この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
次のワークフローの図は、IM and Presence サービス ノードの展開のセキュリティを設定するための手順の概要を示します。
次の表は、IM and Presence サービス ノードの展開のセキュリティ設定をするためのタスクを示します。 手順の詳細については、ワークフローで説明されているタスクに関連する手順を参照してください。
(注) |
オプションで、IM and Presence サービス インターフェイスへのログインの一部として確認するバナーを作成できます。 |
ユーザが IM and Presence サービス インターフェイスへのログインの一部として確認するバナーを作成できます。 任意のテキスト エディタを使用して .txt ファイルを作成し、ユーザに対する重要な通知を含め、そのファイルを Cisco Unified IM and Presence OS の管理ページにアップロードします。 このバナーはすべての IM and Presence サービス インターフェイスに表示され、法的な警告や義務などの重要な情報をログインする前にユーザに通知します。 Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence オペレーティング システムの管理、Cisco Unified IM and Presence のサービスアビリティ、Cisco Unified IM and Presence のレポート、および IM and Presence のディザスタ リカバリ システム のインターフェースでは、このバナーがユーザがログインする前後に表示されます。
ステップ 1 | バナーに表示する内容を含む .txt ファイルを作成します。 | ||
ステップ 2 | Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。 | ||
ステップ 3 | を選択します。 | ||
ステップ 4 | [Browse(参照)] を選択し .txt ファイルを検索します。 | ||
ステップ 5 |
[Upload File(ファイルのアップロード)] をクリックします。 バナーは、ほとんどの IM and Presence サービス インターフェイスでログインの前後に表示されます。
|
IM and Presence Service は、tomcat、cup-xmpp、および cup-xmpp-s2s の証明のために、マルチサーバ SAN ベースの証明書をサポートしています。 単一サーバ、またはマルチサーバの配布から選択し、証明書署名要求(CSR)を生成し、マルチサーバ証明書のサポートを承認することができます。 最終的な署名付きのマルチサーバ証明書と、署名を行う証明書の関連チェーンが、クラスタ内の個々のサーバのいずれかにマルチサーバ証明書をアップロードするときにクラスタ内の他のサーバに分配されます。 マルチサーバ証明書の詳細については、『Release Notes for Cisco Unified Communications Manager Release 10.5(1)(Cisco Unified Communications Manager, Release 10.5(1) のリリース ノート)』の新機能と変更された機能に関する章を参照してください。
ここでは、IM and Presence Service のクライアントとサービスに必要なさまざまな証明書について説明します。
証明書タイプ | サービス | 証明書信頼ストア | マルチサーバ サポート | 注意 |
---|---|---|---|---|
tomcat |
Cisco Client Profile Agent Cisco AXL Web Service Cisco Tomcat |
tomcat- trust |
Yes |
IM and Presence Service のクライアント認証の一部として Cisco Jabber クライアントに提示されます。 Cisco Unified CM IM およびプレゼンス管理ユーザ インターフェイスを移動するときに、Web ブラウザに表示されます。 関連する信頼ストアを使用し、ユーザのクレデンシャルを認証するために、IM and Presence Service が確立した設定済みの LDAP サーバとの 接続を確認します。 |
ipsec |
ipsec-trust |
No |
IPSec ポリシーが有効になっている場合に使用します。 |
|
カップ |
Cisco SIP Proxy Cisco Presence Engine |
cup-trust |
No |
|
cup-xmpp |
Cisco XCP Connection Manager Cisco XCP Web Connection Manager Cisco XCP Directory サービス Cisco XCP Router サービス |
cup-xmpp-trust |
Yes |
XMPP セッションの作成中に、Cisco Jabber クライアント、サードパーティ製 XMPP クライアント、または CAXL ベースのアプリケーションに提示されます。 関連する信頼ストアを使用して、サードパーティ製 XMPP クライアントの LDAP 検索操作を実行中に Cisco XCP Directory サービスが確立した接続を確認します。 ルーティング通信タイプがルータ間に設定されている場合に、IM and Presence Service サーバ間にセキュアな接続を確立するときに Cisco XCP Router によって関連する信頼ストアが使用されます。 |
cup-xmpp-s2s |
Cisco XCP XMPP Federation Connection Manager |
cup-xmpp-trust |
Yes |
外部フェデレーション XMPP への接続時に XMPP ドメイン間フェデレーションを行うために提示されます。 |
このモジュールでは、 Cisco Unified Communications Manager ノードと IM and Presence Service ノード間における自己署名証明書の交換について説明します。 IM and Presence Service で証明書インポート ツールを使用して、 Cisco Unified Communications Manager 証明書を IM and Presence Service に自動的にインポートできます。 ただし、手動で Cisco Unified Communications Manager に IM and Presence Service 証明書をアップロードする必要があります。
IM and Presence Service および Cisco Unified Communications Manager 間にセキュア接続が必要な場合にのみ、次の手順を実行します。
ステップ 1 | を選択します。 | ||
ステップ 2 | [Certificate Trust Store(証明書信頼ストア)] メニューから [IM and Presence(IM/P)Service Trust(IM and Presence(IM/P)サービス信頼)] を選択します。 | ||
ステップ 3 | Cisco Unified Communications Manager ノードの IP アドレス、ホスト名、または FQDN を入力します。 | ||
ステップ 4 | Cisco Unified Communications Manager ノードと通信するポート番号を入力します。 | ||
ステップ 5 |
[Submit(送信)] をクリックします。
|
IM and Presence サービスに Cisco Unified Communications Manager 証明書をインポートします。
ステップ 1 | IM and Presence サービスで を選択します。 |
ステップ 2 | [Cisco SIP Proxy(Cisco SIP プロキシ)] を選択します。 |
ステップ 3 | [Restart(再起動)] をクリックします。 |
ステップ 1 | IM and Presence サービスで、 を選択します。 | ||
ステップ 2 | [Find(検索)] をクリックします。 | ||
ステップ 3 | cup.pem ファイルを選択します。 | ||
ステップ 4 |
[Download(ダウンロード)] をクリックして、ローカル コンピュータにファイルを保存します。
|
Cisco Unified Communications Manager に IM and Presence サービス証明書をアップロードします。
ステップ 1 | Cisco Unified Communications Manager で を選択します。 |
ステップ 2 | [Upload Certificate(証明書のアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] メニューから [Callmanager-trust] を選択します。 |
ステップ 4 | IM and Presence Service から以前にダウンロードした証明書(.pem ファイル)を参照し、選択します。 |
ステップ 5 | [Upload File(ファイルのアップロード)] をクリックします。 |
Cisco Unified Communications Manager CallManager サービスの再起動に進みます。
Cisco Unified Communications Manager に IM and Presence サービス 証明書をアップロードします。
ステップ 1 | Cisco Unified Communications Manager で、 を選択します。 |
ステップ 2 | [Cisco CallManager(Cisco CallManager)] を選択します。 |
ステップ 3 | [Restart(再起動)] をクリックします。 |
ここでは、マルチサーバ CA 署名付き証明書の次の種類のアップロードについて詳しく説明します。
クラスタ内の任意の IM and Presence Service ノードでこのような証明書をアップロードできます。 これを行うと、証明書と関連の署名を行う証明書はクラスタ内のその他すべての M and Presence Service ノードに自動的に配布されます。 特定の認証(tomcat、cup-xmpp、または cup-xmpp-s2s)を行うために自己署名証明書がノードに既に存在する場合、その証明書は新しいマルチサーバ証明書によって上書きされます。
特定のマルチサーバ証明書と関連の署名を行う証明書が配布される IM and Presence Service ノードは、証明書の目的によって異なります。 cup-xmpp および cup-xmpp-s2s マルチサーバ証明書は、クラスタ内のすべての IM and Presence Service ノードに配布されます。 tomcat マルチサーバ証明書は、クラスタ内のすべての IM and Presence Service ノードと、クラスタ内のすべての Cisco Unified Communications Manager ノードに配布されます。 マルチサーバ SAN 証明書の詳細については、『Release Notes for Cisco Unified Communications Manager Release 10.5(1)(Cisco Unified Communications Manager, Release 10.5(1) のリリース ノート)』の新機能と変更された機能に関する章を参照してください。
ここでは、IM and Presence Service に次のタイプの CA 署名付き証明書をアップロードする方法について説明します。
CA 署名付き Tomcat 証明書を IM and Presence Service にアップロードするためのハイレベルな手順は次のとおりです。
ルート証明書および中間証明書をアップロードする場合は、証明書チェーンの各証明書をルート証明書から中間証明書の順に IM and Presence Service へアップロードする必要があります。
root > intermediate-1 > intermediate-2 > … > intermediate-N
チェーンでアップロードする各証明書ごとに、以前にアップロードしたどの証明書が署名したかを指定する必要があります。 次に例を示します。
IM and Presence データベース パブリッシャ ノードで関連のリーフ証明書の信頼ストアにルート証明書および中間証明書(存在する場合)をアップロードする必要があります。 署名を行う認証局(CA)のルート証明書および中間証明書を展開された IM and Presence Service にアップロードするには、次の手順を実行します。
ステップ 1 | IM and Presence データベース パブリッシャ ノードで、 を選択します。 |
ステップ 2 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] ドロップダウン リストで、[tomcat-trust] を選択します。 |
ステップ 4 | 署名付き証明書の説明を入力します。 |
ステップ 5 | [Browse(参照)] をクリックしてルート証明書のファイルを見つけます。 |
ステップ 6 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 7 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] ウィンドウを使用して、各中間証明書を同じ方法でアップロードします。 |
Cisco Intercluster Sync Agent サービスを再起動します。
