この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
パーティション イントラドメイン フェデレーションの Microsoft Office Communications サーバの設定は、Microsoft Office Communications Server (OCS) 2007 R2 にのみ適用されます。
パーティション イントラドメイン フェデレーションフェデレーション IM and Presence サービスをセット アップする前に、Microsoft OCS サーバに一致するドメインが設定されていることと、IM and Presence サービス クラスタにすべてのノードがあることを確認します。
Cisco Unified CM IM and Presence Administration ユーザ インターフェイスを使用して、IM and Presence サービスに設定されたローカル ドメインと、外部サーバに設定されたシステム管理ドメインを確認します。
IM and Presence サービスおよび OCS との間の SIP トラフィックに暗号化されていない TCP 接続を使用する場合は、OCS サーバを SIP TCP ポート 5060 でリッスンするように設定します。 フェデレーテッド TLS 接続に、TLS ポート 5061 でリッスンするように OCS サーバを設定します。
(注) |
|
次の表では、IM and Presence Service と Microsoft OCS サーバ間のフェデレーション リンクを設定する手順の概要を示します。
Access Edge サーバまたは Cisco Adaptive Security Appliance なしで IM and Presence Service から OCS に直接フェデレーションを使用している場合は、OCS サーバの各ドメインで TLS または TCP のスタティック ルートを設定する必要があります。 これらのスタティック ルートは IM and Presence サービス ノードをポイントします。 Cisco Adaptive Security Applianceまたは Microsoft Access Edge は必要ではありません。
Standard Edition では Standard Edition サーバのスタティック ルートを設定する必要があります。
Enterprise Edition では、すべてのプールにスタティック ルートを設定する必要があります。
ダイレクト フェデレーション用に OCS が IM and Presence サービスに要求をルーティングできるようにするには、各 IM and Presence サービス ドメインについて OCS サーバで TLS または TCP のスタティック ルートを設定する必要があります。 これらのスタティック ルートは IM and Presence サービス ノードをポイントします。
(注) |
|
ステップ 1 | を選択します。 | ||
ステップ 2 | 適宜 Enterprise Edition プール名または Standard Edition サーバ名を右クリックします。 | ||
ステップ 3 | を選択します。 | ||
ステップ 4 | [Routing(ルーティング)] タブを選択し、[Add(追加)] をクリックします。 | ||
ステップ 5 | foo.com など、IM and Presence サービス ノードのドメインを入力します。 | ||
ステップ 6 | [Phone URI(電話 URI)] チェックボックスがオフになっていることを確認します。 | ||
ステップ 7 |
ネクスト ホップ トランスポート、ポート、IP アドレス /FQDN 値を設定します。
|
||
ステップ 8 | [Replace host in request URI(要求 URI のホストを置換)] チェックボックスがオフになっていることを確認します。 | ||
ステップ 9 | [OK(OK)] をクリックして、[Add Static Route(スタティック ルートを追加)] ウィンドウを閉じます。 新しいスタティック ルートがルーティング リストに表示されるはずです。 | ||
ステップ 10 | [OK(OK)] を再度選択して、[Front End Server Properties(フロント エンド サーバ プロパティ)] ウィンドウを閉じます。 |
認証を求められずに OCS が IM and Presence Service から SIP 要求を承認できるようにするには、IM and Presence Service ノードごとに OCS でホスト認証エントリを設定する必要があります。
TCP の場合、IM and Presence サービス IP アドレスを使用する 1 つのホスト認証エントリのみを各 IM and Presence サービス ノードに追加する必要があります。
OCS とIM and Presence Service 間の TLS 暗号化を設定する場合、次のように各 IM and Presence Service ノードに 2 つのホスト認証エントリを追加する必要があります。
TLS 暗号化を設定しない場合は、 IM and Presence サービス ノードに 1 つのホスト認証エントリのみを追加します。 このホスト認証エントリには、IM and Presence サービス ノードの IP アドレスが含まれている必要があります。
次の手順では、必要なホスト認証エントリを追加する方法について説明します。
(注) |
|
ステップ 1 | を選択します。 |
ステップ 2 | 適宜 Enterprise Edition プール名または Standard Edition サーバ名を右クリックします。 |
ステップ 3 | を選択します。 |
ステップ 4 | [Host Authorization(ホスト認証)] タブを選択し、[Add(追加)] をクリックします。 |
ステップ 5 | FQDN を入力している場合、[FQDN(FQDN)] を選択して、IM and Presence Service ノードの FQDN を入力します。 たとえば、imp1.foo.com などです。 |
ステップ 6 | IP アドレスを入力する場合は、[IP Address(IP アドレス)] を選択し、IM and Presence Service ノードの IP アドレスを入力します。 たとえば、10.x.x.x などです。 |
