この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、CTI、JTAPI、および TAPI アプリケーションを保護する方法について簡単に説明します。 また、CTI、TAPI、および JTAPI アプリケーションの認証と暗号化を設定するために、 Cisco Unified Communications Manager の管理ページで実行する必要がある作業についても説明します。
このマニュアルでは、 Cisco Unified Communications Manager の管理ページで使用できる Cisco JTAPI または TSP プラグインのインストール方法や、インストール中にセキュリティ パラメータを設定する方法については説明しません。 同じく、このマニュアルでは、CTI で制御するデバイスまたは回線に制限を設定する方法も説明しません。
Cisco Unified Communications Manager を使用して、CTIManager と、 CTI/JTAPI/TAPI アプリケーションとの間のシグナリング接続およびメディア ストリームを保護できます。
(注) |
次の情報は、Cisco JTAPI/TSP プラグインのインストール中にセキュリティ設定を定義したことを前提としています。 また、Cisco CTL クライアントで設定するか、CLI コマンド セットの utils ctl を通じて設定されたとおり、クラスタ セキュリティ モードが混合モードに等しいことも前提しています。 この章で説明する作業を実行するときにこれらの設定が定義されていない場合、CTIManager とアプリケーションは非セキュア ポートであるポート 2748 で接続されます。 |
CTIManager およびアプリケーションは、相互に認証された TLS ハンドシェイク(証明書交換)によって他方の ID を確認します。 TLS 接続が確立されると、CTIManager およびアプリケーションは、TLS ポート 2749 を介して QBE メッセージを交換します。
アプリケーションとの相互認証を行うために、CTIManager は、 Cisco Unified Communications Manager の証明書(インストール時に Cisco Unified Communications Manager サーバに自動的にインストールされる自己署名証明書、またはプラットフォームにアップロードされたサードパーティの CA 署名付き証明書)を使用します。
CLI コマンド セットの utils ctl または Cisco CTL クライアントを通じて CTL ファイルを生成すると、この証明書は CTL ファイルに自動的に追加されます。 アプリケーションは、CTIManager への接続を試行する前に、TFTP サーバから CTL ファイルをダウンロードします。
JTAPI/TSP クライアントは、初めて CTL ファイルを TFTP サーバからダウンロードするときに CTL ファイルを信頼します。 JTAPI/TSP クライアントは CTL ファイルを検証しないため、ダウンロードはセキュアな環境で実行することを強く推奨します。 後続の CTL ファイルのダウンロードは、JTAPI/TSP クライアントで確認されます。たとえば、CTL ファイルの更新後、JTAPI/TSP クライアントは CTL ファイルのセキュリティ トークンを使用して、ダウンロードした新しい CTL ファイルのデジタル署名を認証します。 ファイルの内容は、 Cisco Unified Communications Manager 証明書と CAPF サーバ証明書です。
CTL ファイルが侵害されていると判断された場合、JTAPI/TSP クライアントはダウンロードした CTL ファイルを置き換えません。クライアントはエラーをログに記録し、既存の CTL ファイルにある古い証明書を使用して、TLS 接続の確立を試行します。 CTL ファイルが変更または侵害されている場合、正常に接続できない可能性があります。 CTL ファイルのダウンロードに失敗し、複数の TFTP サーバが存在する場合は、ファイルをダウンロードするように別の TFTP サーバを設定します。 JTAPI/TAPI クライアントは、次の条件下ではどのポートにも接続しません。
何らかの理由でクライアントが CTL ファイルをダウンロードできない(CTL ファイルが存在しないなど)。
クライアントに既存の CTL ファイルがない。
アプリケーション ユーザをセキュア CTI ユーザとして設定した。
CTIManager との認証を行うために、アプリケーションは Certificate Authority Proxy Function(CAPF)が発行する証明書を使用します。 アプリケーションと CTIManager とのすべての接続で TLS を使用するには、アプリケーション PC で実行されるインスタンスごとに一意の証明書が必要です。 1 つの証明書ですべてのインスタンスがカバーされるわけではありません。 Cisco IP Manager Assistant サービスを実行しているノードに証明書がインストールされるようにするには、表 1の説明に従い、 Cisco Unified Communications Manager の管理ページでそれぞれのアプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルに一意のインスタンス ID を設定します。
ヒント |
アプリケーションをある PC からアンインストールして別の PC にインストールする場合、新しい PC の各インスタンスに対して新しい証明書をインストールする必要があります。 |
また、アプリケーションの TLS を有効にするには、 Cisco Unified Communications Manager の管理ページでアプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加する必要があります。 ユーザをこのグループに追加し、証明書をインストールすると、アプリケーションはユーザを TLS ポート経由で接続します。
アプリケーションと CTIManager の間のメディア ストリームを安全にするには、 Cisco Unified Communications Manager の管理ページでアプリケーション ユーザまたはエンド ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加します。 これらのユーザが Standard CTI Secure Connection ユーザ グループにも存在する場合や、クラスタ セキュリティ モードが混合モードと等しい場合、CTIManager はアプリケーションとの TLS 接続を確立し、メディア イベント内でアプリケーションにキー関連情報を提供します。
(注) |
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
アプリケーションは SRTP キー関連情報を記録または格納しませんが、キー関連情報を使用して RTP ストリームを暗号化し、CTIManager からの SRTP ストリームを復号化します。
何らかの理由でアプリケーションが非セキュア ポートであるポート 2748 に接続した場合、CTIManager はキー関連情報を送信しません。 制限を設定しなかったために CTI/JTAPI/TAPI がデバイスまたはディレクトリ メンバーをモニタまたは制御できない場合、CTIManager はキー関連情報を送信しません。
ヒント |
アプリケーションで SRTP セッション キーを受信するには、アプリケーション ユーザまたはエンド ユーザが Standard CTI Enabled、Standard CTI Secure Connection、および Standard CTI Allow Reception of SRTP Key Material の 3 つのグループに存在する必要があります。 |
Cisco Unified Communications Manager は、CTI ポートおよびルート ポイントで送受信されるセキュア コールを円滑にしますが、アプリケーションがメディア パラメータを処理するため、アプリケーションがセキュア コールをサポートするように設定する必要があります。
CTI ポートやルート ポイントは、ダイナミック登録またはスタティック登録で登録されます。 ポートやルート ポイントがダイナミック登録を使用する場合、メディア パラメータはコールごとに指定されます。スタティック登録の場合、メディア パラメータは登録時に指定され、コールごとに変更することはできません。 CTI ポートやルート ポイントが TLS 接続を介して CTIManager に登録される場合、デバイスは安全に登録されます。このとき、アプリケーションが有効な暗号化アルゴリズムを使用し、相手がセキュアであれば、メディアは SRTP で暗号化されます。
CTI アプリケーションが、すでに確立されているコールのモニタを開始するとき、アプリケーションは RTP イベントを受信しません。 確立されたコールに対して、CTI アプリケーションは、コールのメディアがセキュアか非セキュアかを定義する DeviceSnapshot イベントを提供します。このイベントには、キー関連情報は含まれません。
