認します。 CAPF データを Cisco Unified Communications Manager パブリッシャ データベース サーバにコピーする必要があるかどうかを確認します。 詳細については、ご使用の電話機モデルとこのバージョンの Cisco Unified Communications Manager をサポートする電話機の資料、およびこのバージョンの Cisco Unified Communications Manager をサポートする 『Data Migration Assistant User Guide』を参照してください。
ヒント Cisco Unified Communications Manager 4.0 で CAPF ユーティリティを使用していて、CAPF データが Cisco Unified Communications Manager データベースに存在することを確認した場合は、 Cisco Unified Communications Manager 4.0 で使用していた CAPF ユーティリティを削除できます。
ステップ 2 Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。
ヒント このサービスは、すべての CAPF 操作時に実行されている必要があります。 またこのサービスは、CTL ファイルに CAPF 証明書を組み込むために、Cisco CTL クライアントでも実行されている必要があります。 ステップ 3 Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。 CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。 ステップ 4 必要に応じて、CAPF サービス パラメータを更新します。 ステップ 5 電話機のローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、 Cisco Unified Communications Manager の管理ページを使用します。 ステップ 6 証明書の操作が必要な場合は、認証文字列を電話機に入力します。
関連タスク
関連資料
関連情報
Certificate Authority Proxy Function サービスのアクティブ化
手順Cisco Unified Communications Manager は、 Cisco Unified サービスアビリティで Certificate Authority Proxy Function を自動的にアクティブ化しません。
Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、CTL ファイルを更新する必要があります。 このサービスは、最初のノードでのみアクティブにします。
ステップ 1 Cisco Unified サービスアビリティで、 の順に選択します。 ステップ 2 [Servers] ドロップダウン リスト ボックスから、Certificate Authority Proxy Function サービスをアクティブにするサーバを選択します。 ステップ 3 [Certificate Authority Proxy Function] チェックボックスをオンにします。 ステップ 4 [Save] をクリックします。
関連タスク
関連情報
CAPF サービス パラメータの更新
手順CAPF サービスのパラメータを設定するウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数などの情報が表示されます。
CAPF サービス パラメータが、 Cisco Unified Communications Manager の管理ページでアクティブのステータスとして表示されるようにするには、Certificate Authority Proxy Function サービスをアクティブにする必要があります。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 を選択します。 ステップ 2 [サーバ(Server)] ドロップダウン リスト ボックスから、サーバを選択します。
ヒント クラスタ内の最初のノードを選択する必要があります。 ステップ 3 [サービス(Service)] ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。 ステップ 4 パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。
(注) CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。
ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
関連情報
サードパーティ CA 署名済み LSC の生成とインポート
手順CAPF LSC はローカルで署名されます。 ただし、電話機にサードパーティ CA 署名済み LSC を使用することを要求することはできます。
(注)
ステップ 1 と 2 を一度実行し、電話機の LSC 操作に必要なすべての設定を行うまで残りの手順を繰り返します。
ステップ 1 サードパーティ CA 証明書を Unified Communications Manager の信頼ストアにインポートします。 ステップ 2 次の手順に従って、サービス パラメータ [エンドポイントへの証明書発行者(Certificate Issuer to Endpoint)] を設定します。 ステップ 3 CSR 生成の進行状況を確認します。 電話機の再登録後、CLI コマンドの utils capf csr count を使用して、CSR が生成されているかどうかを確認します。 ステップ 4 CLI コマンドの utils capf csr dump を使用して、CSR を任意の場所(ローカル ディレクトリ、または FTP や TFTP を通じてリモート ディレクトリ)にダンプします。 アップロードする前に、CLI により、CSR が tar および zip 処理されて単一ファイル(.tgz)になります。 ステップ 5 CA によってすべての署名済み証明書を提供されている場合は、Linux コマンドの tar cvzf <filename.tgz> *.der を使用してすべての証明書を tar および zip 処理して単一ファイルにする必要があります。 ステップ 6 CLI コマンドの utils capf cert import を使用して証明書を Unified Communications Manager にインポートします。 CLI コマンドにより、ファイルが tar 解除され、各証明書が解析および検証されます。 証明書が有効である場合、電話機に送信され、対応する CSR が削除されます。
(注) インポートされる証明書は DER 形式である必要があり、フラットなファイル構造で tar 処理されている必要があります。
次の作業以前に作成してインポートした CSR と証明書をすべて削除するには、コマンド utils capf csr delete を使用できます。
CAPF を使用した電話機からの証明書のインストール、アップグレード、トラブルシューティング、または削除
手順
ステップ 1 『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従って、電話機を検索します。 ステップ 2 検索結果が表示された後、証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を見つけて、その電話機の [デバイス名(回線)(Device Name (Line))] リンクをクリックします。 ステップ 3 表 1 の説明に従って、設定項目を入力します。 ステップ 4 [保存(Save)] をクリックします。 ステップ 5 [リセット(Reset)] をクリックします。