ステップ 7 | [Outbound Only(発信のみ)] チェックボックスがオフになっていることを確認します。 |
ステップ 8 | [Throttle as Server(サーバとしてのスロットル)] チェックボックスをオンにします。 |
ステップ 9 | [Treat as Authenticated(認証付きとして処理)] チェックボックスをオンにします。 |
ステップ 10 | [OK(OK)] をクリックして、[Add Authorized Host(認定ホストを追加)] ウィンドウを閉じます。 |
ステップ 11 | IM and Presence ノードごとに手順 4 ~ 10 を繰り返します。 |
ステップ 12 | すべてのホスト認証エントリを追加したら、[OK(OK)] を選択して、[Front End Server Properties(フロント エンド プロパティ)] ウィンドウを閉じます。 |
OCS ですべての設定手順が完了したら、OCS サービスを再起動し、設定を有効にする必要があります。
(注) |
|
ステップ 1 | を選択します。 |
ステップ 2 | Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 |
ステップ 3 | サービスが停止したら、Standard Edition サーバまたは Enterprise Edition のフロント エンド サーバの FQDN を右クリックし、 を選択します。 |
IM and Presence サービスと OCS の間で TLS 暗号化を設定するには、この項の手順を完了する必要があります。
TLS の設定が完了したら、OCS サーバでサービスを再起動する必要があります。 OCS フロントエンド サーバでのサービスの再起動を参照してください。
IM and Presence サービス および OCS 間の TLS 暗号化を設定するには、TLS 相互認証について OCS サーバでポート 5061 を設定する必要があります。 次の手順では、相互 TLS 認証用にポート 5061 を設定する方法について説明します。
(注) |
|
ステップ 1 | を選択します。 |
ステップ 2 | Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 |
ステップ 3 | [General(全般)] タブを選択します。 |
ステップ 4 | ポート 5061 に関連付けられた転送が MTLS の場合、手順 8 に進みます。 |
ステップ 5 | ポート 5061 に関連付けられた転送が MTLS ではない場合、[Edit(編集)] をクリックします。 |
ステップ 6 | [Transport(トランスポート)] ドロップダウン リストから、[MTLS(MTLS)] を選択します。 |
ステップ 7 | [OK(OK)] をクリックして、[Edit Connection(接続を編集)] ウィンドウを閉じます。 これで、ポート 5061 に関連付けられた転送は MTLS になるはずです。 |
ステップ 8 | [OK(OK)] をクリックして、[Properties(プロパティ)] ウィンドウを閉じます。 |
IM and Presence サービスおよび OCS 間の TLS 暗号化をサポートするには、OCS サーバごとに署名付きセキュリティ証明書がなければなりません。 この署名付き証明書は、証明書に署名した認証局(CA)のルート証明書とともに、各 OCS サーバにインストールする必要があります。
OCS サーバと IM and Presence サービス ノードで同じ CA を共有することをお勧めします。 共有していない場合、IM and Presence サービス 証明書に署名した CA のルート証明書も各 OCS サーバにインストールする必要があります。
通常、OCS CA のルート証明書は各 OCS サーバにすでにインストールされています。 したがって、OCS と IM and Presence サービスが同じ CA を共有している場合、ルート証明書のインストールは必要ない場合があります。 ただし、ルート証明書が必要な場合は、次の詳細を参照してください。
Microsoft 認証局を使用している場合、Microsoft 認証局から OCS へのルート証明書のインストールについて、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照してください。
代替 CA を使用している場合、次の手順が、ルート証明書を OCS サーバにインストールする一般的な手順になります。 CA からルート証明書をダウンロードする手順は、選択した CA によって異なります。
ステップ 1 | OCS サーバで、 を選択します。 |
ステップ 2 | mmc と入力し、[OK(OK)] をクリックします。 |
ステップ 3 | [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。 |
ステップ 4 | [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。 |
ステップ 5 | [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択してから、[Add(追加)] を選択します。 |
ステップ 6 | [Computer account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。 |
ステップ 7 | [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。 |
ステップ 8 | [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。 |
ステップ 9 | [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。 |
ステップ 10 | [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。 |
ステップ 11 | [Certificates(証明書)] を右クリックし、[All Tasks(すべてのタスク)] を選択します。 |
ステップ 12 | [Import(インポート)] をクリックします。 |
ステップ 13 | インポート ウィザードで、[Next(次へ)] をクリックします。 |