IM and Presence データベース パブリッシャ ノードにルートおよび中間証明書をアップロードしたら、そのノードで Cisco Intercluster Sync Agent サービスを再起動する必要があります。 このサービスの再起動することにより、ただちに CA 証明書が他のすべてのクラスタに同期されます。
ステップ 1 | 管理 CLI にログインします。 |
ステップ 2 | 次のコマンドを実行します。utils service restart Cisco Intercluster Sync Agent |
(注) |
また、Cisco Unified Serviceability GUI からCisco Intercluster Sync Agent サービスを再起動できます。 |
CA 証明書が他のクラスタに同期したことを確認します。
Cisco Intercluster Sync Agent サービスが再起動した後、CA 証明書が他のクラスタに正しく同期されたことを確認する必要があります。 他の IM and Presence データベース パブリッシャの各ノードで、次の手順を実行します。
ステップ 1 | を選択します。 |
ステップ 2 | [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアが正常にセキュリティ証明書を交換しました)] テストを検索し、テストに合格していることを確認します。 |
ステップ 3 | テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 |
ステップ 4 | [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 |
ステップ 5 | [Force Manual Sync(強制手動同期)] をクリックします。 |
ステップ 6 | クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 |
ステップ 7 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 |
ステップ 8 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 7 を繰り返します。 |
ステップ 9 | この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期がクラスタ間で正常に確立され、アップロードした CA 証明書がほかのクラスタに同期していることを意味します。 |
各 IM and Presence Service ノードへ署名付き証明書をアップロードします。
CA 証明書がすべてのクラスタに正しく同期されている場合は、各 IM and Presence Service ノードに適切な署名付き 証明書をアップロードできます。
(注) |
クラスタに必要なすべての tomcat 証明書に署名し、それらを同時にアップロードすることを推奨します。 この方法を使用すると、クラスタ間通信のリカバリに要する時間が短縮されます。 |
ステップ 1 | を選択します。 |
ステップ 2 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] ドロップダウン リストで、[tomcat] を選択します。 |
ステップ 4 | 署名付き証明書の説明を入力します。 |
ステップ 5 | アップロードするファイルを検索するには、[Browse(参照)] をクリックします。 |
ステップ 6 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 7 | 各 IM and Presence Service ノードで繰り返します。 |
証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide(Cisco Unified Communications オペレーティング システム管理ガイド)』を参照してください。
次の作業
Cisco Tomcat サービスを再起動します。
各 IM and Presence サービス ノードに tomcat 証明書をアップロードしたら、各ノードで Cisco Tomcat サービスを再起動する必要があります。
ステップ 1 | 管理 CLI にログインします。 |
ステップ 2 | 次のコマンドを実行します。utils service restart Cisco Tomcat |
ステップ 3 | 各ノードで繰り返します。 |
クラスタ間同期が正常に動作していることを確認します。
Cisco Tomcat サービスがクラスタ内の影響を受けるすべてのノードに対して再起動した後、クラスタ間同期が正常に動作していることを確認する必要があります。 他のクラスタの各 IM and Presence データベース パブリッシャ ノードで次の手順を実行します。
ステップ 1 | を選択します。 |
ステップ 2 | [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアがセキュリティ証明書を正常に交換していることを確認する)] テストを検索し、テストに合格していることを確認します。 |
ステップ 3 | テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 |
ステップ 4 | [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 |
ステップ 5 | [Force Manual Sync(強制手動同期)] をクリックします。 |
ステップ 6 | [Also resync peer's Tomcat certificates(ピアの Tomcat 証明書も再同期します)] チェックボックスをオンにし、[OK] をクリックします。 |
ステップ 7 | クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 |
ステップ 8 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 |
ステップ 9 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 8 を繰り返します。 |
ステップ 10 | この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期が、このクラスタと、証明書をアップロードしたクラスタの間で再確立されていることを意味します。 |
CA 署名付き cup-xmpp 証明書を IM and Presence Service にアップロードするためのハイレベルな手順は次のとおりです。
ルート証明書および中間証明書をアップロードする場合は、証明書チェーンの各証明書をルート証明書から中間証明書の順に IM and Presence Service へアップロードする必要があります。
root > intermediate-1 > intermediate-2 > … > intermediate-N
チェーンでアップロードする各証明書ごとに、以前にアップロードしたどの証明書が署名したかを指定する必要があります。 次に例を示します。
IM and Presence データベース パブリッシャ ノードで cup-xmpp-trust ストアにルート証明書および中間証明書(存在する場合)をアップロードする必要があります。 署名を行う認証局(CA)のルート証明書および中間証明書を展開された IM and Presence Service にアップロードするには、次の手順を実行します。
ステップ 1 | IM and Presence データベース パブリッシャ ノードで、 を選択します。 |
ステップ 2 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp-trust] を選択します。 |
ステップ 4 | 署名付き証明書の説明を入力します。 |
ステップ 5 | [Browse(参照)] をクリックしてルート証明書のファイルを見つけます。 |
ステップ 6 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 7 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] ウィンドウを使用して、各中間証明書を同じ方法でアップロードします。 |
Cisco Intercluster Sync Agent サービスを再起動します。
IM and Presence データベース パブリッシャ ノードにルートおよび中間証明書をアップロードしたら、そのノードで Cisco Intercluster Sync Agent サービスを再起動する必要があります。 このサービスの再起動することにより、ただちに CA 証明書が他のすべてのクラスタに同期されます。
ステップ 1 | 管理 CLI にログインします。 |
ステップ 2 | 次のコマンドを実行します。utils service restart Cisco Intercluster Sync Agent |
(注) |
また、Cisco Unified Serviceability GUI からCisco Intercluster Sync Agent サービスを再起動できます。 |
CA 証明書が他のクラスタに同期したことを確認します。
Cisco Intercluster Sync Agent サービスが再起動した後、CA 証明書が他のクラスタに正しく同期されたことを確認する必要があります。 他の IM and Presence データベース パブリッシャの各ノードで、次の手順を実行します。
ステップ 1 | を選択します。 |
ステップ 2 | [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアが正常にセキュリティ証明書を交換しました)] テストを検索し、テストに合格していることを確認します。 |
ステップ 3 | テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 |
ステップ 4 | [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 |
ステップ 5 | [Force Manual Sync(強制手動同期)] をクリックします。 |
ステップ 6 | クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 |
ステップ 7 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 |
ステップ 8 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 7 を繰り返します。 |
ステップ 9 | この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期がクラスタ間で正常に確立され、アップロードした CA 証明書がほかのクラスタに同期していることを意味します。 |
各 IM and Presence Service ノードへ署名付き証明書をアップロードします。
CA 証明書がすべてのクラスタに正しく同期されている場合は、各 IM and Presence Service ノードに適切な署名付き cup-xmpp 証明書をアップロードできます。
(注) |
クラスタに必要なすべての cup-xmpp 証明書に署名し、それらの証明書を同時にアップロードして、サービスへの影響が単一のメンテナンス時間帯内で管理できるようにすることを推奨します。 |
ステップ 1 | を選択します。 |
ステップ 2 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp] を選択します。 |
ステップ 4 | 署名付き証明書の説明を入力します。 |
ステップ 5 | アップロードするファイルを検索するには、[Browse(参照)] をクリックします。 |
ステップ 6 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 7 | 各 IM and Presence Service ノードで繰り返します。 |
証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide(Cisco Unified Communications オペレーティング システム管理ガイド)』を参照してください。
次の作業
すべてのノードで Cisco XCP ルータ サービスを再起動します。
注意 |
Cisco XCP Router の再起動はサービスに影響を与えます。 |
各 IM and Presence サービス ノードに cup-xmpp の証明書をアップロードしたら、各ノードで Cisco XCP Router サービスを再起動する必要があります。
ステップ 1 | 管理 CLI にログインします。 |
ステップ 2 | 次のコマンドを実行します。utils service restart Cisco XCP Router |
ステップ 3 | 各ノードで繰り返します。 |
(注) |
また、Cisco Unified IM and Presence Serviceability GUI から Cisco XCP Router サービス を再起動できます。 |
CA 署名付き cup-xmpp-s2s 証明書を IM and Presence Service にアップロードするためのハイレベルな手順は次のとおりです。
ルート証明書および中間証明書をアップロードする場合は、証明書チェーンの各証明書をルート証明書から中間証明書の順に IM and Presence Service へアップロードする必要があります。
root > intermediate-1 > intermediate-2 > … > intermediate-N
チェーンでアップロードする各証明書ごとに、以前にアップロードしたどの証明書が署名したかを指定する必要があります。 次に例を示します。
