Cisco Unity Connection Survivable Remote Site Voicemail(SRSV)完全リファレンス ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年5月3日
章のタイトル: Cisco Unity Connection Survivable Remote Site Voicemail のセキュリティ
Cisco Unity Connection Survivable Remote Site Voicemail のセキュリティ
はじめに
この章では、中央の Cisco Unity Connection と Cisco Unity Connection SRSV 間でセキュアな通信を行う方法について説明します。また、Unity Connection SRSV のパスワードと PIN についても説明します。
自己署名証明書の使用
自己署名証明書を使用して、中央の Unity Connection サーバと Unity Connection SRSV 間の通信を保護できます。デフォルトでは、中央の Unity Connection サーバと Unity Connection SRSV は自己署名証明書を受け入れません。
中央の Unity Connection サーバでの自己署名証明書へのアクセス
Cisco Tomcat Service の再起動
証明書エラーの無視
Unity Connection SRSV でこの機能を有効にすると、中央サーバの SSL 証明書に関連するエラーを無視できます。この機能が有効な場合は、証明書エラーが発生しても Unity Connection SRSV が機能します。
Unity Connection SRSV での証明書エラーの無視機能の有効化
Cisco Tomcat Service の再起動
Unity Connection と Cisco Unity SRSV 間の通信の保護
Unity Connection SRSV は、セキュア ソケット レイヤ(SSL)と共有秘密の両方を使用して、中央の Unity Connection とブランチ間の通信を保護します。次に、中央の Unity Connection サーバと Unity Connection SRSV 間の通信を保護する方法を示します。
-
SSL 証明書のインストール:Unity Connection SRSV をインストールすると、ローカル証明書が自動的に作成されてインストールされ、Unity Connection SRSV と Unity Connection 間の通信が保護されます。つまり、Unity Connection SRSV と Unity Connection 間のすべてのネットワーク トラフィック(ユーザ名、パスワード、その他のテキスト データ、ボイスメールなど)が自動的に暗号化されます。
-
共有秘密の使用:Unity Connection SRSV は、共有秘密を使用して Unity Connection へのアクセスを認証します。共有秘密の詳細については、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/11x/security/b_11xcucsecx.html にある『Security Guide for Cisco Unity Connection, Release 11.x』の「Passwords, PINs, and Authentication Rule Management」の章の「Unity Connection SRSV Passwords and Shared Secrets」の項を参照してください。
- Unity Connection SRSV Administration と Unity Connection SRSV 間の通信を保護するためのタスク リスト
- Microsoft 証明書サービスのインストール(Windows Server 2003 の場合のみ)
- ルート証明書のエクスポートとサーバ証明書の発行(Microsoft 証明書サービスの場合のみ)
Unity Connection SRSV Administration と Unity Connection SRSV 間の通信を保護するためのタスク リスト
Unity Connection SRSV Administration と Unity Connection SRSV 間の通信を保護するには、次のタスクを実行し、SSL サーバ証明書を作成してインストールします。
-
Microsoft 証明書サービスを使用して証明書を発行する場合:Microsoft 証明書サービスをインストールします。Windows Server 2003 を実行しているサーバに Microsoft 証明書サービスをインストールする方法については、Microsoft 証明書サービスのインストール(Windows Server 2003 の場合のみ)を参照してください。それ以降のバージョンの Windows Server を実行しているサーバに Microsoft 証明書サービスをインストールする方法については、Microsoft のドキュメントを参照してください。
別のアプリケーションを使用して証明書を発行する場合は、そのアプリケーションをインストールします。インストール手順について製造元のマニュアルを参照し、タスク 2 に進みます。
外部の認証局を使用して証明書を発行する場合は、タスク 2 に進みます。
(注)
Microsoft 証明書サービス、または証明書署名要求を作成できる別のアプリケーションをインストール済みの場合は、タスク 2 に進みます。
-
証明書署名要求を作成します。次に、Microsoft 証明書サービスまたは証明書を発行する他のアプリケーションがインストールされているサーバに証明書署名要求をダウンロードします。または、外部認証局(CA)への証明書署名要求の送信に使用できるサーバに要求をダウンロードします。Cisco Unity SRSV での証明書署名要求の作成とダウンロードを行います。