ステップ 14 | [Browse(参照)] を選択して、ルート証明書または証明書チェーンを保存した場所に移動します。 |
ステップ 15 | ファイルを選択し、[Open(開く)] をクリックします。 |
ステップ 16 | [Next(次へ)] をクリックします。 |
ステップ 17 | [証明書をすべて次のストアに配置する(Place all certificates in the following store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [信頼されたルート証明機関(Trusted Root Certification Authorities)] が表示されていることを確認します。 |
ステップ 18 | [Next(次へ)] をクリックし、さらに [Finish(完了)] をクリックします。 |
ステップ 19 | 他の CA について、必要に応じて手順 11 ~ 18 を繰り返します。 |
(注) |
『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』マニュアルでは、Access Edge サーバについて説明しています。 パーティション イントラドメイン フェデレーションについては、Access Edge サーバへの参照を OCS Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと置き換えることができます。 |
IM and Presence サービスと OCS 間の TLS 暗号化をサポートするには、OCS サーバごとに、クライアント認証をサポートする署名付きセキュリティ証明書がなければなりません。 署名付き証明書がすでに OCS サーバにインストールされている場合、次の手順では、その既存の署名付き証明書がクライアント認証をサポートしているかどうか確認する方法について説明します。
(注) |
|
ステップ 1 | OCS サーバで、 を選択します。 |
ステップ 2 | mmc と入力し、[OK(OK)] をクリックします。 |
ステップ 3 | [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。 |
ステップ 4 | [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。 |
ステップ 5 | [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択し、[Add(追加)] を選択します。 |
ステップ 6 | [Computer Account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。 |
ステップ 7 | [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。 |
ステップ 8 | [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。 |
ステップ 9 | [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。 |
ステップ 10 | [Personal(パーソナル)] を展開して、[Certificates(証明書)] を選択します。 |
ステップ 11 | 右側のペインで、現在 OCS により使用されている署名付き証明書を見つけます。 |
ステップ 12 | [サーバとクライアントの認証の証明書(Server and Client Authentication)] が [使用目的(Intended Purposes)] カラムに記載されていることを確認します。 |
この項では、Microsoft Office Communicator Server(OCS)に署名入り証明書をインストールし、TLS ネゴシエーションのためにインストールした証明書を選択する方法について説明します。
(注) |
このトピックの手順は、OCS に署名付き証明書が存在しない、または既存の証明書がクライアント認証をサポートしていない場合のみ必要です。 |
IM and Presence サービスと OCS 間の TLS 暗号化をサポートするには、OCS ごとに、クライアント認証をサポートする署名付きセキュリティ証明書がなければなりません。 どの OCS にも署名付きセキュリティ証明書がない場合、次の手順は、認証局から新たに署名した証明書を要求し、その特定の OCS にインストールする方法の概要を説明します。
スタンドアロン Microsoft 認証局を使用している場合、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照して、OCS の CA から署名付き証明書を要求します。
(注) |
このマニュアルは Access Edge サーバについて説明しています。 パーティション イントラドメイン フェデレーションについては、Access Edge サーバへの参照を OCS Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと置き換えることができます。 |
エンタープライズ Microsoft 認証局を使用している場合、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照して、CA で必要なテンプレートを生成し、OCS の CA から署名付き証明書を要求します。
代替 CA を使用している場合、次の手順が、署名付き証明書を OCS にインストールする一般的な手順になります。 署名付き証明書を要求する手順は、選択した CA によって異なります。
ステップ 1 | OCS サーバで、 を選択します。 |
ステップ 2 | mmc と入力し、[OK(OK)] をクリックします。 |
ステップ 3 | [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。 |
ステップ 4 | [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。 |
ステップ 5 | [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択し、[Add(追加)] を選択します。 |
ステップ 6 | [Computer Account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。 |