IM and Presence データベース パブリッシャ ノードで cup-xmpp-trust ストアにルート証明書および中間証明書(存在する場合)をアップロードする必要があります。 署名を行う認証局(CA)のルート証明書および中間証明書を展開された IM and Presence Service にアップロードするには、次の手順を実行します。
ステップ 1 | IM and Presence データベース パブリッシャ ノードで、 を選択します。 |
ステップ 2 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp-trust] を選択します。 |
ステップ 4 | 署名付き証明書の説明を入力します。 |
ステップ 5 | [Browse(参照)] をクリックしてルート証明書のファイルを見つけます。 |
ステップ 6 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 7 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] ウィンドウを使用して、各中間証明書を同じ方法でアップロードします。 |
CA 証明書が他のクラスタと同期されたことを確認します。
Cisco Intercluster Sync Agent サービスが再起動した後、CA 証明書が他のクラスタに正しく同期されたことを確認する必要があります。 他の IM and Presence データベース パブリッシャの各ノードで、次の手順を実行します。
ステップ 1 | を選択します。 |
ステップ 2 | [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアが正常にセキュリティ証明書を交換しました)] テストを検索し、テストに合格していることを確認します。 |
ステップ 3 | テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 |
ステップ 4 | [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 |
ステップ 5 | [Force Manual Sync(強制手動同期)] をクリックします。 |
ステップ 6 | クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 |
ステップ 7 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 |
ステップ 8 |
[Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 7 を繰り返します。 |
ステップ 9 | この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期がクラスタ間で正常に確立され、アップロードした CA 証明書がほかのクラスタに同期していることを意味します。 |
各 IM and Presence Service ノードへ署名付き証明書をアップロードします。
CA 証明書がすべてのクラスタに正しく同期されている場合は、各 IM and Presence Service フェデレーション ノードに適切な署名付き 証明書をアップロードできます。 すべてのノードに証明書をアップロードする必要はありません。フェデレーション用のノードにだけアップロードします。
(注) |
クラスタに必要なすべての cup-xmpp-s2s 証明書に署名し、それらを同時にアップロードすることを推奨します。 |
ステップ 1 | [Cisco Unified IM and Presence OS Administration(Cisco Unified IM and Presence OS の管理)] > [Security(セキュリティ)] > [Certificate Management(証明書の管理)] を選択します。 |
ステップ 2 | [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp] を選択します。 |
ステップ 4 | 署名付き証明書の説明を入力します。 |
ステップ 5 | アップロードするファイルを検索するには、[Browse(参照)] をクリックします。 |
ステップ 6 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 7 | 各IM and Presence Service フェデレーション ノードで繰り返します。 |
証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide(Cisco Unified Communications オペレーティング システム管理ガイド)』を参照してください。
次の作業
影響を受けるノードで Cisco XCP XMPP Federation Connection Manager サービスを再起動します。
各 IM and Presence サービス のフェデレーション ノードに cup-xmpp-s2s の証明書をアップロードしたら、各フェデレーション ノードの Cisco XCP XMPP Federation Connection Manager サービスを再起動する必要があります。
ステップ 1 | 管理 CLI にログインします。 |
ステップ 2 | 次のコマンドを実行します。utils service restart Cisco XCP XMPP Federation Connection Manager |
ステップ 3 | 各フェデレーション ノードで繰り返します。 |
IM and Presence サービス証明書をインポートすると、IM and Presence サービスは自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。
ステップ 1 | の順に選択します。 |
ステップ 2 | [Add New(新規追加)] をクリックします。 |
ステップ 3 | ピア サブジェクト名に対して次の手順のいずれかを実行します。 |
ステップ 4 | [Description(説明)] フィールドにノードの名前を入力します。 |
ステップ 5 | [Save(保存)] をクリックします。 |
IM and Presence サービス証明書をインポートすると、IM and Presence サービスは自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。
ステップ 1 | の順に選択します。 |
ステップ 2 | [Find(検索)] をクリックします。 |
ステップ 3 | [Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context] を選択します。 |
ステップ 4 | 使用可能な TLS ピア サブジェクトのリストから、設定した TLS ピア サブジェクトを選択します。 |
ステップ 5 | この TLS ピア サブジェクトを [Selected TLS Peer Subjects] に移動します。 |
ステップ 6 | [Save(保存)] をクリックします。 |
ステップ 7 | を選択します。 |
ステップ 8 |
Cisco SIP プロキシ サービスを再起動します。 TLS コンテキストに対する変更を有効にするには、SIP Proxy サービスを再起動する必要があります。 |
IM and Presence Service がクラスタ間展開で SIP メッセージを安全にルーティングするために使用するプロトコルを選択します。 デフォルト値は、TLS プロトコルです。 クラスタ ノードがセキュアでないネットワークを介してトラフィックを送信し、セキュアな(暗号化された)接続チャネルが必要な場合に TLS を使用します。
ステップ 1 | を選択します。 |
ステップ 2 | [SIP Intra-cluster Proxy-to-Proxy Transport Protocol(SIP クラスタ間プロキシツープロキシ転送プロトコル)] メニューから [protocol type(プロトコル タイプ)]を選択します。 |
ステップ 3 |
[Save(保存)] をクリックします。 SIP Proxy プロトコルに対する変更を有効にするには、SIP Proxy サービスを再起動する必要があります。 |
IM and Presence サービスは XMPP ベースの設定でセキュリティが強化されています。 次の表は、これらの XMPP のセキュリティ モードについて説明します。 IM and Presence サービスの XMPP セキュリティ モードを設定するには、 を選択します。
Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアントと IM/P サービス間のセキュア モードの有効化) |
この設定をオンにすると、IM and Presence サービスは、クラスタ内の IM and Presence サービス ノードと XMPP クライアント アプリケーション間にセキュアな TLS 接続を確立します。 IM and Presence サービスは、このセキュア モードをデフォルトでオンにします。 このセキュア モードをオフにしないことを推奨します。ただし、XMPP クライアント アプリケーションが非セキュア モードでクライアント ログイン クレデンシャルを保護できる場合を除きます。 セキュア モードをオフにする場合は、他の方法で XMPP のクライアント ツー ノード通信を保護できることを確認してください。 |
||
Enable XMPP Router-to-Router Secure Mode(XMPP ルータツールータ セキュア モードの有効化) |
この設定をオンにすると、IM and Presence サービスは同じクラスタ内または別のクラスタ内の XMPP ルータ間にセキュアな TLS 接続を確立します。 IM and Presence サービスは XMPP 証明書を XMPP 信頼証明書として自動的にクラスタ内またはクラスタ間で複製します。 XMPP ルータは、同じクラスタ内または別のクラスタ内にある他の XMPP ルータとの TLS 接続を確立しようとし、TLS 接続の確立に使用できます。 |
||
Enable Web Client to IM/P Service Secure Mode(Web クライアントと IM/P サービス間のセキュア モードの有効化) |
この設定をオンにすると、IM and Presence サービスは、IM and Presence サービス ノードと XMPP ベースの API クライアント アプリケーション間のセキュアな TLS 接続を確立します。 この設定をオンにした場合は、IM and Presence サービスの cup-xmpp-trust リポジトリに Web クライアントの証明書または署名付き証明書をアップロードします。
|
XMPP のセキュリティ設定を更新した場合は、サービスを再起動します。 次のアクションのいずれかを実行します。
[Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Connection Manager を再起動します。 を選択して、このサービスを再起動します。
[Enable XMPP Router-to-Router Secure Mode(XMPP ルータツールータ セキュア モードの有効化)] を編集した場合は、Cisco XCP Router を再起動します。 を選択して、このサービスを再起動します。
[Enable Web Client to IM/P Service Secure Mode(Web クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Web Connection Manager を再起動します。 を選択して、このサービスを再起動します。
ステップ 1 | を選択します。 | ||
ステップ 2 |
次のいずれかの作業を実行します。
|
||
ステップ 3 | [Save(保存)] をクリックします。 |
XMPP のセキュリティ設定を更新した場合は、次の手順の 1 つを使用して次のサービスを再起動します。
[Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Connection Manager を再起動します。 を選択して、このサービスを再起動します。
[Enable Web Client to IM/P Service Secure Mode(Web クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Web Connection Manager を再起動します。 を選択して、このサービスを再起動します。
IM and Presence サービス クラスタ内の各ノードでこの手順を実行します。
ステップ 1 | を選択します。 | ||
ステップ 2 | [Server(サーバ)] メニューから [IM and Presence Service(IM and Presence サービス)] ノードを選択します。 | ||
ステップ 3 |
次のサービスをオンにします。
|
||
ステップ 4 |
[Save(保存)] をクリックします。
|
TLS 経由の XMPP フェデレーション パートナー間のグループ チャットをサポートするために、XMPP セキュリティ証明書のワイルドカードを有効にする必要があります。
デフォルトでは、XMPP フェデレーション セキュリティ証明書の cup-xmpp-s2s には IM and Presence サービス展開によって設定されるすべてのドメインが含まれます。 これらは、証明書内の サブジェクト代替名(SAN)エントリとして追加されます。 同じ証明書内のすべてのホスト ドメインのワイルドカードを指定する必要があります。 したがって、"example.com" の SAN エントリの代わりに、XMPP セキュリティ証明書は "*.example.com" の SAN エントリが含まれる必要があります。 グループ チャット サーバのエイリアスが IM and Presence サービス システムの 1 つのホスト ドメインの サブドメインなので、ワイルドカードが必要とされます。 例:"conference.example.com"