関連情報
CAPF の設定項目
次の表に、 Cisco Unified Communications Manager の管理ページの [電話の設定(Phone Configuration)] ウィンドウにある CAPF の設定項目を示します。
表 2 CAPF の設定項目 ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
- [保留中の操作なし(No Pending Operation)]:証明書の操作が発生しないときに表示されます。 (デフォルトの設定)。
- [インストール/アップグレード(Install/Upgrade)]:電話機にローカルで有効な証明書を新しくインストールするか、あるいは既存の証明書をアップグレードします。
- [削除(Delete)]:電話機に存在するローカルで有効な証明書を削除します。
- [トラブルシューティング(Troubleshoot)]:ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)を元に戻して、CAPF トレース ファイルの認証証明書を表示できるようにします。 電話機に両方の証明書タイプが存在する場合、 Cisco Unified Communications Manager は、証明書のタイプごとに 1 つずつ、2 つのトレース ファイルを作成します。
ヒント [トラブルシューティング(Troubleshoot)] オプションを選択すると、LSC または MIC が電話機に存在することを確認できます。 電話機に証明書が存在しない場合、[削除(Delete)] オプションと [トラブルシューティング(Troubleshoot)] オプションは表示されません。 [認証ストリング(By Authentication String)] オプションを選択した場合に、このフィールドは適用されます。 文字列を手動で入力するか、あるいは [文字列を生成(Generate String)] ボタンをクリックして文字列を生成します。 文字列が 4 ~ 10 桁であることを確認してください。
ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、電話機のユーザまたは管理者が認証文字列を電話機に入力する必要があります。
CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。 4 ~ 10 桁の認証文字列が [認証文字列(Authentication String)] フィールドに表示されます。
このフィールドには、<operation type> pending、failed、successful などの証明書操作の進行状況が表示されます。操作のタイプは、[インストール/アップグレード(Install/Upgrade)]、[削除(Delete)]、または [トラブルシューティング(Troubleshoot)] の証明書操作オプションに対応します。 このフィールドに表示される情報は変更できません。
関連タスク
LSC ステータスまたは認証文字列による電話機の検索
手順
ステップ 1 Cisco Unified Communications Manager の管理ページで、 の順に選択します。 検索/一覧表示ウィンドウが表示されます。 ウィンドウには、アクティブな(前の)クエリーのレコードが表示される場合もあります。
ステップ 2 最初のドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 ステップ 3 2 番めのドロップダウン リスト ボックスで、検索パターンを選択します。 ステップ 4 必要に応じて、適切な検索テキストを指定します。
(注) 別の検索条件を追加するには、[+] ボタンをクリックします。 条件を追加した場合は、指定したすべての条件に一致するレコードが検索されます。 条件を削除するには、[-] ボタンをクリックして、最後に追加された条件を削除するか、または [フィルタのクリア(Clear Filter)] ボタンをクリックして、追加されたすべての検索条件を削除します。
ステップ 5 [検索(Find)] をクリックします。 一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 6 表示されたレコード リストから、目的のレコードのリンクをクリックします。
(注) ソート順を逆にするには、リストのヘッダーにある上矢印または下矢印をクリックします(使用可能な場合)。
選択した項目がウィンドウに表示されます。
関連情報
CAPF レポートの作成
手順必要に応じて CAPF レポートを生成し、証明書操作のステータス、認証文字列、セキュリティ プロファイル、認証モードなどを表示できます。 レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどが含まれます。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 を選択します。 検索/一覧表示ウィンドウが表示されます。 ウィンドウには、アクティブな(前の)クエリーのレコードが表示される場合もあります。
ステップ 2 データベース内のすべてのレコードを検索するには、ダイアログボックスが空になっていることを確認し、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。
ステップ 3 [検索(Find)] をクリックします。 一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 4 [関連リンク] ドロップダウン リスト ボックスで、[ファイルでのCAPFレポート] を選択し、[移動] をクリックします。 ステップ 5 ファイルを任意の場所に保存します。 ステップ 6 Microsoft Excel を使用して .csv ファイルを開きます。
関連情報
電話機認証文字列の入力
手順認証ストリング モードを選択して認証文字列を生成した場合、ローカルで有効な証明書をインストールするには、電話機に認証文字列を入力する必要があります。
ヒント
認証文字列は 1 回の使用に限って適用されます。 [電話の設定(Phone Configuration)] ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。
ステップ 1 電話機の [設定] ボタンを押します。 ステップ 2 設定がロックされている場合は、[**#](アスタリスク、アスタリスク、ポンド記号)を押してロック解除します。 ステップ 3 [設定] メニューまでスクロールダウンします。 「セキュリティ設定」を強調表示して、[選択] ソフトキーを押します。 ステップ 4 [セキュリティ設定] メニューまでスクロールダウンします。 「LSC」を強調表示して、[更新] ソフトキーを押します。 ステップ 5 認証文字列の入力を要求するプロンプトが表示された場合、システムから提供された文字列を入力して [送信] ソフトキーを押します。 電話機は現在の CAPF の設定に応じて、証明書をインストール、更新、削除、または取得します。
電話機に表示されるメッセージを確認すると、証明書の操作の進捗をモニタすることができます。 [送信] を押すと、LSC オプションの下に「処理中」というメッセージが表示されます。 電話機は、公開キーと秘密キーのペアを生成し、情報を電話機に表示します。 電話機が正常に手順を完了すると、成功したことを示すメッセージが電話機に表示されます。 電話機に失敗のメッセージが表示されるのは、誤った認証文字列を入力したか、電話機のアップグレードを有効にしなかった場合です。
[中止] オプションを選択すると、いつでも手順を停止できます。
関連情報