ステップ 7 | [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。 |
ステップ 8 | [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。 |
ステップ 9 | [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。 |
ステップ 10 | [個人(Personal)] を展開します。 |
ステップ 11 | [Certificates(証明書)] を右クリックし、[All Tasks(すべてのタスク)] を選択します。 |
ステップ 12 | [Import(インポート)] をクリックします。 |
ステップ 13 | インポート ウィザードで、[Next(次へ)] をクリックします。 |
ステップ 14 | [Browse(参照)] を選択して、署名付き証明書を保存した場所に移動します。 |
ステップ 15 | ファイルを選択し、[Open(開く)] をクリックします。 |
ステップ 16 | [Next(次へ)] をクリックします。 |
ステップ 17 | [証明書をすべて次のストアに配置する(Place all certificates in the following store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [個人(Personal)] が表示されていることを確認します。 |
ステップ 18 | [Next(次へ)] をクリックし、さらに [Finish(完了)] をクリックします。 |
使用されている CA に関係なく、署名付き証明書が OCS サーバにインストールされたら、次の手順を実行して、TLS が IM and Presence サービスとネゴシエーションする場合に OCS が使用するインストール済み証明書を選択する必要があります。
ステップ 1 | を選択します。 |
ステップ 2 | Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 |
ステップ 3 | [Security(セキュリティ)] タブを選択し、[Select Certificate(証明書を選択)] を選択します。 |
ステップ 4 | インストール済み証明書のリストから、新たに署名された証明書を選択し、[OK(OK)] を選択して [Select Certificate(証明書を選択)] ウィンドウを閉じます。 |
ステップ 5 | [OK(OK)] をクリックして、[Properties(プロパティ)] ウィンドウを閉じます。 |
目次
- Microsoft Office Communications Server for Partitioned Intradomain Federation の設定
- OCS サーバのドメインの確認
- OCS サーバでのポート 5060/5061 の有効化
- Microsoft OCS サーバ コンフィギュレーション タスク・リストにフェデレーション リンク
- IM and Presence サービスをポイントするように OCS のスタティック ルートを設定する
- OCS での IM and Presence Service のホスト認証の追加
- OCS フロントエンド サーバでのサービスの再起動
- TLS 暗号化の設定
- TLS 相互認証の OCS での設定
- 認証局ルート証明書の OCS へのインストール
- 既存の OCS 署名付き証明書の検証
- OCS サーバの認証局から署名付き証明書の要求
- 署名付き証明書の OCS サーバへのインストール
- TLS ネゴシエーション用にインストールされた証明書の選択
パーティション イントラドメイン フェデレーションの Microsoft Office Communications サーバの設定は、Microsoft Office Communications Server (OCS) 2007 R2 にのみ適用されます。
- OCS サーバのドメインの確認
- OCS サーバでのポート 5060/5061 の有効化
- Microsoft OCS サーバ コンフィギュレーション タスク・リストにフェデレーション リンク
- IM and Presence サービスをポイントするように OCS のスタティック ルートを設定する
- OCS での IM and Presence Service のホスト認証の追加
- OCS フロントエンド サーバでのサービスの再起動
- TLS 暗号化の設定
OCS サーバでのポート 5060/5061 の有効化
手順IM and Presence サービスおよび OCS との間の SIP トラフィックに暗号化されていない TCP 接続を使用する場合は、OCS サーバを SIP TCP ポート 5060 でリッスンするように設定します。 フェデレーテッド TLS 接続に、TLS ポート 5061 でリッスンするように OCS サーバを設定します。
(注)
- Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
- Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。
ステップ 1 を選択します。 ステップ 2 Standard Edition または Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 ステップ 3 [全般(General)] タブをクリックします。 ステップ 4 [Connections(接続)] にポート 5060 または 5061 が記載されていない場合は、[Add(追加)] を選択します。 ステップ 5 [IP Address Value(IP アドレス値)] に [All(すべて)] を選択します。 ステップ 6 [Transport(トランスポート)] および [Port(ポート)] の値を入力します。 ステップ 7 [OK(OK)] をクリックして、[Add Connection(接続を追加)] ウィンドウを閉じます。 これで、ポート値が [接続(Connections)] リストに記載されているはずです。 ステップ 8 [OK(OK)] を再度選択して、[Front End Server Properties(フロント エンド サーバ プロパティ)] ウィンドウを閉じます。
次の作業
関連情報