Certificate Authority Proxy Function(CAPF)は Cisco Unified Communications Manager とともに自動的にインストールされ、設定に応じて次の CTI/TAPI/TAPI アプリケーション用のタスクを実行します。
認証文字列によって JTAPI/TSP クライアントを認証します。
CTI/JTAPI/TAPI アプリケーション ユーザまたはエンド ユーザに、ローカルで有効な証明書(LSC)を発行します。
既存のローカルで有効な証明書をアップグレードします。
証明書を表示およびトラブルシューティングするために取得します。
JTAPI/TSP クライアントが CAPF と相互に作用するとき、クライアントは認証文字列を使用して CAPF を認証します。次に、クライアントは公開キーと秘密キーのペアを生成し、署名付きメッセージで公開キーを CAPF サーバに転送します。 秘密キーはそのままクライアントに残り、外部に公開されることはありません。 CAPF は、証明書に署名し、その証明書を署名付きメッセージでクライアントに返送します。
[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile Configuration)] ウィンドウまたは [エンドユーザCAPFプロファイルの設定(End User CAPF Profile Configuration)] ウィンドウで設定項目を設定し、それぞれ、アプリケーション ユーザまたはエンド ユーザに証明書を発行します。 次に、 Cisco Unified Communications Manager がサポートする CAPF プロファイル間の違いについて説明します。
アプリケーション ユーザ CAPF プロファイル:このプロファイルを使用すると、ローカルで有効な証明書を発行して、アプリケーション ユーザの安全を確保することができます。これによって、CTIManager サービスとアプリケーションの間で TLS 接続が開かれます。
1 つのアプリケーション ユーザ CAPF プロファイルが、サーバのサービスまたはアプリケーションの 1 つのインスタンスに対応します。 同じサーバで複数の Web サービスまたはアプリケーションをアクティブにする場合は、サーバのサービスごとに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。
クラスタ内の 2 つのサーバでサービスまたはアプリケーションをアクティブにする場合は、サーバごとに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。
エンド ユーザ CAPF プロファイル:このプロファイルを使用すると、CTI クライアントにローカルで有効な証明書を発行することができます。これによって、CTI クライアントが TLS 接続を介して CTIManager サービスと通信できるようになります。
ヒント |
JTAPI クライアントは LSC を Java Key Store 形式で、JTAPI の初期設定ウィンドウで設定したパスに格納します。 TSP クライアントは LSC を暗号化形式で、デフォルト ディレクトリまたは設定したパスに格納します。 |
次の情報は、通信または電源の障害が発生した場合に適用されます。
証明書をインストールしているときに通信障害が発生すると、JTAPI クライアントは 30 秒間隔であと 3 回、証明書を取得しようとします。 この値は設定することができません。
TSP クライアントの場合は、再試行回数と再試行タイマーを設定できます。 これらの値は、TSP クライアントが一定の時間内に証明書の取得を試行する回数を指定することで設定します。 どちらの値も、デフォルトは 0 です。 最大 3 回の再試行回数を設定でき、1(1 回だけ再試行)、2、または 3 を指定します。 それぞれについて、再試行の時間を 30 秒以下で設定できます。
JTAPI/TSP クライアントが CAPF とのセッションを試行している間に電源障害が発生した場合、クライアントは電源が復帰した後で、証明書のダウンロードを試行します。
アプリケーション ユーザ CAPF プロファイルおよびエンド ユーザ CAPF プロファイルを設定する前に、Cisco CTL クライアントをインストールして設定するために必要なすべての作業を実行したことを確認します。 [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウの Cluster Security Mode が 1(混合モード)であることを確認してください。
同時に多数の証明書が生成されると、コール処理が中断される場合があるため、スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。
証明書操作の間、CTI/JTAPI/TAPI アプリケーションが正しく機能していることを確認します。
Standard CTI Secure Connection ユーザ グループおよび Standard CTI Allow Reception of SRTP Key Material ユーザ グループは、デフォルトで Cisco Unified Communications Manager の管理ページに表示されます。 これらのグループは削除できません。
CTIManager へのユーザ接続の安全を確保にするには、アプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加する必要があります。 CTI アプリケーションは、アプリケーション ユーザまたはエンド ユーザに割り当てることができますが、両方に割り当てることはできません。
アプリケーションおよび CTIManager でメディア ストリームを保護するには、アプリケーション ユーザまたはエンド ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加する必要があります。
アプリケーション ユーザおよびエンド ユーザが SRTP を使用する前に、そのユーザが Standard CTI Enabled ユーザ グループおよび Standard CTI Secure Connection ユーザ グループに存在している必要があります。これが、TLS の基本設定になります。 SRTP 接続には TLS が必要です。 ユーザがこれらのグループに存在する場合、ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加できます。 アプリケーションで SRTP セッション キーを受信するには、アプリケーション ユーザまたはエンド ユーザが Standard CTI Enabled、Standard CTI Secure Connection、および Standard CTI Allow Reception of SRTP Key Material の 3 つのグループに存在する必要があります。
Cisco Unified Communications Manager Assistant、Cisco QRT、および Cisco WebDialer は暗号化をサポートしないため、アプリケーション ユーザである CCMQRTSecureSysUser、IPMASecureSysUser、および WDSecureSysUser を Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加する必要はありません。
ヒント |
ユーザ グループからのアプリケーション ユーザまたはエンド ユーザの削除については、 『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 [権限の設定(Role Configuration)] ウィンドウでのセキュリティ関連の設定については、 『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 |
ステップ 1 | Cisco Unified Communications Manager の管理ページで、 の順に選択します。 |
ステップ 2 | すべてのユーザ グループを表示するには、[検索(Find)] をクリックします。 |
ステップ 3 |
目的に応じて、次のいずれかを実行します。
|
ステップ 4 | アプリケーション ユーザをグループに追加するには、ステップ 5 ~ステップ 7 を実行します。 |
ステップ 5 | [グループにアプリケーションユーザを追加(Add Application Users to Group)] ボタンをクリックします。 |
ステップ 6 |
アプリケーション ユーザを検索するには、検索条件を指定し、[検索(Find)] をクリックします。 検索条件を指定せずに [検索(Find)] をクリックすると、使用可能なすべてのオプションが表示されます。 |
ステップ 7 |
グループに追加するアプリケーション ユーザのチェックボックスをオンにして、[選択項目の追加(Add Selected)] をクリックします。 [ユーザグループ(User Group)] ウィンドウにユーザが表示されます。 |