ヒント |
各ノードの cup xmpp s2s の証明書を表示するために、[Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presence の管理)] > [Security(セキュリティ)] > [Certificate Management(証明書の管理)] を選択し、[cup-xmpp-s2s.pem] リンクをクリックします。 |
ステップ 1 |
を選択します。 |
ステップ 2 |
[Enable Wildcards in XMPP Federation Security Certificates(XMPP Federation セキュリティ証明書のワイルドカードを有効にする)] をオンにします。 |
ステップ 3 | [Save(保存)] をクリックします。 |
Cisco XMPP Federation Connection Manager サービスが動作していて、XMPP Federation が有効になっているクラスタ内の全ノードの XMPP Federation セキュリティ証明書を再生成する必要があります。 TLS 経由の XMPP Federation グループ チャットをサポートするために、このセキュリティ設定はすべての IM and Presence サービス クラスタで有効である必要があります。
Federal Information Processing Standard(FIPS)は、 暗号モジュールで従う必要がある要件を定義する米国およびカナダ政府の認証規格です。
警告 |
今のところ、IM and Presence Service は FIPS 認証を受け取っていません。 認証が完了するまで、FIPS 140-2 モードは正式にサポートされません。 |
FIPS 140-2 にモードを有効にすると、IM and Presence Service がリブートし、起動時に証明書のセルフテストを実行します。さらに、暗号モジュールの整合性チェックを実行してからキー関連情報を再生成します。 この時点で、IM and Presence Service は FIPS 140-2 モードで動作します。
IM and Presence Service は、起動時のセルフテストを実行したり、承認済みの暗号化機能のリストに限定するなどして、FIPS 要件を満たします。
IM and Presence の FIPS モードは FIPS 140-2 レベル 1 で検証された OpenSSL FIPS モジュール バージョン 1.2 を使用します。 OpenSSL の関連マニュアルは、http://www.openssl.org/docs/fips/ で参照できます。
IM and Presence Service で、次の FIPS 関連タスクを実行できます。
(注) |
デフォルトでは、IM and Presence Service は非 FIPS モードです。 CLI を使用して FIPS モードを有効にする必要があります。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Solutions』を参照してください。 |
FIPS が有効または無効の場合、IM and Presence サービス ノードは自動的にリブートされます。 FIPS 140-2 モードで IM and Presence サービス ノードがリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS の起動時のセルフテストをトリガーします。
注意 |
これらのセルフテストのいずれかが失敗した場合、IM and Presence サービスは停止します。 起動時のセルフテストが一時的なエラーが原因で失敗した場合、IM and Presence サービス ノードを再起動すると問題が解決します。 ただし、起動時のセルフテスト エラーが解消されない場合、FIPS モジュールに重大な問題があり、リカバリ CD の使用が唯一のオプションとなります。 |
FIPS が有効の場合、すべての証明書が再生成されます。 ただし証明書は、クラスタ間ピアの間で交換されていない場合があります。 この状況が発生した場合は、クラスタ間ピアの間の証明書の手動同期のために次の手順を実行します。
(注) |
有効な FIPS がある 1 つのピアと有効な FIPS がない他のピアのクラスタ間ピアの間で、証明書は交換されません。 すべてのピアが FIPS モードの場合にのみ、クラスタ間ピア間で証明書を同期できます。 |
ステップ 1 | を選択します。 | ||
ステップ 2 | [intercluster peer whose certificate is not present(証明書が存在しないクラスタ間ピア)] を選択し、[Force Manual Sync(強制手動同期)] オプションを選択します。 | ||
ステップ 3 | 設定の詳細を確認し、[Delete(削除)] をクリックします。 | ||
ステップ 4 | このコマンドを使用して CLI で FIPS を有効にします。 utils fips enable ノードがリブートします。 | ||
ステップ 5 | を選択し、クラスタ間ピアを再度追加します。 | ||
ステップ 6 |
すべての証明書が同期されていることを確認します。
|
||
ステップ 7 |
証明書が、20 分後に同期されない場合は、[intercluster peer whose certificate is not present(証明書が存在しないクラスタ間ピア)] を選択し、[Force Manual Sync(強制手動同期)] オプションを選択します。
|
目次
- IM and Presence Service のセキュリティ設定
- セキュリティ設定のタスク リスト
- ログイン バナーの作成
- マルチサーバ証明書の概要
- IM and Presence Service の証明書タイプ
- IM and Presence Service と Cisco Unified Communications Manager 間の証明書交換の設定
- セキュリティを設定するための前提条件
- IM and Presence サービスへの Cisco Unified Communications Manager 証明書のインポート
- SIP Proxy サービスの再起動
- IM and Presence サービスからの証明書のダウンロード
- Cisco Unified Communications Manager への IM and Presence Service 証明書のアップロード
- Cisco Unified Communications Manager サービスの再起動
- IM and Presence Service へのマルチサーバ CA 署名付き証明書のアップロード
- IM and Presence Service への単一サーバ CA 署名付き証明書のアップロード
- CA 署名付きの Tomcat 証明書のタスク リスト
- 署名を行う認証局のルート証明書および中間証明書のアップロード
- Cisco Intercluster Sync Agent サービスの再起動
- 他のクラスタに CA 証明書が同期されていることの確認
- 各 IM and Presence Service ノードへの署名付き証明書のアップロード
- Cisco Tomcat サービスの再起動
- クラスタ間同期の確認
- CA 署名付き cup-xmpp 証明書のアップロード
- 署名を行う認証局のルート証明書および中間証明書のアップロード
- Cisco Intercluster Sync Agent サービスの再起動
- 他のクラスタに CA 証明書が同期されていることの確認
- 各 IM and Presence Service ノードへの署名付き証明書のアップロード
- すべてのノードの Cisco XCP Router サービスの再起動
- CA 署名付き cup-xmpp-s2s 証明書のアップロード
- 署名を行う認証局のルート証明書および中間証明書のアップロード
- 他のクラスタに CA 証明書が同期されていることの確認
- フェデレーション ノードへの署名付き証明書のアップロード
- Cisco XCP XMPP Federation Connection Manager サービスの再起動
- IM and Presence Service の SIP セキュリティの設定
- TLS ピア サブジェクトの設定
- TLS コンテキストの設定
- SIP プロキシツープロキシ クラスタ内プロトコル タイプの設定
- IM and Presence Service の XMPP セキュリティの設定
- XMPP セキュリティ モード
- IM and Presence サービスと XMPP クライアント間のセキュア接続の設定
- IM and Presence サービスのオンによる XMPP クライアントのサポート
- XMPPフェデレーションセキュリティ証明書でワイルドカードを有効にする
- FIPS 140-2 モードの設定
- FIPS 140-2 モード
- FIPS 140-2 モードでのノード リブート
- 証明書の強制手動同期
- セキュリティ設定のタスク リスト
- ログイン バナーの作成
- マルチサーバ証明書の概要
- IM and Presence Service の証明書タイプ
- IM and Presence Service と Cisco Unified Communications Manager 間の証明書交換の設定
- IM and Presence Service へのマルチサーバ CA 署名付き証明書のアップロード
- IM and Presence Service への単一サーバ CA 署名付き証明書のアップロード
- IM and Presence Service の SIP セキュリティの設定
- IM and Presence Service の XMPP セキュリティの設定
- FIPS 140-2 モードの設定
セキュリティ設定のタスク リスト
次のワークフローの図は、IM and Presence サービス ノードの展開のセキュリティを設定するための手順の概要を示します。
次の表は、IM and Presence サービス ノードの展開のセキュリティ設定をするためのタスクを示します。 手順の詳細については、ワークフローで説明されているタスクに関連する手順を参照してください。
(注)
オプションで、IM and Presence サービス インターフェイスへのログインの一部として確認するバナーを作成できます。
表 1 IM and Presence サービスのセキュリティ設定のタスク リスト タスク
説明
IM and Presence サービスと Cisco Unified Communications Manager 間の証明書交換の設定
次の作業を行います。
IM and Presence サービス ノードへの Cisco Unified Communications Manager 証明書のインポート後、SIP プロキシ サービスを再起動します。
ヒント から [Certificate Import Tool(証明書インポート ツール)] または手動で [Cisco Unified IM and Presence OS Administration(Cisco Unified IM and Presence OS の管理)] を使用して証明書をインポートできます。
IM and Presence サービスから証明書をダウンロード後、Cisco Unified Communications Manager で証明書を Callmanager-trust にアップロードします。
Cisco Unified Communications Manager サービスを再起動します。
(注) Cisco Unified Communications Manager と IM and Presence サービス間の証明書交換を設定する前に、IM and Presence サービスのSIP セキュリティ プロファイルと SIP トランクを設定する必要があります。
CA-Signed 証明書のアップロード
単一サーバまたは複数サーバの展開のために、 IM and Presence サービスに認証局(CA)署名付き証明書をアップロードします。 サービスの再起動が必要です。 詳細については、関連タスクを参照してください。
ヒント クラスタのすべてのIM and Presence サービス ノードで証明書をアップロードできます。 証明書のアップロードが完了すると、証明書と関連の署名証明書はクラスタ内の他のすべての IM and Presence サービス ノードに自動的に配布されます。
IM and Presence サービスでセキュリティ設定をします。
IM and Presence サービス証明書をインポートすると、IM and Presence サービスは自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。
IM and Presence サービスは XMPP ベースの設定でセキュリティが強化されています。 から [Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presenceの管理)] を使用して IM and Presence サービスの XMPP セキュア モードを設定できます。
ログイン バナーの作成