Microsoft OCS サーバ コンフィギュレーション タスク・リストにフェデレーション リンク
次の表では、IM and Presence Service と Microsoft OCS サーバ間のフェデレーション リンクを設定する手順の概要を示します。
Access Edge サーバまたは Cisco Adaptive Security Appliance なしで IM and Presence Service から OCS に直接フェデレーションを使用している場合は、OCS サーバの各ドメインで TLS または TCP のスタティック ルートを設定する必要があります。 これらのスタティック ルートは IM and Presence サービス ノードをポイントします。 Cisco Adaptive Security Applianceまたは Microsoft Access Edge は必要ではありません。
Standard Edition では Standard Edition サーバのスタティック ルートを設定する必要があります。
Enterprise Edition では、すべてのプールにスタティック ルートを設定する必要があります。
表 1 Microsoft OCS サーバへのフェデレーション リンクのエンドツーエンド設定のタスク リスト TLS または TCP がサポートされています。
TLS では、[プロトコル タイプ(Protocol Type)] に [TLS]、[ネクスト ホップ ポート(Next Hop Port)] の番号として [5061] を選択します。
TCP では、[プロトコル タイプ(Protocol Type)] に [TCP]、[ネクスト ホップ ポート(Next Hop Port)] の番号として [5060] を選択します。
TLS または TCP がサポートされています。
TLS の場合、スタティック ルート ポートは 5061 になります。
TCP の場合、スタティック ルート ポートは 5060 になります。
(注) TLS で、IM and Presence Service ピアの認証のリスナー ポートはデフォルトで 5062 に設定されます。 ピアの認証のリスナー ポートが Microsoft のサーバからのフェデレーション トラフィックを受け入れるため、Microsoft サーバのスタティック ルートに合わせてピア認証のリスナー ポートを 5061 に 切り替えてください。 IM and Presence Service ピアの認証リスナー ポートを 5061 に設定するには、Cisco Unfied CM IM and Presence Administration にログインし、 を選択します。
この手順は、TLS および TCP に適用されます。
TLS では、IM and Presence サービス ノードそれぞれについて、1 つのエントリにIM and Presence サービス ノードの IP アドレスを使用し、2 つ目のエントリに IM and Presence サービス FQDN を使用して、2 つのホスト認証エントリを追加する必要があります。
TCP の場合、IM and Presence サービス IP アドレスを使用する 1 つのホスト認証エントリのみを各 IM and Presence サービス ノードに追加する必要があります。
この手順は TLS の場合だけです。
OCS の[フロントエンド サーバ プロパティ(Front End Server Properties)] で、OCS のポート 5061 で TLS リスナーが設定されていることを確認します。 (トランスポートは MTLS または TLS の場合もあります)。
[OCS Front End Server Properties(OCS フロント エンド サーバ プロパティ)] で、[Certificates(証明書)] タブを選択し、[Select Certificate(証明書を選択)] をクリックして、OCS 署名証明書を選択します。
IM and Presence Service に OCS サーバ証明書に署名した CA のルート証明書をアップロードします。 また、IM and Presence Service 用の CSR を生成し、CA によって署名されるようにします。 CA 署名付き証明書を IM and Presence Service にアップロードします。
その後、OCS サーバの IM and Presence Service で TLS ピア サブジェクトを追加します。 詳細な手順については、証明書のセットアップに関するトピックを参照してください。
IM and Presence サービスをポイントするように OCS のスタティック ルートを設定する
手順ダイレクト フェデレーション用に OCS が IM and Presence サービスに要求をルーティングできるようにするには、各 IM and Presence サービス ドメインについて OCS サーバで TLS または TCP のスタティック ルートを設定する必要があります。 これらのスタティック ルートは IM and Presence サービス ノードをポイントします。
(注)
- Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
- Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。
ステップ 1 を選択します。 ステップ 2 適宜 Enterprise Edition プール名または Standard Edition サーバ名を右クリックします。 ステップ 3 を選択します。 ステップ 4 [Routing(ルーティング)] タブを選択し、[Add(追加)] をクリックします。 ステップ 5 foo.com など、IM and Presence サービス ノードのドメインを入力します。 ステップ 6 [Phone URI(電話 URI)] チェックボックスがオフになっていることを確認します。 ステップ 7 ネクスト ホップ トランスポート、ポート、IP アドレス /FQDN 値を設定します。
TCP の場合は、[Next Hop Transport(次の ホップ トランスポート)] 値に [TCP(tCP)] を選択し、[Next Hop Port(次のホップ ポート)] 値に 5060 を入力します。 ネクスト ホップ IP アドレスとして IM and Presence サービス ノードの IP アドレスを入力します。