ステップ 8 | エンド ユーザをグループに追加するには、ステップ 9 ~ステップ 11 を実行します。 |
ステップ 9 | [グループにユーザを追加(Add Users to Group)] ボタンをクリックします。 |
ステップ 10 |
エンド ユーザを検索するには、検索条件を指定し、[検索(Find)] をクリックします。 検索条件を指定せずに [検索(Find)] をクリックすると、使用可能なすべてのオプションが表示されます。 |
ステップ 11 |
グループに追加するエンド ユーザのチェックボックスをオンにして、[選択項目の追加(Add Selected)] をクリックします。 [ユーザグループ(User Group)] ウィンドウにユーザが表示されます。 |
Cisco Unified Communications Manager は、 Cisco Unified サービスアビリティで Certificate Authority Proxy Function を自動的にアクティブ化しません。
CAPF 機能を使用するには、最初のノードでこのサービスをアクティブ化する必要があります。
Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、CTL ファイルを更新する必要があります。
Cisco Certificate Authority Proxy Function サービスをアクティブ化すると、CAPF に固有のキー ペアおよび証明書が CAPF によって自動生成されます。 CAPF 証明書は、Cisco CTL クライアントによってスタンドアロン サーバまたはクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。 CAPF 証明書が存在することを確認するには、 Cisco Unified Communications オペレーティング システムの GUI で CAPF 証明書を表示します。
CAPF サービスのパラメータを設定するウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数、キーのサイズなどの情報が表示されます。
Cisco Unified Communications Manager の管理ページに CAPF サービス パラメータがアクティブとして表示されるようにするには、 Cisco Unified サービスアビリティで Certificate Authority Proxy Function サービスをアクティブにする必要があります。
ヒント |
電話機で CAPF を使用したときに CAPF サービス パラメータを更新した場合は、ここでサービス パラメータを更新する必要はありません。 |
ステップ 1 | Cisco Unified Communications Manager の管理ページで、 を選択します。 | ||
ステップ 2 |
[サーバ(Server)] ドロップダウン リスト ボックスから、サーバを選択します。
|
||
ステップ 3 | [サービス(Service)] ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。 サービス名の横に「Active」と表示されていることを確認します。 | ||
ステップ 4 | ヘルプの説明に従って、CAPF サービス パラメータを更新します。 CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。 | ||
ステップ 5 | 変更内容を有効にするには、 Cisco Unified サービスアビリティで Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。 |
ステップ 1 |
Cisco Unified Communications Manager の管理ページで、アクセスするプロファイルに応じて、次のオプションのいずれかを選択します。
|
||
ステップ 2 |
データベース内のすべてのレコードを検索するには、ダイアログボックスが空になっていることを確認し、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。 |
||
ステップ 3 |
[検索(Find)] をクリックします。 一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。 |
||
ステップ 4 |
表示されたレコード リストから、目的のレコードのリンクをクリックします。
選択した項目がウィンドウに表示されます。 |
JTAPI/TAPI/CTI アプリケーションのローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合は、表 1を参照してください。
ヒント |
エンド ユーザ CAPF プロファイルを設定する前に、アプリケーション ユーザ CAPF プロファイルを設定することをお勧めします。 |
ステップ 1 |
Cisco Unified Communications Manager の管理ページで、次のいずれかのオプションを選択します。
|
ステップ 2 |
次のいずれかの手順を実行します。
|
ステップ 3 | 適切な設定値を入力します(表 1を参照)。 |
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 5 | セキュリティを使用するアプリケーション ユーザおよびエンド ユーザごとに、この手順を繰り返します。 |
[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile)] ウィンドウで CCMQRTSecureSysUser、IPMASecureSysUser、または WDSecureSysUser を設定する場合は、サービス パラメータを設定する必要があります。
次の表に、[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile Configuration)] ウィンドウと [エンドユーザCAPFプロファイルの設定(End User CAPF Profile Configuration)] ウィンドウでの CAPF 設定項目を示します。
ドロップダウン リスト ボックスから、CAPF オペレーション用のアプリケーション ユーザを選択します。これによって、設定されたアプリケーション ユーザが表示されます。 この設定は、[エンドユーザCAPFプロファイルの設定(End User CAPF Profile)] ウィンドウには表示されません。 |
|
ドロップダウン リスト ボックスから、CAPF オペレーション用のエンド ユーザを選択します。 これによって、設定されたエンド ユーザが表示されます。 この設定は、[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile)] ウィンドウには表示されません。 |
|
1 ~ 128 字の英数字(a ~z、A ~ Z、0 ~ 9)を入力します。 インスタンス ID は、証明書操作のためユーザを識別します。 1 つのアプリケーションに対して複数の接続(インスタンス)を設定できます。アプリケーションと CTIManager との接続の安全を確保するには、アプリケーション PC(エンド ユーザの場合)またはサーバ(アプリケーション ユーザの場合)で実行されるインスタンスごとに一意の証明書があることを確認します。 このフィールドは、Web サービスおよびアプリケーションをサポートする CAPF Profile Instance ID for Secure Connection to CTIManager サービス パラメータに関連しています。 |
|
証明書のインストールまたはアップグレード操作の認証モードは [認証ストリング(By Authentication String)] です。これは、ユーザまたは管理者が JTAPI/TSP の初期設定ウィンドウで CAPF 認証文字列を入力したときにだけ、ローカルで有効な証明書がインストール、アップグレード、またはトラブルシューティングされることを意味します。 |
|
一意の文字列を手動で入力するか、あるいは [文字列を生成(Generate String)] ボタンをクリックして文字列を生成します。 ローカルで有効な証明書をインストールまたはアップグレードするには、アプリケーション PC の JTAPI/TSP の初期設定ウィンドウで、管理者が認証文字列を入力する必要があります。 この文字列は、1 回だけ使用できます。あるインスタンスに文字列を使用した場合、その文字列をもう一度使用することはできません。 |
|
CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。 4 ~ 10 桁の認証文字列が [認証文字列(Authentication String)] フィールドに表示されます。 |
|
ドロップダウン リスト ボックスから、証明書のキーのサイズを選択します。 デフォルト設定は 1024 です。 キー サイズのその他のオプションは 512 です。 キー生成を低いプライオリティで設定すると、アクションの実行中もアプリケーションの機能を利用できます。 キー生成が完了するまで、30 分以上の時間がかかることがあります。 |