手順ユーザが IM and Presence サービス インターフェイスへのログインの一部として確認するバナーを作成できます。 任意のテキスト エディタを使用して .txt ファイルを作成し、ユーザに対する重要な通知を含め、そのファイルを Cisco Unified IM and Presence OS の管理ページにアップロードします。 このバナーはすべての IM and Presence サービス インターフェイスに表示され、法的な警告や義務などの重要な情報をログインする前にユーザに通知します。 Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence オペレーティング システムの管理、Cisco Unified IM and Presence のサービスアビリティ、Cisco Unified IM and Presence のレポート、および IM and Presence のディザスタ リカバリ システム のインターフェースでは、このバナーがユーザがログインする前後に表示されます。
ステップ 1 バナーに表示する内容を含む .txt ファイルを作成します。 ステップ 2 Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。 ステップ 3 を選択します。 ステップ 4 [Browse(参照)] を選択し .txt ファイルを検索します。 ステップ 5 [Upload File(ファイルのアップロード)] をクリックします。 バナーは、ほとんどの IM and Presence サービス インターフェイスでログインの前後に表示されます。
(注) .txt ファイルは、各 IM and Presence サービス ノードに個別にアップロードする必要があります。
マルチサーバ証明書の概要
IM and Presence Service は、tomcat、cup-xmpp、および cup-xmpp-s2s の証明のために、マルチサーバ SAN ベースの証明書をサポートしています。 単一サーバ、またはマルチサーバの配布から選択し、証明書署名要求(CSR)を生成し、マルチサーバ証明書のサポートを承認することができます。 最終的な署名付きのマルチサーバ証明書と、署名を行う証明書の関連チェーンが、クラスタ内の個々のサーバのいずれかにマルチサーバ証明書をアップロードするときにクラスタ内の他のサーバに分配されます。 マルチサーバ証明書の詳細については、『Release Notes for Cisco Unified Communications Manager Release 10.5(1)(Cisco Unified Communications Manager, Release 10.5(1) のリリース ノート)』の新機能と変更された機能に関する章を参照してください。
IM and Presence Service の証明書タイプ
ここでは、IM and Presence Service のクライアントとサービスに必要なさまざまな証明書について説明します。
表 2 証明書タイプおよびサービス 証明書タイプ サービス 証明書信頼ストア マルチサーバ サポート 注意 tomcat
Cisco Client Profile Agent
Cisco AXL Web Service
Cisco Tomcat
tomcat- trust
Yes
IM and Presence Service のクライアント認証の一部として Cisco Jabber クライアントに提示されます。
Cisco Unified CM IM およびプレゼンス管理ユーザ インターフェイスを移動するときに、Web ブラウザに表示されます。
関連する信頼ストアを使用し、ユーザのクレデンシャルを認証するために、IM and Presence Service が確立した設定済みの LDAP サーバとの 接続を確認します。
ipsec
ipsec-trust
No
IPSec ポリシーが有効になっている場合に使用します。
カップ
Cisco SIP Proxy
Cisco Presence Engine
cup-trust
No
cup-xmpp
Cisco XCP Connection Manager
Cisco XCP Web Connection Manager
Cisco XCP Directory サービス
Cisco XCP Router サービス
cup-xmpp-trust
Yes
XMPP セッションの作成中に、Cisco Jabber クライアント、サードパーティ製 XMPP クライアント、または CAXL ベースのアプリケーションに提示されます。
関連する信頼ストアを使用して、サードパーティ製 XMPP クライアントの LDAP 検索操作を実行中に Cisco XCP Directory サービスが確立した接続を確認します。
ルーティング通信タイプがルータ間に設定されている場合に、IM and Presence Service サーバ間にセキュアな接続を確立するときに Cisco XCP Router によって関連する信頼ストアが使用されます。
cup-xmpp-s2s
Cisco XCP XMPP Federation Connection Manager
cup-xmpp-trust
Yes
外部フェデレーション XMPP への接続時に XMPP ドメイン間フェデレーションを行うために提示されます。
IM and Presence Service と Cisco Unified Communications Manager 間の証明書交換の設定
このモジュールでは、 Cisco Unified Communications Manager ノードと IM and Presence Service ノード間における自己署名証明書の交換について説明します。 IM and Presence Service で証明書インポート ツールを使用して、 Cisco Unified Communications Manager 証明書を IM and Presence Service に自動的にインポートできます。 ただし、手動で Cisco Unified Communications Manager に IM and Presence Service 証明書をアップロードする必要があります。
IM and Presence Service および Cisco Unified Communications Manager 間にセキュア接続が必要な場合にのみ、次の手順を実行します。
- セキュリティを設定するための前提条件
- IM and Presence サービスへの Cisco Unified Communications Manager 証明書のインポート
- SIP Proxy サービスの再起動
- IM and Presence サービスからの証明書のダウンロード
- Cisco Unified Communications Manager への IM and Presence Service 証明書のアップロード
- Cisco Unified Communications Manager サービスの再起動
IM and Presence サービスへの Cisco Unified Communications Manager 証明書のインポート
手順
ステップ 1 を選択します。 ステップ 2 [Certificate Trust Store(証明書信頼ストア)] メニューから [IM and Presence(IM/P)Service Trust(IM and Presence(IM/P)サービス信頼)] を選択します。 ステップ 3 Cisco Unified Communications Manager ノードの IP アドレス、ホスト名、または FQDN を入力します。 ステップ 4 Cisco Unified Communications Manager ノードと通信するポート番号を入力します。 ステップ 5 [Submit(送信)] をクリックします。
(注) 証明書インポート ツールのインポート操作が完了すると、Cisco Unified Communications Manager に正常に接続したかどうか、また、Cisco Unified Communications Manager から証明書が正常にダウンロードされたかどうかが報告されます。 証明書インポート ツールで障害が報告された場合、推奨処置についてはオンライン ヘルプを参照してください。 を選択して、手動で証明書をインポートすることもできます。
次の作業
IM and Presence サービスからの証明書のダウンロード
手順
ステップ 1 IM and Presence サービスで、 を選択します。 ステップ 2 [Find(検索)] をクリックします。 ステップ 3 cup.pem ファイルを選択します。 ステップ 4 [Download(ダウンロード)] をクリックして、ローカル コンピュータにファイルを保存します。
ヒント IM and Presence サービスが表示する cup.csr ファイルへのアクセスに関するすべてのエラーを無視してください。 Cisco Unified Communications Manager と交換する証明書に CA(認証局)が署名する必要はありません。
次の作業
Cisco Unified Communications Manager に IM and Presence サービス証明書をアップロードします。
Cisco Unified Communications Manager への IM and Presence Service 証明書のアップロード
手順
ステップ 1 Cisco Unified Communications Manager で を選択します。 ステップ 2 [Upload Certificate(証明書のアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] メニューから [Callmanager-trust] を選択します。 ステップ 4 IM and Presence Service から以前にダウンロードした証明書(.pem ファイル)を参照し、選択します。 ステップ 5 [Upload File(ファイルのアップロード)] をクリックします。
次の作業
Cisco Unified Communications Manager CallManager サービスの再起動に進みます。
IM and Presence Service へのマルチサーバ CA 署名付き証明書のアップロード
ここでは、マルチサーバ CA 署名付き証明書の次の種類のアップロードについて詳しく説明します。
クラスタ内の任意の IM and Presence Service ノードでこのような証明書をアップロードできます。 これを行うと、証明書と関連の署名を行う証明書はクラスタ内のその他すべての M and Presence Service ノードに自動的に配布されます。 特定の認証(tomcat、cup-xmpp、または cup-xmpp-s2s)を行うために自己署名証明書がノードに既に存在する場合、その証明書は新しいマルチサーバ証明書によって上書きされます。
特定のマルチサーバ証明書と関連の署名を行う証明書が配布される IM and Presence Service ノードは、証明書の目的によって異なります。 cup-xmpp および cup-xmpp-s2s マルチサーバ証明書は、クラスタ内のすべての IM and Presence Service ノードに配布されます。 tomcat マルチサーバ証明書は、クラスタ内のすべての IM and Presence Service ノードと、クラスタ内のすべての Cisco Unified Communications Manager ノードに配布されます。 マルチサーバ SAN 証明書の詳細については、『Release Notes for Cisco Unified Communications Manager Release 10.5(1)(Cisco Unified Communications Manager, Release 10.5(1) のリリース ノート)』の新機能と変更された機能に関する章を参照してください。
IM and Presence Service への単一サーバ CA 署名付き証明書のアップロード
ここでは、IM and Presence Service に次のタイプの CA 署名付き証明書をアップロードする方法について説明します。
CA 署名付きの Tomcat 証明書のタスク リスト
CA 署名付き Tomcat 証明書を IM and Presence Service にアップロードするためのハイレベルな手順は次のとおりです。
- 署名を行う認証局のルート証明書および中間証明書のアップロード
- Cisco Intercluster Sync Agent サービスの再起動
- 他のクラスタに CA 証明書が同期されていることの確認
- 各 IM and Presence Service ノードへの署名付き証明書のアップロード
- Cisco Tomcat サービスの再起動
- クラスタ間同期の確認
署名を行う認証局のルート証明書および中間証明書のアップロード
手順ルート証明書および中間証明書をアップロードする場合は、証明書チェーンの各証明書をルート証明書から中間証明書の順に IM and Presence Service へアップロードする必要があります。
root > intermediate-1 > intermediate-2 > … > intermediate-N
チェーンでアップロードする各証明書ごとに、以前にアップロードしたどの証明書が署名したかを指定する必要があります。 次に例を示します。
IM and Presence データベース パブリッシャ ノードで関連のリーフ証明書の信頼ストアにルート証明書および中間証明書(存在する場合)をアップロードする必要があります。 署名を行う認証局(CA)のルート証明書および中間証明書を展開された IM and Presence Service にアップロードするには、次の手順を実行します。