TLS の場合は、[Next Hop Transport(次のホップ トランスポート)] 値に [TLS(TLS)] を選択し、[Next Hop Port(次のホップ ポート)] 値に 5061 を入力します。 FQDN として IM and Presence サービス ノードの IP アドレスを入力します。
(注) ステップ 8 [Replace host in request URI(要求 URI のホストを置換)] チェックボックスがオフになっていることを確認します。 ステップ 9 [OK(OK)] をクリックして、[Add Static Route(スタティック ルートを追加)] ウィンドウを閉じます。 新しいスタティック ルートがルーティング リストに表示されるはずです。 ステップ 10 [OK(OK)] を再度選択して、[Front End Server Properties(フロント エンド サーバ プロパティ)] ウィンドウを閉じます。
次の作業
OCS での IM and Presence Service のホスト認証の追加
手順認証を求められずに OCS が IM and Presence Service から SIP 要求を承認できるようにするには、IM and Presence Service ノードごとに OCS でホスト認証エントリを設定する必要があります。
TCP の場合、IM and Presence サービス IP アドレスを使用する 1 つのホスト認証エントリのみを各 IM and Presence サービス ノードに追加する必要があります。
OCS とIM and Presence Service 間の TLS 暗号化を設定する場合、次のように各 IM and Presence Service ノードに 2 つのホスト認証エントリを追加する必要があります。
- 最初のエントリには、IM and Presence サービス ノードの FQDN を含める必要があります。
- 2 つ目のエントリには、IM and Presence サービス ノードの IP アドレスを含める必要があります。
TLS 暗号化を設定しない場合は、 IM and Presence サービス ノードに 1 つのホスト認証エントリのみを追加します。 このホスト認証エントリには、IM and Presence サービス ノードの IP アドレスが含まれている必要があります。
次の手順では、必要なホスト認証エントリを追加する方法について説明します。
(注)
- Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
- Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。
ステップ 1 を選択します。 ステップ 2 適宜 Enterprise Edition プール名または Standard Edition サーバ名を右クリックします。 ステップ 3 を選択します。 ステップ 4 [Host Authorization(ホスト認証)] タブを選択し、[Add(追加)] をクリックします。 ステップ 5 FQDN を入力している場合、[FQDN(FQDN)] を選択して、IM and Presence Service ノードの FQDN を入力します。 たとえば、imp1.foo.com などです。 ステップ 6 IP アドレスを入力する場合は、[IP Address(IP アドレス)] を選択し、IM and Presence Service ノードの IP アドレスを入力します。 たとえば、10.x.x.x などです。 ステップ 7 [Outbound Only(発信のみ)] チェックボックスがオフになっていることを確認します。 ステップ 8 [Throttle as Server(サーバとしてのスロットル)] チェックボックスをオンにします。 ステップ 9 [Treat as Authenticated(認証付きとして処理)] チェックボックスをオンにします。 ステップ 10 [OK(OK)] をクリックして、[Add Authorized Host(認定ホストを追加)] ウィンドウを閉じます。 ステップ 11 IM and Presence ノードごとに手順 4 ~ 10 を繰り返します。 ステップ 12 すべてのホスト認証エントリを追加したら、[OK(OK)] を選択して、[Front End Server Properties(フロント エンド プロパティ)] ウィンドウを閉じます。
次の作業
関連情報
OCS フロントエンド サーバでのサービスの再起動
手順OCS ですべての設定手順が完了したら、OCS サービスを再起動し、設定を有効にする必要があります。
(注)
- この手順は、あらかじめスケジュールされたメンテナンスの時間帯に実施することをお勧めします。
- Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
- Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。
ステップ 1 を選択します。 ステップ 2 Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 ステップ 3 サービスが停止したら、Standard Edition サーバまたは Enterprise Edition のフロント エンド サーバの FQDN を右クリックし、 を選択します。
関連情報
TLS 暗号化の設定
IM and Presence サービスと OCS の間で TLS 暗号化を設定するには、この項の手順を完了する必要があります。
TLS の設定が完了したら、OCS サーバでサービスを再起動する必要があります。 OCS フロントエンド サーバでのサービスの再起動を参照してください。
TLS 相互認証の OCS での設定
手順IM and Presence サービス および OCS 間の TLS 暗号化を設定するには、TLS 相互認証について OCS サーバでポート 5061 を設定する必要があります。 次の手順では、相互 TLS 認証用にポート 5061 を設定する方法について説明します。
(注)
- Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
- Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。