|
このフィールドは、すべての証明書操作をサポートし、操作を完了する必要がある期限の日付と時刻を指定します。 この設定は、証明書操作を完了する必要があるデフォルトの日数を指定する CAPF Operation Expires in (days) エンタープライズ パラメータとともに使用します。 このパラメータはいつでも更新できます。 |
|
ここでは、アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを Cisco Unified Communications Manager データベースから削除する方法を説明します。
Cisco Unified Communications Manager の管理ページでアプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、該当プロファイルを使用するすべてのデバイスを削除してください。 該当プロファイルを使用しているデバイスを検索するには、セキュリティ プロファイルの設定ウィンドウの [関連リンク(Related Links)] ドロップダウン リスト ボックスから [依存関係レコード(Dependency Records)] を選択して、[移動(Go)] をクリックします。
システムで依存関係レコード機能が有効になっていない場合は、レコードの [依存関係レコード要約(Dependency Records Summary)] ウィンドウに、依存関係レコードを有効にすると実行できるアクションを示すメッセージが表示されます。また、依存関係レコード機能を使用すると、CPU 使用率が高くなるという情報も表示されます。 BFCP の詳細については、 『Cisco Unified Communications Manager System Guide』を参照してください。
ステップ 1 | アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを検索します。 |
ステップ 2 |
次のいずれかの手順を実行します。
|
ステップ 3 | 削除操作の確認を要求するプロンプトが表示されたら、[OK] をクリックして削除するか、[キャンセル(Cancel)] をクリックして削除操作を取り消します。 |
アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを設定した後、Cisco IP Manager Assistant サービスに対して、次のサービス パラメータを設定する必要があります。
ステップ 1 | Cisco Unified Communications Manager の管理ページで、 を選択します。 |
ステップ 2 | [サーバ(Server)] ドロップダウン リスト ボックスから、Cisco IP Manager Assistant サービスがアクティブになっているサーバを選択します。 |
ステップ 3 | [サービス(Server)] ドロップダウン リスト ボックスから、Cisco IP Manager Assistant サービスを選択します。 |
ステップ 4 | パラメータが表示されたら、CTIManager Connection Security Flag パラメータおよび CAPF Profile Instance ID for Secure Connection to CTIManager パラメータを見つけます。 |
ステップ 5 | 疑問符またはパラメータ名リンクをクリックすると表示されるヘルプの説明に従い、パラメータを更新します。 |
ステップ 6 | [保存(Save)] をクリックします。 |
ステップ 7 | サービスがアクティブになっているサーバごとに、この手順を繰り返します。 |
特定の [アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile Configuration)] ウィンドウおよび [エンドユーザCAPFプロファイルの設定(End User CAPF Profile Configuration)] ウィンドウ(検索/一覧表示ウィンドウではありません)、または JTAPI/TSP の初期設定ウィンドウで、証明書操作のステータスを表示できます。
目次
- CTI、JTAPI、および TAPI の認証と暗号化の設定
- CTI、JTAPI、および TAPI アプリケーションの認証
- CTI、JTAPI、および TAPI アプリケーションの暗号化
- CTI、JTAPI、および TAPI アプリケーションに対する CAPF の機能
- CTI、JTAPI、および TAPI アプリケーションに対する CAPF システムのインタラクションおよび要件
- CTI、JTAPI、および TAPI の保護
- セキュリティ関連ユーザ グループへのアプリケーション ユーザとエンド ユーザの追加
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- アプリケーション ユーザまたはエンド ユーザの CAPF プロファイルの検索
- アプリケーション ユーザまたはエンド ユーザの CAPF プロファイルの設定
- CAPF の設定項目
- アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルの削除
- JTAPI および TAPI セキュリティ関連サービス パラメータの設定
- アプリケーション ユーザまたはエンド ユーザの証明書操作ステータスの表示
- CTI、JTAPI、および TAPI 認証の参考情報
この章では、CTI、JTAPI、および TAPI アプリケーションを保護する方法について簡単に説明します。 また、CTI、TAPI、および JTAPI アプリケーションの認証と暗号化を設定するために、 Cisco Unified Communications Manager の管理ページで実行する必要がある作業についても説明します。
このマニュアルでは、 Cisco Unified Communications Manager の管理ページで使用できる Cisco JTAPI または TSP プラグインのインストール方法や、インストール中にセキュリティ パラメータを設定する方法については説明しません。 同じく、このマニュアルでは、CTI で制御するデバイスまたは回線に制限を設定する方法も説明しません。
- CTI、JTAPI、および TAPI アプリケーションの認証
- CTI、JTAPI、および TAPI アプリケーションの暗号化
- CTI、JTAPI、および TAPI アプリケーションに対する CAPF の機能
- CTI、JTAPI、および TAPI アプリケーションに対する CAPF システムのインタラクションおよび要件
- CTI、JTAPI、および TAPI の保護
- セキュリティ関連ユーザ グループへのアプリケーション ユーザとエンド ユーザの追加
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- アプリケーション ユーザまたはエンド ユーザの CAPF プロファイルの検索
- アプリケーション ユーザまたはエンド ユーザの CAPF プロファイルの設定
- CAPF の設定項目
- アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルの削除
- JTAPI および TAPI セキュリティ関連サービス パラメータの設定
- アプリケーション ユーザまたはエンド ユーザの証明書操作ステータスの表示
- CTI、JTAPI、および TAPI 認証の参考情報
CTI、JTAPI、および TAPI アプリケーションの認証
Cisco Unified Communications Manager を使用して、CTIManager と、 CTI/JTAPI/TAPI アプリケーションとの間のシグナリング接続およびメディア ストリームを保護できます。
(注)
次の情報は、Cisco JTAPI/TSP プラグインのインストール中にセキュリティ設定を定義したことを前提としています。 また、Cisco CTL クライアントで設定するか、CLI コマンド セットの utils ctl を通じて設定されたとおり、クラスタ セキュリティ モードが混合モードに等しいことも前提しています。 この章で説明する作業を実行するときにこれらの設定が定義されていない場合、CTIManager とアプリケーションは非セキュア ポートであるポート 2748 で接続されます。
CTIManager およびアプリケーションは、相互に認証された TLS ハンドシェイク(証明書交換)によって他方の ID を確認します。 TLS 接続が確立されると、CTIManager およびアプリケーションは、TLS ポート 2749 を介して QBE メッセージを交換します。
アプリケーションとの相互認証を行うために、CTIManager は、 Cisco Unified Communications Manager の証明書(インストール時に Cisco Unified Communications Manager サーバに自動的にインストールされる自己署名証明書、またはプラットフォームにアップロードされたサードパーティの CA 署名付き証明書)を使用します。