ステップ 1 IM and Presence データベース パブリッシャ ノードで、 を選択します。 ステップ 2 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] ドロップダウン リストで、[tomcat-trust] を選択します。 ステップ 4 署名付き証明書の説明を入力します。 ステップ 5 [Browse(参照)] をクリックしてルート証明書のファイルを見つけます。 ステップ 6 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 7 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] ウィンドウを使用して、各中間証明書を同じ方法でアップロードします。
次の作業
Cisco Intercluster Sync Agent サービスを再起動します。
Cisco Intercluster Sync Agent サービスの再起動
手順IM and Presence データベース パブリッシャ ノードにルートおよび中間証明書をアップロードしたら、そのノードで Cisco Intercluster Sync Agent サービスを再起動する必要があります。 このサービスの再起動することにより、ただちに CA 証明書が他のすべてのクラスタに同期されます。
ステップ 1 管理 CLI にログインします。 ステップ 2 次のコマンドを実行します。utils service restart Cisco Intercluster Sync Agent
次の作業
(注)
また、Cisco Unified Serviceability GUI からCisco Intercluster Sync Agent サービスを再起動できます。CA 証明書が他のクラスタに同期したことを確認します。
他のクラスタに CA 証明書が同期されていることの確認
手順Cisco Intercluster Sync Agent サービスが再起動した後、CA 証明書が他のクラスタに正しく同期されたことを確認する必要があります。 他の IM and Presence データベース パブリッシャの各ノードで、次の手順を実行します。
ステップ 1 を選択します。 ステップ 2 [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアが正常にセキュリティ証明書を交換しました)] テストを検索し、テストに合格していることを確認します。 ステップ 3 テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 ステップ 4 [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 ステップ 5 [Force Manual Sync(強制手動同期)] をクリックします。 ステップ 6 クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 ステップ 7 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 ステップ 8 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 7 を繰り返します。
ステップ 9 この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期がクラスタ間で正常に確立され、アップロードした CA 証明書がほかのクラスタに同期していることを意味します。
次の作業
各 IM and Presence Service ノードへ署名付き証明書をアップロードします。
各 IM and Presence Service ノードへの署名付き証明書のアップロード
手順CA 証明書がすべてのクラスタに正しく同期されている場合は、各 IM and Presence Service ノードに適切な署名付き 証明書をアップロードできます。
(注)
クラスタに必要なすべての tomcat 証明書に署名し、それらを同時にアップロードすることを推奨します。 この方法を使用すると、クラスタ間通信のリカバリに要する時間が短縮されます。
ステップ 1 を選択します。 ステップ 2 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] ドロップダウン リストで、[tomcat] を選択します。 ステップ 4 署名付き証明書の説明を入力します。 ステップ 5 アップロードするファイルを検索するには、[Browse(参照)] をクリックします。 ステップ 6 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 7 各 IM and Presence Service ノードで繰り返します。
証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide(Cisco Unified Communications オペレーティング システム管理ガイド)』を参照してください。
次の作業
Cisco Tomcat サービスを再起動します。
クラスタ間同期の確認
手順Cisco Tomcat サービスがクラスタ内の影響を受けるすべてのノードに対して再起動した後、クラスタ間同期が正常に動作していることを確認する必要があります。 他のクラスタの各 IM and Presence データベース パブリッシャ ノードで次の手順を実行します。
ステップ 1 を選択します。 ステップ 2 [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアがセキュリティ証明書を正常に交換していることを確認する)] テストを検索し、テストに合格していることを確認します。 ステップ 3 テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 ステップ 4 [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 ステップ 5 [Force Manual Sync(強制手動同期)] をクリックします。 ステップ 6 [Also resync peer's Tomcat certificates(ピアの Tomcat 証明書も再同期します)] チェックボックスをオンにし、[OK] をクリックします。 ステップ 7 クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 ステップ 8 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 ステップ 9 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 8 を繰り返します。
ステップ 10 この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期が、このクラスタと、証明書をアップロードしたクラスタの間で再確立されていることを意味します。
CA 署名付き cup-xmpp 証明書のアップロード
CA 署名付き cup-xmpp 証明書を IM and Presence Service にアップロードするためのハイレベルな手順は次のとおりです。
- 署名を行う認証局のルート証明書および中間証明書のアップロード
- Cisco Intercluster Sync Agent サービスの再起動
- 他のクラスタに CA 証明書が同期されていることの確認
- 各 IM and Presence Service ノードへの署名付き証明書のアップロード
- すべてのノードの Cisco XCP Router サービスの再起動
署名を行う認証局のルート証明書および中間証明書のアップロード
手順ルート証明書および中間証明書をアップロードする場合は、証明書チェーンの各証明書をルート証明書から中間証明書の順に IM and Presence Service へアップロードする必要があります。
root > intermediate-1 > intermediate-2 > … > intermediate-N
チェーンでアップロードする各証明書ごとに、以前にアップロードしたどの証明書が署名したかを指定する必要があります。 次に例を示します。
IM and Presence データベース パブリッシャ ノードで cup-xmpp-trust ストアにルート証明書および中間証明書(存在する場合)をアップロードする必要があります。 署名を行う認証局(CA)のルート証明書および中間証明書を展開された IM and Presence Service にアップロードするには、次の手順を実行します。
ステップ 1 IM and Presence データベース パブリッシャ ノードで、 を選択します。 ステップ 2 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp-trust] を選択します。 ステップ 4 署名付き証明書の説明を入力します。 ステップ 5 [Browse(参照)] をクリックしてルート証明書のファイルを見つけます。 ステップ 6 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 7 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] ウィンドウを使用して、各中間証明書を同じ方法でアップロードします。
次の作業
Cisco Intercluster Sync Agent サービスを再起動します。
Cisco Intercluster Sync Agent サービスの再起動
手順IM and Presence データベース パブリッシャ ノードにルートおよび中間証明書をアップロードしたら、そのノードで Cisco Intercluster Sync Agent サービスを再起動する必要があります。 このサービスの再起動することにより、ただちに CA 証明書が他のすべてのクラスタに同期されます。
ステップ 1 管理 CLI にログインします。 ステップ 2 次のコマンドを実行します。utils service restart Cisco Intercluster Sync Agent
次の作業
(注)
また、Cisco Unified Serviceability GUI からCisco Intercluster Sync Agent サービスを再起動できます。CA 証明書が他のクラスタに同期したことを確認します。
他のクラスタに CA 証明書が同期されていることの確認
手順Cisco Intercluster Sync Agent サービスが再起動した後、CA 証明書が他のクラスタに正しく同期されたことを確認する必要があります。 他の IM and Presence データベース パブリッシャの各ノードで、次の手順を実行します。
ステップ 1 を選択します。 ステップ 2 [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアが正常にセキュリティ証明書を交換しました)] テストを検索し、テストに合格していることを確認します。 ステップ 3 テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 ステップ 4 [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 ステップ 5 [Force Manual Sync(強制手動同期)] をクリックします。 ステップ 6 クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 ステップ 7 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 ステップ 8 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 7 を繰り返します。
ステップ 9 この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期がクラスタ間で正常に確立され、アップロードした CA 証明書がほかのクラスタに同期していることを意味します。
次の作業
各 IM and Presence Service ノードへ署名付き証明書をアップロードします。
各 IM and Presence Service ノードへの署名付き証明書のアップロード
手順CA 証明書がすべてのクラスタに正しく同期されている場合は、各 IM and Presence Service ノードに適切な署名付き cup-xmpp 証明書をアップロードできます。
(注)
クラスタに必要なすべての cup-xmpp 証明書に署名し、それらの証明書を同時にアップロードして、サービスへの影響が単一のメンテナンス時間帯内で管理できるようにすることを推奨します。
ステップ 1 を選択します。 ステップ 2 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp] を選択します。 ステップ 4 署名付き証明書の説明を入力します。 ステップ 5 アップロードするファイルを検索するには、[Browse(参照)] をクリックします。 ステップ 6 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 7 各 IM and Presence Service ノードで繰り返します。
証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide(Cisco Unified Communications オペレーティング システム管理ガイド)』を参照してください。
次の作業
すべてのノードで Cisco XCP ルータ サービスを再起動します。
すべてのノードの Cisco XCP Router サービスの再起動
手順
注意
Cisco XCP Router の再起動はサービスに影響を与えます。各 IM and Presence サービス ノードに cup-xmpp の証明書をアップロードしたら、各ノードで Cisco XCP Router サービスを再起動する必要があります。