ステップ 1 を選択します。 ステップ 2 Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 ステップ 3 [General(全般)] タブを選択します。 ステップ 4 ポート 5061 に関連付けられた転送が MTLS の場合、手順 8 に進みます。 ステップ 5 ポート 5061 に関連付けられた転送が MTLS ではない場合、[Edit(編集)] をクリックします。 ステップ 6 [Transport(トランスポート)] ドロップダウン リストから、[MTLS(MTLS)] を選択します。 ステップ 7 [OK(OK)] をクリックして、[Edit Connection(接続を編集)] ウィンドウを閉じます。 これで、ポート 5061 に関連付けられた転送は MTLS になるはずです。 ステップ 8 [OK(OK)] をクリックして、[Properties(プロパティ)] ウィンドウを閉じます。
次の作業
関連情報
認証局ルート証明書の OCS へのインストール
手順IM and Presence サービスおよび OCS 間の TLS 暗号化をサポートするには、OCS サーバごとに署名付きセキュリティ証明書がなければなりません。 この署名付き証明書は、証明書に署名した認証局(CA)のルート証明書とともに、各 OCS サーバにインストールする必要があります。
OCS サーバと IM and Presence サービス ノードで同じ CA を共有することをお勧めします。 共有していない場合、IM and Presence サービス 証明書に署名した CA のルート証明書も各 OCS サーバにインストールする必要があります。
通常、OCS CA のルート証明書は各 OCS サーバにすでにインストールされています。 したがって、OCS と IM and Presence サービスが同じ CA を共有している場合、ルート証明書のインストールは必要ない場合があります。 ただし、ルート証明書が必要な場合は、次の詳細を参照してください。
Microsoft 認証局を使用している場合、Microsoft 認証局から OCS へのルート証明書のインストールについて、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照してください。
代替 CA を使用している場合、次の手順が、ルート証明書を OCS サーバにインストールする一般的な手順になります。 CA からルート証明書をダウンロードする手順は、選択した CA によって異なります。
ステップ 1 OCS サーバで、 を選択します。 ステップ 2 mmc と入力し、[OK(OK)] をクリックします。 ステップ 3 [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。 ステップ 4 [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。 ステップ 5 [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択してから、[Add(追加)] を選択します。 ステップ 6 [Computer account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。 ステップ 7 [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。 ステップ 8 [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。 ステップ 9 [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。 ステップ 10 [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。 ステップ 11 [Certificates(証明書)] を右クリックし、[All Tasks(すべてのタスク)] を選択します。 ステップ 12 [Import(インポート)] をクリックします。 ステップ 13 インポート ウィザードで、[Next(次へ)] をクリックします。 ステップ 14 [Browse(参照)] を選択して、ルート証明書または証明書チェーンを保存した場所に移動します。 ステップ 15 ファイルを選択し、[Open(開く)] をクリックします。 ステップ 16 [Next(次へ)] をクリックします。 ステップ 17 [証明書をすべて次のストアに配置する(Place all certificates in the following store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [信頼されたルート証明機関(Trusted Root Certification Authorities)] が表示されていることを確認します。 ステップ 18 [Next(次へ)] をクリックし、さらに [Finish(完了)] をクリックします。 ステップ 19 他の CA について、必要に応じて手順 11 ~ 18 を繰り返します。
次の作業
(注)
『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』マニュアルでは、Access Edge サーバについて説明しています。 パーティション イントラドメイン フェデレーションについては、Access Edge サーバへの参照を OCS Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと置き換えることができます。
既存の OCS 署名付き証明書の検証
手順IM and Presence サービスと OCS 間の TLS 暗号化をサポートするには、OCS サーバごとに、クライアント認証をサポートする署名付きセキュリティ証明書がなければなりません。 署名付き証明書がすでに OCS サーバにインストールされている場合、次の手順では、その既存の署名付き証明書がクライアント認証をサポートしているかどうか確認する方法について説明します。
(注)
- Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
- Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。