CLI コマンド セットの utils ctl または Cisco CTL クライアントを通じて CTL ファイルを生成すると、この証明書は CTL ファイルに自動的に追加されます。 アプリケーションは、CTIManager への接続を試行する前に、TFTP サーバから CTL ファイルをダウンロードします。
JTAPI/TSP クライアントは、初めて CTL ファイルを TFTP サーバからダウンロードするときに CTL ファイルを信頼します。 JTAPI/TSP クライアントは CTL ファイルを検証しないため、ダウンロードはセキュアな環境で実行することを強く推奨します。 後続の CTL ファイルのダウンロードは、JTAPI/TSP クライアントで確認されます。たとえば、CTL ファイルの更新後、JTAPI/TSP クライアントは CTL ファイルのセキュリティ トークンを使用して、ダウンロードした新しい CTL ファイルのデジタル署名を認証します。 ファイルの内容は、 Cisco Unified Communications Manager 証明書と CAPF サーバ証明書です。
CTL ファイルが侵害されていると判断された場合、JTAPI/TSP クライアントはダウンロードした CTL ファイルを置き換えません。クライアントはエラーをログに記録し、既存の CTL ファイルにある古い証明書を使用して、TLS 接続の確立を試行します。 CTL ファイルが変更または侵害されている場合、正常に接続できない可能性があります。 CTL ファイルのダウンロードに失敗し、複数の TFTP サーバが存在する場合は、ファイルをダウンロードするように別の TFTP サーバを設定します。 JTAPI/TAPI クライアントは、次の条件下ではどのポートにも接続しません。
何らかの理由でクライアントが CTL ファイルをダウンロードできない(CTL ファイルが存在しないなど)。
クライアントに既存の CTL ファイルがない。
アプリケーション ユーザをセキュア CTI ユーザとして設定した。
CTIManager との認証を行うために、アプリケーションは Certificate Authority Proxy Function(CAPF)が発行する証明書を使用します。 アプリケーションと CTIManager とのすべての接続で TLS を使用するには、アプリケーション PC で実行されるインスタンスごとに一意の証明書が必要です。 1 つの証明書ですべてのインスタンスがカバーされるわけではありません。 Cisco IP Manager Assistant サービスを実行しているノードに証明書がインストールされるようにするには、表 1の説明に従い、 Cisco Unified Communications Manager の管理ページでそれぞれのアプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルに一意のインスタンス ID を設定します。
ヒント
アプリケーションをある PC からアンインストールして別の PC にインストールする場合、新しい PC の各インスタンスに対して新しい証明書をインストールする必要があります。
また、アプリケーションの TLS を有効にするには、 Cisco Unified Communications Manager の管理ページでアプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加する必要があります。 ユーザをこのグループに追加し、証明書をインストールすると、アプリケーションはユーザを TLS ポート経由で接続します。
関連資料
関連情報
CTI、JTAPI、および TAPI アプリケーションの暗号化
ヒント
認証は暗号化の最小要件です。つまり、認証を設定していなければ暗号化を使用できません。
Cisco Unified Communications Manager Assistant、Cisco QRT、および Cisco Web Dialer は、暗号化をサポートしません。 CTIManager サービスに接続する CTI クライアントは、クライアントが音声パケットを送信する場合、暗号化をサポートすることがあります。
アプリケーションと CTIManager の間のメディア ストリームを安全にするには、 Cisco Unified Communications Manager の管理ページでアプリケーション ユーザまたはエンド ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加します。 これらのユーザが Standard CTI Secure Connection ユーザ グループにも存在する場合や、クラスタ セキュリティ モードが混合モードと等しい場合、CTIManager はアプリケーションとの TLS 接続を確立し、メディア イベント内でアプリケーションにキー関連情報を提供します。
(注)
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
アプリケーションは SRTP キー関連情報を記録または格納しませんが、キー関連情報を使用して RTP ストリームを暗号化し、CTIManager からの SRTP ストリームを復号化します。
何らかの理由でアプリケーションが非セキュア ポートであるポート 2748 に接続した場合、CTIManager はキー関連情報を送信しません。 制限を設定しなかったために CTI/JTAPI/TAPI がデバイスまたはディレクトリ メンバーをモニタまたは制御できない場合、CTIManager はキー関連情報を送信しません。
ヒント
アプリケーションで SRTP セッション キーを受信するには、アプリケーション ユーザまたはエンド ユーザが Standard CTI Enabled、Standard CTI Secure Connection、および Standard CTI Allow Reception of SRTP Key Material の 3 つのグループに存在する必要があります。
Cisco Unified Communications Manager は、CTI ポートおよびルート ポイントで送受信されるセキュア コールを円滑にしますが、アプリケーションがメディア パラメータを処理するため、アプリケーションがセキュア コールをサポートするように設定する必要があります。
CTI ポートやルート ポイントは、ダイナミック登録またはスタティック登録で登録されます。 ポートやルート ポイントがダイナミック登録を使用する場合、メディア パラメータはコールごとに指定されます。スタティック登録の場合、メディア パラメータは登録時に指定され、コールごとに変更することはできません。 CTI ポートやルート ポイントが TLS 接続を介して CTIManager に登録される場合、デバイスは安全に登録されます。このとき、アプリケーションが有効な暗号化アルゴリズムを使用し、相手がセキュアであれば、メディアは SRTP で暗号化されます。
CTI アプリケーションが、すでに確立されているコールのモニタを開始するとき、アプリケーションは RTP イベントを受信しません。 確立されたコールに対して、CTI アプリケーションは、コールのメディアがセキュアか非セキュアかを定義する DeviceSnapshot イベントを提供します。このイベントには、キー関連情報は含まれません。
CTI、JTAPI、および TAPI アプリケーションに対する CAPF の機能
Certificate Authority Proxy Function(CAPF)は Cisco Unified Communications Manager とともに自動的にインストールされ、設定に応じて次の CTI/TAPI/TAPI アプリケーション用のタスクを実行します。
認証文字列によって JTAPI/TSP クライアントを認証します。
CTI/JTAPI/TAPI アプリケーション ユーザまたはエンド ユーザに、ローカルで有効な証明書(LSC)を発行します。
既存のローカルで有効な証明書をアップグレードします。
証明書を表示およびトラブルシューティングするために取得します。
JTAPI/TSP クライアントが CAPF と相互に作用するとき、クライアントは認証文字列を使用して CAPF を認証します。次に、クライアントは公開キーと秘密キーのペアを生成し、署名付きメッセージで公開キーを CAPF サーバに転送します。 秘密キーはそのままクライアントに残り、外部に公開されることはありません。 CAPF は、証明書に署名し、その証明書を署名付きメッセージでクライアントに返送します。
[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile Configuration)] ウィンドウまたは [エンドユーザCAPFプロファイルの設定(End User CAPF Profile Configuration)] ウィンドウで設定項目を設定し、それぞれ、アプリケーション ユーザまたはエンド ユーザに証明書を発行します。 次に、 Cisco Unified Communications Manager がサポートする CAPF プロファイル間の違いについて説明します。