ステップ 1 管理 CLI にログインします。 ステップ 2 次のコマンドを実行します。utils service restart Cisco XCP Router ステップ 3 各ノードで繰り返します。
(注)
また、Cisco Unified IM and Presence Serviceability GUI から Cisco XCP Router サービス を再起動できます。CA 署名付き cup-xmpp-s2s 証明書のアップロード
CA 署名付き cup-xmpp-s2s 証明書を IM and Presence Service にアップロードするためのハイレベルな手順は次のとおりです。
- 署名を行う認証局のルート証明書および中間証明書を IM and Presence Service にアップロードします。
- CA 証明書が他のクラスタに正しく同期されていることを確認します。
- 適切な署名付き証明書を IM and Presence Service フェデレーション ノードにアップロードします(この証明書はフェデレーションに使用する IM and Presence Service ノードにのみ必要であり、すべてのノードに必要なわけではありません)。
- 影響を受けるすべてのノードで Cisco XCP XMPP Federation Connection Manager サービスを再起動します。
- 署名を行う認証局のルート証明書および中間証明書のアップロード
- 他のクラスタに CA 証明書が同期されていることの確認
- フェデレーション ノードへの署名付き証明書のアップロード
- Cisco XCP XMPP Federation Connection Manager サービスの再起動
署名を行う認証局のルート証明書および中間証明書のアップロード
手順ルート証明書および中間証明書をアップロードする場合は、証明書チェーンの各証明書をルート証明書から中間証明書の順に IM and Presence Service へアップロードする必要があります。
root > intermediate-1 > intermediate-2 > … > intermediate-N
チェーンでアップロードする各証明書ごとに、以前にアップロードしたどの証明書が署名したかを指定する必要があります。 次に例を示します。
IM and Presence データベース パブリッシャ ノードで cup-xmpp-trust ストアにルート証明書および中間証明書(存在する場合)をアップロードする必要があります。 署名を行う認証局(CA)のルート証明書および中間証明書を展開された IM and Presence Service にアップロードするには、次の手順を実行します。
ステップ 1 IM and Presence データベース パブリッシャ ノードで、 を選択します。 ステップ 2 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp-trust] を選択します。 ステップ 4 署名付き証明書の説明を入力します。 ステップ 5 [Browse(参照)] をクリックしてルート証明書のファイルを見つけます。 ステップ 6 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 7 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] ウィンドウを使用して、各中間証明書を同じ方法でアップロードします。
次の作業
CA 証明書が他のクラスタと同期されたことを確認します。
他のクラスタに CA 証明書が同期されていることの確認
手順Cisco Intercluster Sync Agent サービスが再起動した後、CA 証明書が他のクラスタに正しく同期されたことを確認する必要があります。 他の IM and Presence データベース パブリッシャの各ノードで、次の手順を実行します。
ステップ 1 を選択します。 ステップ 2 [Inter-clustering Troubleshooter(クラスタ間トラブルシュータ)] で、[Verify that each TLS-enabled inter-cluster peer has successfully exchanged security certificates(各 TLS 対応クラスタ間ピアが正常にセキュリティ証明書を交換しました)] テストを検索し、テストに合格していることを確認します。 ステップ 3 テストでエラーが表示される場合は、クラスタ間ピアの IP アドレスを記録します。この IP アドレスは、CA 証明書をアップロードしたクラスタを参照している必要があります。 次のステップを続行し、問題を解決します。 ステップ 4 [System Troubleshooter(システム トラブルシュータ)] ページで識別したクラスタ間ピアに関連付けられているリンクをクリックします。 を選択し、 ステップ 5 [Force Manual Sync(強制手動同期)] をクリックします。 ステップ 6 クラスタ間ピア ステータス パネルの自動リフレッシュには、60 秒かかります。 ステップ 7 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 ステップ 8 [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていない場合は、IM and Presence データベース パブリッシャ ノードで Cisco Intercluster Sync Agent サービスを再起動してから、ステップ 5 ~ 7 を繰り返します。
ステップ 9 この時点で [Certificate Status(証明書のステータス)] フィールドに「Connection is secure(セキュアな接続です)」が表示されていることを確認します。 これは、クラスタ間同期がクラスタ間で正常に確立され、アップロードした CA 証明書がほかのクラスタに同期していることを意味します。
次の作業
各 IM and Presence Service ノードへ署名付き証明書をアップロードします。
フェデレーション ノードへの署名付き証明書のアップロード
手順CA 証明書がすべてのクラスタに正しく同期されている場合は、各 IM and Presence Service フェデレーション ノードに適切な署名付き 証明書をアップロードできます。 すべてのノードに証明書をアップロードする必要はありません。フェデレーション用のノードにだけアップロードします。
(注)
クラスタに必要なすべての cup-xmpp-s2s 証明書に署名し、それらを同時にアップロードすることを推奨します。
ステップ 1 [Cisco Unified IM and Presence OS Administration(Cisco Unified IM and Presence OS の管理)] > [Security(セキュリティ)] > [Certificate Management(証明書の管理)] を選択します。 ステップ 2 [Upload Certificate/Certificate chain(証明書/証明書チェーンのアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] ドロップダウン リストから [cup-xmpp] を選択します。 ステップ 4 署名付き証明書の説明を入力します。 ステップ 5 アップロードするファイルを検索するには、[Browse(参照)] をクリックします。 ステップ 6 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 7 各IM and Presence Service フェデレーション ノードで繰り返します。
証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide(Cisco Unified Communications オペレーティング システム管理ガイド)』を参照してください。
次の作業
影響を受けるノードで Cisco XCP XMPP Federation Connection Manager サービスを再起動します。
IM and Presence Service の SIP セキュリティの設定
TLS ピア サブジェクトの設定
手順IM and Presence サービス証明書をインポートすると、IM and Presence サービスは自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。
ステップ 1 の順に選択します。 ステップ 2 [Add New(新規追加)] をクリックします。 ステップ 3 ピア サブジェクト名に対して次の手順のいずれかを実行します。 ステップ 4 [Description(説明)] フィールドにノードの名前を入力します。 ステップ 5 [Save(保存)] をクリックします。
次の作業
TLS コンテキストの設定
手順IM and Presence サービス証明書をインポートすると、IM and Presence サービスは自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。
ステップ 1 の順に選択します。 ステップ 2 [Find(検索)] をクリックします。 ステップ 3 [Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context] を選択します。 ステップ 4 使用可能な TLS ピア サブジェクトのリストから、設定した TLS ピア サブジェクトを選択します。 ステップ 5 この TLS ピア サブジェクトを [Selected TLS Peer Subjects] に移動します。 ステップ 6 [Save(保存)] をクリックします。 ステップ 7 を選択します。 ステップ 8 Cisco SIP プロキシ サービスを再起動します。 TLS コンテキストに対する変更を有効にするには、SIP Proxy サービスを再起動する必要があります。
関連タスク
SIP プロキシツープロキシ クラスタ内プロトコル タイプの設定
手順IM and Presence Service がクラスタ間展開で SIP メッセージを安全にルーティングするために使用するプロトコルを選択します。 デフォルト値は、TLS プロトコルです。 クラスタ ノードがセキュアでないネットワークを介してトラフィックを送信し、セキュアな(暗号化された)接続チャネルが必要な場合に TLS を使用します。
ステップ 1 を選択します。 ステップ 2 [SIP Intra-cluster Proxy-to-Proxy Transport Protocol(SIP クラスタ間プロキシツープロキシ転送プロトコル)] メニューから [protocol type(プロトコル タイプ)]を選択します。 ステップ 3 [Save(保存)] をクリックします。 SIP Proxy プロトコルに対する変更を有効にするには、SIP Proxy サービスを再起動する必要があります。
関連タスク
IM and Presence Service の XMPP セキュリティの設定
- XMPP セキュリティ モード
- IM and Presence サービスと XMPP クライアント間のセキュア接続の設定
- IM and Presence サービスのオンによる XMPP クライアントのサポート
- XMPPフェデレーションセキュリティ証明書でワイルドカードを有効にする
XMPP セキュリティ モード
IM and Presence サービスは XMPP ベースの設定でセキュリティが強化されています。 次の表は、これらの XMPP のセキュリティ モードについて説明します。 IM and Presence サービスの XMPP セキュリティ モードを設定するには、 を選択します。
表 3 XMPP セキュア モードの説明 Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアントと IM/P サービス間のセキュア モードの有効化)
この設定をオンにすると、IM and Presence サービスは、クラスタ内の IM and Presence サービス ノードと XMPP クライアント アプリケーション間にセキュアな TLS 接続を確立します。 IM and Presence サービスは、このセキュア モードをデフォルトでオンにします。
このセキュア モードをオフにしないことを推奨します。ただし、XMPP クライアント アプリケーションが非セキュア モードでクライアント ログイン クレデンシャルを保護できる場合を除きます。 セキュア モードをオフにする場合は、他の方法で XMPP のクライアント ツー ノード通信を保護できることを確認してください。
Enable XMPP Router-to-Router Secure Mode(XMPP ルータツールータ セキュア モードの有効化)
この設定をオンにすると、IM and Presence サービスは同じクラスタ内または別のクラスタ内の XMPP ルータ間にセキュアな TLS 接続を確立します。 IM and Presence サービスは XMPP 証明書を XMPP 信頼証明書として自動的にクラスタ内またはクラスタ間で複製します。 XMPP ルータは、同じクラスタ内または別のクラスタ内にある他の XMPP ルータとの TLS 接続を確立しようとし、TLS 接続の確立に使用できます。
Enable Web Client to IM/P Service Secure Mode(Web クライアントと IM/P サービス間のセキュア モードの有効化)
この設定をオンにすると、IM and Presence サービスは、IM and Presence サービス ノードと XMPP ベースの API クライアント アプリケーション間のセキュアな TLS 接続を確立します。 この設定をオンにした場合は、IM and Presence サービスの cup-xmpp-trust リポジトリに Web クライアントの証明書または署名付き証明書をアップロードします。