ステップ 1 OCS サーバで、 を選択します。 ステップ 2 mmc と入力し、[OK(OK)] をクリックします。 ステップ 3 [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。 ステップ 4 [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。 ステップ 5 [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択し、[Add(追加)] を選択します。 ステップ 6 [Computer Account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。 ステップ 7 [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。 ステップ 8 [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。 ステップ 9 [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。 ステップ 10 [Personal(パーソナル)] を展開して、[Certificates(証明書)] を選択します。 ステップ 11 右側のペインで、現在 OCS により使用されている署名付き証明書を見つけます。 ステップ 12 [サーバとクライアントの認証の証明書(Server and Client Authentication)] が [使用目的(Intended Purposes)] カラムに記載されていることを確認します。
次の作業
関連情報
OCS サーバの認証局から署名付き証明書の要求
この項では、Microsoft Office Communicator Server(OCS)に署名入り証明書をインストールし、TLS ネゴシエーションのためにインストールした証明書を選択する方法について説明します。
(注)
このトピックの手順は、OCS に署名付き証明書が存在しない、または既存の証明書がクライアント認証をサポートしていない場合のみ必要です。
IM and Presence サービスと OCS 間の TLS 暗号化をサポートするには、OCS ごとに、クライアント認証をサポートする署名付きセキュリティ証明書がなければなりません。 どの OCS にも署名付きセキュリティ証明書がない場合、次の手順は、認証局から新たに署名した証明書を要求し、その特定の OCS にインストールする方法の概要を説明します。
スタンドアロン Microsoft 認証局
スタンドアロン Microsoft 認証局を使用している場合、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照して、OCS の CA から署名付き証明書を要求します。
(注)
このマニュアルは Access Edge サーバについて説明しています。 パーティション イントラドメイン フェデレーションについては、Access Edge サーバへの参照を OCS Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと置き換えることができます。
署名付き証明書の OCS サーバへのインストール
手順
ステップ 1 OCS サーバで、 を選択します。 ステップ 2 mmc と入力し、[OK(OK)] をクリックします。 ステップ 3 [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。 ステップ 4 [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。 ステップ 5 [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択し、[Add(追加)] を選択します。 ステップ 6 [Computer Account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。 ステップ 7 [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。 ステップ 8 [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。 ステップ 9 [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。 ステップ 10 [個人(Personal)] を展開します。 ステップ 11 [Certificates(証明書)] を右クリックし、[All Tasks(すべてのタスク)] を選択します。 ステップ 12 [Import(インポート)] をクリックします。 ステップ 13 インポート ウィザードで、[Next(次へ)] をクリックします。 ステップ 14 [Browse(参照)] を選択して、署名付き証明書を保存した場所に移動します。 ステップ 15 ファイルを選択し、[Open(開く)] をクリックします。 ステップ 16 [Next(次へ)] をクリックします。 ステップ 17 [証明書をすべて次のストアに配置する(Place all certificates in the following store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [個人(Personal)] が表示されていることを確認します。 ステップ 18 [Next(次へ)] をクリックし、さらに [Finish(完了)] をクリックします。
次の作業
関連情報
TLS ネゴシエーション用にインストールされた証明書の選択
手順使用されている CA に関係なく、署名付き証明書が OCS サーバにインストールされたら、次の手順を実行して、TLS が IM and Presence サービスとネゴシエーションする場合に OCS が使用するインストール済み証明書を選択する必要があります。
ステップ 1 を選択します。 ステップ 2 Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、 を選択します。 ステップ 3 [Security(セキュリティ)] タブを選択し、[Select Certificate(証明書を選択)] を選択します。 ステップ 4 インストール済み証明書のリストから、新たに署名された証明書を選択し、[OK(OK)] を選択して [Select Certificate(証明書を選択)] ウィンドウを閉じます。 ステップ 5 [OK(OK)] をクリックして、[Properties(プロパティ)] ウィンドウを閉じます。
次の作業
関連情報