アプリケーション ユーザ CAPF プロファイル:このプロファイルを使用すると、ローカルで有効な証明書を発行して、アプリケーション ユーザの安全を確保することができます。これによって、CTIManager サービスとアプリケーションの間で TLS 接続が開かれます。
1 つのアプリケーション ユーザ CAPF プロファイルが、サーバのサービスまたはアプリケーションの 1 つのインスタンスに対応します。 同じサーバで複数の Web サービスまたはアプリケーションをアクティブにする場合は、サーバのサービスごとに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。
クラスタ内の 2 つのサーバでサービスまたはアプリケーションをアクティブにする場合は、サーバごとに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。
エンド ユーザ CAPF プロファイル:このプロファイルを使用すると、CTI クライアントにローカルで有効な証明書を発行することができます。これによって、CTI クライアントが TLS 接続を介して CTIManager サービスと通信できるようになります。
ヒント
JTAPI クライアントは LSC を Java Key Store 形式で、JTAPI の初期設定ウィンドウで設定したパスに格納します。 TSP クライアントは LSC を暗号化形式で、デフォルト ディレクトリまたは設定したパスに格納します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
証明書をインストールしているときに通信障害が発生すると、JTAPI クライアントは 30 秒間隔であと 3 回、証明書を取得しようとします。 この値は設定することができません。
TSP クライアントの場合は、再試行回数と再試行タイマーを設定できます。 これらの値は、TSP クライアントが一定の時間内に証明書の取得を試行する回数を指定することで設定します。 どちらの値も、デフォルトは 0 です。 最大 3 回の再試行回数を設定でき、1(1 回だけ再試行)、2、または 3 を指定します。 それぞれについて、再試行の時間を 30 秒以下で設定できます。
JTAPI/TSP クライアントが CAPF とのセッションを試行している間に電源障害が発生した場合、クライアントは電源が復帰した後で、証明書のダウンロードを試行します。
CTI、JTAPI、および TAPI アプリケーションに対する CAPF システムのインタラクションおよび要件
アプリケーション ユーザ CAPF プロファイルおよびエンド ユーザ CAPF プロファイルを設定する前に、Cisco CTL クライアントをインストールして設定するために必要なすべての作業を実行したことを確認します。 [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウの Cluster Security Mode が 1(混合モード)であることを確認してください。
- CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
同時に多数の証明書が生成されると、コール処理が中断される場合があるため、スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。
- 証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。
証明書操作の間、CTI/JTAPI/TAPI アプリケーションが正しく機能していることを確認します。
CTI、JTAPI、および TAPI の保護
手順
ステップ 1 CTI アプリケーションおよびすべての JTAPI/TSP プラグインがインストールされ、実行中であることを確認します。
ヒント アプリケーション ユーザは Standard CTI Enabled グループに割り当てます。 詳細については、次の資料を参照してください。ステップ 2 次の Cisco Unified Communications Manager セキュリティ機能がインストールされていることを確認します(インストールされていない場合は、これらの機能をインストールして設定します)。
- CTL ファイルが作成されるように、CTL クライアントがインストールされ、CTL ファイルが実行されていることを確認します。
- CTL プロバイダー サービスがインストールされ、サービスがアクティブであることを確認します。
- CAPF サービスがインストールされ、サービスがアクティブであることを確認します。 必要に応じて、CAPF サービス パラメータを更新します。
ヒント CAPF サービスは、CTL ファイルに CAPF 証明書を組み込むために、Cisco CTL クライアントで実行されている必要があります。 電話機で CAPF を使用したときにこれらのパラメータを更新した場合は、ここでパラメータを更新する必要はありません。 - クラスタ セキュリティ モードが混合モードに設定されていることを確認します (クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します)。
ヒント クラスタ セキュリティ モードが混合モードでない場合、CTI/JTAPI/TAPI アプリケーションは CTL ファイルにアクセスできません。 詳細については、 『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。
ステップ 3 CTIManager およびアプリケーションで TLS 接続を使用する場合は、アプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加します。
ヒント CTI アプリケーションは、アプリケーション ユーザまたはエンド ユーザに割り当てることができますが、両方に割り当てることはできません。 ステップ 4 SRTP を使用する場合は、Standard CTI Allow Reception of SRTP Key Material ユーザ グループにアプリケーション ユーザまたはエンド ユーザを追加します。 ユーザはすでに Standard CTI Enabled および Standard CTI Secure Connection ユーザ グループに存在している必要があります。 これらの 3 つのグループに存在しないアプリケーション ユーザまたはエンド ユーザは、SRTP セッション キーを受信できません。 詳細については、 『Cisco Unified Communications Manager アドミニストレーション ガイド』の権限の設定に関連したトピックを参照してください。
(注) Cisco Unified Communications Manager Assistant、Cisco QRT、および Cisco Web Dialer は、暗号化をサポートしません。 CTIManager サービスに接続する CTI クライアントは、クライアントが音声パケットを送信する場合、暗号化をサポートすることがあります。
ステップ 5 Cisco Unified Communications Manager の管理ページで、アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを設定します。 ステップ 6 CTI/JTAPI/TAPI アプリケーションの対応するセキュリティ関連パラメータを有効にします。
関連タスク
関連情報
セキュリティ関連ユーザ グループへのアプリケーション ユーザとエンド ユーザの追加
手順Standard CTI Secure Connection ユーザ グループおよび Standard CTI Allow Reception of SRTP Key Material ユーザ グループは、デフォルトで Cisco Unified Communications Manager の管理ページに表示されます。 これらのグループは削除できません。
CTIManager へのユーザ接続の安全を確保にするには、アプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加する必要があります。 CTI アプリケーションは、アプリケーション ユーザまたはエンド ユーザに割り当てることができますが、両方に割り当てることはできません。
アプリケーションおよび CTIManager でメディア ストリームを保護するには、アプリケーション ユーザまたはエンド ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加する必要があります。