注意 ネットワークおよび IM and Presence サービス ノードが IPv6をサポートし、XMPP ベースの API クライアント アプリケーションへのセキュアな TLS 接続の有効にする場合、ノードの IPv6 エンタープライズ パラメータを有効にする必要があり、Cisco Unified IM and Presence Operating System Administration を使用して各IM and Presence サービス ノードで Eth0 の IPv6 Ethernet IP 設定を有効にする必要があります。それ以外の場合は、IP トラフィックに IPv4 を使用しようとします。 IPv6 アドレスを使用する XMPP ベースの API クライアント アプリケーションから受信するパケットは配信されません。
外部データベース、LDAP サーバ、または Exchange サーバへの IPv6 接続を使用するためにノードが設定されている場合、または IPv6 を使用するフェデレーション配置がノードで設定されている場合、ノードを IPv4 を使用するように戻すことはできません。
XMPP のセキュリティ設定を更新した場合は、サービスを再起動します。 次のアクションのいずれかを実行します。
[Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Connection Manager を再起動します。 を選択して、このサービスを再起動します。
[Enable XMPP Router-to-Router Secure Mode(XMPP ルータツールータ セキュア モードの有効化)] を編集した場合は、Cisco XCP Router を再起動します。 を選択して、このサービスを再起動します。
[Enable Web Client to IM/P Service Secure Mode(Web クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Web Connection Manager を再起動します。 を選択して、このサービスを再起動します。
IM and Presence サービスと XMPP クライアント間のセキュア接続の設定
手順
ステップ 1 を選択します。 ステップ 2 次のいずれかの作業を実行します。
クラスタの IM and Presence サービスと XMPP client アプリケーションの間のセキュアな TLS 接続を確立するには、[Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアント ツー IM/P サービス セキュア モードを有効にする)] を選択します。
このセキュア モードをオフにしないことを推奨します。ただし、XMPP クライアント アプリケーションが非セキュア モードでクライアント ログイン クレデンシャルを保護できる場合を除きます。 セキュア モードをオフにする場合は、他の方法で XMPP のクライアント ツー ノード通信を保護できることを確認してください。
クラスタの IM and Presence サービスと XMPP ベースの API クライアント アプリケーション間のセキュアな TLS 接続を確立するには、[Enable Web Client To IM/P Service Secure Mode(Web クライアント ツー IM/P サービス セキュア モードを有効にする)] を選択します。
この設定をオンにする場合は、IM and Presence の cup-xmpp-trust リポジトリに Web クライアントの証明書または署名付き証明書をアップロードしてください。
注意 ネットワークと IM and Presence サービス ノードが IPv6 をサポートし、XMPP ベースの API クライアント アプリケーションへのセキュアな TLS 接続を有効にする場合は、ノードのIPv6 エンタープライズ パラメータを有効にし、クラスタの各 IM and Presence サービス ノードで Eth0 の IPv6 Ethernet IP 設定を有効にする必要があります。 エンタープライズ パラメータと Eth0 で IPv6 の設定がされていない場合は、ノードは XMPP ベースの API クライアント アプリケーションから受信する IPv6 パケットに対して IPv4 を使用するようにし、それらの IPv6 パケットは配信されません。
外部データベース、LDAP サーバ、またはエクスチェンジ サーバへの IPv6 接続を使用するようにノードが設定されている場合、または、IPv6 を使用するフェデレーション 展開がノードで設定されている場合は、ノードをIPv4 を使用するように戻すことはできません。
ステップ 3 [Save(保存)] をクリックします。
XMPP のセキュリティ設定を更新した場合は、次の手順の 1 つを使用して次のサービスを再起動します。
次の作業
[Enable XMPP Client To IM/P Service Secure Mode(XMPP クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Connection Manager を再起動します。 を選択して、このサービスを再起動します。
[Enable Web Client to IM/P Service Secure Mode(Web クライアント ツー IM/P サービスのセキュア モードを有効にする)] を編集した場合は、Cisco XCP Web Connection Manager を再起動します。 を選択して、このサービスを再起動します。
関連情報
IM and Presence サービスのオンによる XMPP クライアントのサポート
手順
ステップ 1 を選択します。 ステップ 2 [Server(サーバ)] メニューから [IM and Presence Service(IM and Presence サービス)] ノードを選択します。 ステップ 3 次のサービスをオンにします。
Cisco XCP Connection Manager:XMPP クライアントまたはIM and Presence サービスの XMPP ベースの API クライアントを統合する場合は、このサービスをオンします。
Cisco XCP Authentication Service:XMPP クライアント、XMPP ベースの API クライアント、または IM and Presence サービスの XMPP ベースの API クライアントを統合する場合は、このサービスをオンにします。
Cisco XCP Web Connection Manager:XMPP クライアント、または IM and Presence サービスの XMPP ベースの API クライアントを統合する場合は、このサービスを任意でオンにします。
ステップ 4 [Save(保存)] をクリックします。
ヒント XMPP クライアントが正常に機能するように、クラスタ内のすべてのノードで Cisco XCP Router がオンになっていることを確認します。
関連情報
XMPPフェデレーションセキュリティ証明書でワイルドカードを有効にする
手順TLS 経由の XMPP フェデレーション パートナー間のグループ チャットをサポートするために、XMPP セキュリティ証明書のワイルドカードを有効にする必要があります。
デフォルトでは、XMPP フェデレーション セキュリティ証明書の cup-xmpp-s2s には IM and Presence サービス展開によって設定されるすべてのドメインが含まれます。 これらは、証明書内の サブジェクト代替名(SAN)エントリとして追加されます。 同じ証明書内のすべてのホスト ドメインのワイルドカードを指定する必要があります。 したがって、"example.com" の SAN エントリの代わりに、XMPP セキュリティ証明書は "*.example.com" の SAN エントリが含まれる必要があります。 グループ チャット サーバのエイリアスが IM and Presence サービス システムの 1 つのホスト ドメインの サブドメインなので、ワイルドカードが必要とされます。 例:"conference.example.com"
ヒント
各ノードの cup xmpp s2s の証明書を表示するために、[Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presence の管理)] > [Security(セキュリティ)] > [Certificate Management(証明書の管理)] を選択し、[cup-xmpp-s2s.pem] リンクをクリックします。
ステップ 1 を選択します。 ステップ 2 [Enable Wildcards in XMPP Federation Security Certificates(XMPP Federation セキュリティ証明書のワイルドカードを有効にする)] をオンにします。 ステップ 3 [Save(保存)] をクリックします。
次の作業
Cisco XMPP Federation Connection Manager サービスが動作していて、XMPP Federation が有効になっているクラスタ内の全ノードの XMPP Federation セキュリティ証明書を再生成する必要があります。 TLS 経由の XMPP Federation グループ チャットをサポートするために、このセキュリティ設定はすべての IM and Presence サービス クラスタで有効である必要があります。
FIPS 140-2 モードの設定
FIPS 140-2 モード
Federal Information Processing Standard(FIPS)は、 暗号モジュールで従う必要がある要件を定義する米国およびカナダ政府の認証規格です。
警告
今のところ、IM and Presence Service は FIPS 認証を受け取っていません。 認証が完了するまで、FIPS 140-2 モードは正式にサポートされません。FIPS 140-2 にモードを有効にすると、IM and Presence Service がリブートし、起動時に証明書のセルフテストを実行します。さらに、暗号モジュールの整合性チェックを実行してからキー関連情報を再生成します。 この時点で、IM and Presence Service は FIPS 140-2 モードで動作します。
IM and Presence Service は、起動時のセルフテストを実行したり、承認済みの暗号化機能のリストに限定するなどして、FIPS 要件を満たします。
IM and Presence の FIPS モードは FIPS 140-2 レベル 1 で検証された OpenSSL FIPS モジュール バージョン 1.2 を使用します。 OpenSSL の関連マニュアルは、http://www.openssl.org/docs/fips/ で参照できます。
IM and Presence Service で、次の FIPS 関連タスクを実行できます。
(注)
デフォルトでは、IM and Presence Service は非 FIPS モードです。 CLI を使用して FIPS モードを有効にする必要があります。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Solutions』を参照してください。
FIPS 140-2 モードでのノード リブート
FIPS が有効または無効の場合、IM and Presence サービス ノードは自動的にリブートされます。 FIPS 140-2 モードで IM and Presence サービス ノードがリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS の起動時のセルフテストをトリガーします。
注意
これらのセルフテストのいずれかが失敗した場合、IM and Presence サービスは停止します。 起動時のセルフテストが一時的なエラーが原因で失敗した場合、IM and Presence サービス ノードを再起動すると問題が解決します。 ただし、起動時のセルフテスト エラーが解消されない場合、FIPS モジュールに重大な問題があり、リカバリ CD の使用が唯一のオプションとなります。
証明書の強制手動同期
手順FIPS が有効の場合、すべての証明書が再生成されます。 ただし証明書は、クラスタ間ピアの間で交換されていない場合があります。 この状況が発生した場合は、クラスタ間ピアの間の証明書の手動同期のために次の手順を実行します。
(注)
有効な FIPS がある 1 つのピアと有効な FIPS がない他のピアのクラスタ間ピアの間で、証明書は交換されません。 すべてのピアが FIPS モードの場合にのみ、クラスタ間ピア間で証明書を同期できます。
ステップ 1 を選択します。 ステップ 2 [intercluster peer whose certificate is not present(証明書が存在しないクラスタ間ピア)] を選択し、[Force Manual Sync(強制手動同期)] オプションを選択します。 ステップ 3 設定の詳細を確認し、[Delete(削除)] をクリックします。 ステップ 4 このコマンドを使用して CLI で FIPS を有効にします。 utils fips enable ノードがリブートします。 ステップ 5 を選択し、クラスタ間ピアを再度追加します。 ステップ 6 すべての証明書が同期されていることを確認します。
(注) これには数分かかることがあります。
ステップ 7 証明書が、20 分後に同期されない場合は、[intercluster peer whose certificate is not present(証明書が存在しないクラスタ間ピア)] を選択し、[Force Manual Sync(強制手動同期)] オプションを選択します。
(注) 中間またはルート認証局証明書をインポートした後、署名証明書をインポートする前に、10 分確保することを推奨します。