アプリケーション ユーザおよびエンド ユーザが SRTP を使用する前に、そのユーザが Standard CTI Enabled ユーザ グループおよび Standard CTI Secure Connection ユーザ グループに存在している必要があります。これが、TLS の基本設定になります。 SRTP 接続には TLS が必要です。 ユーザがこれらのグループに存在する場合、ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加できます。 アプリケーションで SRTP セッション キーを受信するには、アプリケーション ユーザまたはエンド ユーザが Standard CTI Enabled、Standard CTI Secure Connection、および Standard CTI Allow Reception of SRTP Key Material の 3 つのグループに存在する必要があります。
Cisco Unified Communications Manager Assistant、Cisco QRT、および Cisco WebDialer は暗号化をサポートしないため、アプリケーション ユーザである CCMQRTSecureSysUser、IPMASecureSysUser、および WDSecureSysUser を Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加する必要はありません。
ヒント
ユーザ グループからのアプリケーション ユーザまたはエンド ユーザの削除については、 『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 [権限の設定(Role Configuration)] ウィンドウでのセキュリティ関連の設定については、 『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 の順に選択します。 ステップ 2 すべてのユーザ グループを表示するには、[検索(Find)] をクリックします。 ステップ 3 目的に応じて、次のいずれかを実行します。
- アプリケーション ユーザまたはエンド ユーザが Standard CTI Enabled グループに存在することを確認します。
- [Standard CTI Secure Connection] リンクをクリックして、アプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加します。
- [Standard CTI Allow Reception of SRTP Key Material] リンクをクリックして、アプリケーション ユーザまたはエンド ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加します。
ステップ 4 アプリケーション ユーザをグループに追加するには、ステップ 5 ~ステップ 7 を実行します。 ステップ 5 [グループにアプリケーションユーザを追加(Add Application Users to Group)] ボタンをクリックします。 ステップ 6 アプリケーション ユーザを検索するには、検索条件を指定し、[検索(Find)] をクリックします。 検索条件を指定せずに [検索(Find)] をクリックすると、使用可能なすべてのオプションが表示されます。
ステップ 7 グループに追加するアプリケーション ユーザのチェックボックスをオンにして、[選択項目の追加(Add Selected)] をクリックします。 [ユーザグループ(User Group)] ウィンドウにユーザが表示されます。
ステップ 8 エンド ユーザをグループに追加するには、ステップ 9 ~ステップ 11 を実行します。 ステップ 9 [グループにユーザを追加(Add Users to Group)] ボタンをクリックします。 ステップ 10 エンド ユーザを検索するには、検索条件を指定し、[検索(Find)] をクリックします。 検索条件を指定せずに [検索(Find)] をクリックすると、使用可能なすべてのオプションが表示されます。
ステップ 11 グループに追加するエンド ユーザのチェックボックスをオンにして、[選択項目の追加(Add Selected)] をクリックします。 [ユーザグループ(User Group)] ウィンドウにユーザが表示されます。
Certificate Authority Proxy Function サービスのアクティブ化
Cisco Unified Communications Manager は、 Cisco Unified サービスアビリティで Certificate Authority Proxy Function を自動的にアクティブ化しません。
CAPF 機能を使用するには、最初のノードでこのサービスをアクティブ化する必要があります。
Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、CTL ファイルを更新する必要があります。
Cisco Certificate Authority Proxy Function サービスをアクティブ化すると、CAPF に固有のキー ペアおよび証明書が CAPF によって自動生成されます。 CAPF 証明書は、Cisco CTL クライアントによってスタンドアロン サーバまたはクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。 CAPF 証明書が存在することを確認するには、 Cisco Unified Communications オペレーティング システムの GUI で CAPF 証明書を表示します。
関連タスク
CAPF サービス パラメータの更新
手順CAPF サービスのパラメータを設定するウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数、キーのサイズなどの情報が表示されます。
Cisco Unified Communications Manager の管理ページに CAPF サービス パラメータがアクティブとして表示されるようにするには、 Cisco Unified サービスアビリティで Certificate Authority Proxy Function サービスをアクティブにする必要があります。
ヒント
電話機で CAPF を使用したときに CAPF サービス パラメータを更新した場合は、ここでサービス パラメータを更新する必要はありません。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 を選択します。 ステップ 2 [サーバ(Server)] ドロップダウン リスト ボックスから、サーバを選択します。
ヒント クラスタ内の最初のノードを選択する必要があります。 ステップ 3 [サービス(Service)] ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。 サービス名の横に「Active」と表示されていることを確認します。 ステップ 4 ヘルプの説明に従って、CAPF サービス パラメータを更新します。 CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。 ステップ 5 変更内容を有効にするには、 Cisco Unified サービスアビリティで Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
アプリケーション ユーザまたはエンド ユーザの CAPF プロファイルの検索
手順
ステップ 1 Cisco Unified Communications Manager の管理ページで、アクセスするプロファイルに応じて、次のオプションのいずれかを選択します。
ステップ 2 データベース内のすべてのレコードを検索するには、ダイアログボックスが空になっていることを確認し、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。
ステップ 3 [検索(Find)] をクリックします。 一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 4 表示されたレコード リストから、目的のレコードのリンクをクリックします。
(注) ソート順を逆にするには、リストのヘッダーにある上矢印または下矢印をクリックします(使用可能な場合)。
選択した項目がウィンドウに表示されます。
アプリケーション ユーザまたはエンド ユーザの CAPF プロファイルの設定
手順JTAPI/TAPI/CTI アプリケーションのローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合は、表 1を参照してください。
ヒント
エンド ユーザ CAPF プロファイルを設定する前に、アプリケーション ユーザ CAPF プロファイルを設定することをお勧めします。
ステップ 1 Cisco Unified Communications Manager の管理ページで、次のいずれかのオプションを選択します。
ステップ 2 次のいずれかの手順を実行します。
- 新しい CAPF プロファイルを追加するには、検索ウィンドウで [新規追加(Add New)] をクリックします (プロファイルを表示してから、[新規追加(Add New)] をクリックすることもできます)。設定ウィンドウが表示され、各フィールドのデフォルト設定が示されます。
- 既存のプロファイルをコピーするには、の説明に従って適切なプロファイルを見つけ、[コピー(Copy)] 列内にあるそのレコード用の [コピー(Copy)] ボタンをクリックします (プロファイルを表示してから、[コピー(Copy)] をクリックすることもできます)。設定ウィンドウが表示され、表示されたプロファイルからの設定が示されます。
- 既存のエントリを更新するには、目的のプロファイルを見つけて表示します。 設定ウィンドウが表示され、現在の設定が示されます。
ステップ 3 適切な設定値を入力します(表 1を参照)。 ステップ 4 [保存(Save)] をクリックします。 ステップ 5 セキュリティを使用するアプリケーション ユーザおよびエンド ユーザごとに、この手順を繰り返します。
次の作業[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile)] ウィンドウで CCMQRTSecureSysUser、IPMASecureSysUser、または WDSecureSysUser を設定する場合は、サービス パラメータを設定する必要があります。
CAPF の設定項目
次の表に、[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile Configuration)] ウィンドウと [エンドユーザCAPFプロファイルの設定(End User CAPF Profile Configuration)] ウィンドウでの CAPF 設定項目を示します。
表 1 アプリケーション ユーザ CAPF プロファイルおよびエンド ユーザ CAPF プロファイルの設定項目 ドロップダウン リスト ボックスから、CAPF オペレーション用のアプリケーション ユーザを選択します。これによって、設定されたアプリケーション ユーザが表示されます。
この設定は、[エンドユーザCAPFプロファイルの設定(End User CAPF Profile)] ウィンドウには表示されません。
ドロップダウン リスト ボックスから、CAPF オペレーション用のエンド ユーザを選択します。 これによって、設定されたエンド ユーザが表示されます。
この設定は、[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile)] ウィンドウには表示されません。
1 ~ 128 字の英数字(a ~z、A ~ Z、0 ~ 9)を入力します。 インスタンス ID は、証明書操作のためユーザを識別します。
1 つのアプリケーションに対して複数の接続(インスタンス)を設定できます。アプリケーションと CTIManager との接続の安全を確保するには、アプリケーション PC(エンド ユーザの場合)またはサーバ(アプリケーション ユーザの場合)で実行されるインスタンスごとに一意の証明書があることを確認します。
このフィールドは、Web サービスおよびアプリケーションをサポートする CAPF Profile Instance ID for Secure Connection to CTIManager サービス パラメータに関連しています。
証明書のインストールまたはアップグレード操作の認証モードは [認証ストリング(By Authentication String)] です。これは、ユーザまたは管理者が JTAPI/TSP の初期設定ウィンドウで CAPF 認証文字列を入力したときにだけ、ローカルで有効な証明書がインストール、アップグレード、またはトラブルシューティングされることを意味します。
一意の文字列を手動で入力するか、あるいは [文字列を生成(Generate String)] ボタンをクリックして文字列を生成します。
ローカルで有効な証明書をインストールまたはアップグレードするには、アプリケーション PC の JTAPI/TSP の初期設定ウィンドウで、管理者が認証文字列を入力する必要があります。 この文字列は、1 回だけ使用できます。あるインスタンスに文字列を使用した場合、その文字列をもう一度使用することはできません。
CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。 4 ~ 10 桁の認証文字列が [認証文字列(Authentication String)] フィールドに表示されます。
ドロップダウン リスト ボックスから、証明書のキーのサイズを選択します。 デフォルト設定は 1024 です。 キー サイズのその他のオプションは 512 です。
キー生成を低いプライオリティで設定すると、アクションの実行中もアプリケーションの機能を利用できます。 キー生成が完了するまで、30 分以上の時間がかかることがあります。
このフィールドは、すべての証明書操作をサポートし、操作を完了する必要がある期限の日付と時刻を指定します。
この設定は、証明書操作を完了する必要があるデフォルトの日数を指定する CAPF Operation Expires in (days) エンタープライズ パラメータとともに使用します。 このパラメータはいつでも更新できます。
アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルの削除
ここでは、アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを Cisco Unified Communications Manager データベースから削除する方法を説明します。
はじめる前に手順Cisco Unified Communications Manager の管理ページでアプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、該当プロファイルを使用するすべてのデバイスを削除してください。 該当プロファイルを使用しているデバイスを検索するには、セキュリティ プロファイルの設定ウィンドウの [関連リンク(Related Links)] ドロップダウン リスト ボックスから [依存関係レコード(Dependency Records)] を選択して、[移動(Go)] をクリックします。
システムで依存関係レコード機能が有効になっていない場合は、レコードの [依存関係レコード要約(Dependency Records Summary)] ウィンドウに、依存関係レコードを有効にすると実行できるアクションを示すメッセージが表示されます。また、依存関係レコード機能を使用すると、CPU 使用率が高くなるという情報も表示されます。 BFCP の詳細については、 『Cisco Unified Communications Manager System Guide』を参照してください。
ステップ 1 アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを検索します。 ステップ 2 次のいずれかの手順を実行します。
- 複数のプロファイルを削除するには、検索/一覧表示ウィンドウで、適切なチェックボックスの横に表示されているチェックボックスをオンにして、[選択項目の削除(Delete Selected)] をクリックします。 [すべて選択(Select All)] をクリックして [選択項目の削除(Delete Selected)] をクリックすると、この選択対象として設定可能なすべてのレコードを削除できます。
- 単一のプロファイルを削除するには、検索/一覧表示ウィンドウで、適切なプロファイルの横に表示されているチェックボックスをオンにして、[選択項目の削除(Delete Selected)] をクリックします。
ステップ 3 削除操作の確認を要求するプロンプトが表示されたら、[OK] をクリックして削除するか、[キャンセル(Cancel)] をクリックして削除操作を取り消します。
JTAPI および TAPI セキュリティ関連サービス パラメータの設定
手順アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを設定した後、Cisco IP Manager Assistant サービスに対して、次のサービス パラメータを設定する必要があります。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 を選択します。 ステップ 2 [サーバ(Server)] ドロップダウン リスト ボックスから、Cisco IP Manager Assistant サービスがアクティブになっているサーバを選択します。 ステップ 3 [サービス(Server)] ドロップダウン リスト ボックスから、Cisco IP Manager Assistant サービスを選択します。 ステップ 4 パラメータが表示されたら、CTIManager Connection Security Flag パラメータおよび CAPF Profile Instance ID for Secure Connection to CTIManager パラメータを見つけます。 ステップ 5 疑問符またはパラメータ名リンクをクリックすると表示されるヘルプの説明に従い、パラメータを更新します。 ステップ 6 [保存(Save)] をクリックします。 ステップ 7 サービスがアクティブになっているサーバごとに、この手順を繰り返します。