-
Microsoft 証明書サービスを使用してルート証明書のエクスポートおよびサーバ証明書の発行を行う場合:ルート証明書のエクスポートとサーバ証明書の発行(Microsoft 証明書サービスの場合のみ) の手順を実行します。
(注)
証明書の発行に別のアプリケーションを使用する場合は、証明書の発行についてそのアプリケーションのドキュメントを参照してください。証明書の発行に外部の CA を使用する場合は、外部の CA に証明書署名要求を送信します。外部 CA から証明書が返されたら、タスク 4 に進みます。
Unity Connection SRSV にアップロードできるのは、PEM 形式(Base-64 エンコードされた DER)の証明書だけです。証明書のファイル名拡張子は .pem であることが必要です。証明書がこの形式でない場合は、OpenSSL などの無償で使用できるユーティリティを使用して PEM 形式に変換できます。
-
ルート証明書とサーバ証明書を Unity Connection SRSV サーバにアップロードします。Unity Connection SRSV へのルート証明書とサーバ証明書のアップロードを行います。
-
ユーザが Unity Connection SRSV Administration または Cisco Unity Connection Administration を使用して Unity Connection SRSV にアクセスするたびに、ユーザにセキュリティ アラートが発行されないようにします。ユーザが Unity Connection SRSV にアクセスできるすべてのコンピュータで、次のタスクを実行します。
- Cisco Unity SRSV での証明書署名要求の作成とダウンロード
- Unity Connection SRSV へのルート証明書とサーバ証明書のアップロード
- Unity Connection での Connection Branch Sync Service の再起動
Cisco Unity SRSV での証明書署名要求の作成とダウンロード
| ステップ 1 | [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] で、[セキュリティ(Security)] を展開し、[証明書の管理(Certificate Management)] を選択します。 |
| ステップ 2 | [証明書の一覧(Certificate List)] ページで、[CSRCritical Services の作成(Generate CSR)] を選択します。 |
| ステップ 3 | [証明書署名要求の作成(Generate Certificate Signing Request)] ページの [証明書の名前(Certificate Name)] リストで、[tomcat] を選択し、次に [CSR の作成(Generate CSR)] を選択します。 |
| ステップ 4 | CSR が正常に生成されたことを示すメッセージがステータス エリアに表示されたら、[閉じる(Close)] を選択します。 |
| ステップ 5 | [証明書の一覧(Certificate List)] ページで、[CSR のダウンロード(Download CSR)] を選択します。 |
| ステップ 6 | [証明書署名要求のダウンロード(Download Certificate Signing Request)] ページの [証明書の名前(Certificate Name)] リストで、[tomcat] を選択し、次に [CSR のダウンロード(Download CSR)] を選択します。 |
| ステップ 7 | [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] を選択します。 |
| ステップ 8 | [名前を付けて保存(Save As)] ダイアログボックスの [保存の種類(Save As Type)] リストで、[すべてのファイル(All Files)] を選択します。 |
| ステップ 9 | tomcat.csr ファイルを、Microsoft 証明書サービスをインストールしたサーバ、または外部の認証局に CSR を送信するのに使用できるサーバ上の場所に保存します。 |
| ステップ 10 | [証明書署名要求のダウンロード(Download Certificate Signing Request)] ページで、[閉じる(Close)] を選択します。 |
Unity Connection SRSV へのルート証明書とサーバ証明書のアップロード
| ステップ 1 | [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] で、[セキュリティ(Security)] を展開し、[証明書の管理(Certificate Management)] を選択します。
| ||
| ステップ 2 | ルート証明書をアップロードします。 | ||
| ステップ 3 | サーバ証明書をアップロードします。 | ||
| ステップ 4 | Tomcat サービスを再起動します(このサービスは Cisco Unified Serviceability からは再起動できません)。 |
Unity Connection での Connection Branch Sync Service の再起動
| ステップ 1 | Cisco Unity Connection Serviceability で、[ツール(Tools)] メニューを展開し、[サービス管理(Service Management)] を選択します。 |
| ステップ 2 | [オプション サービス(Optional Services)] セクションで、[Connection Branch Sync] サービスに対して [停止(Stop)] を選択します。 |
| ステップ 3 | Unity Connection IMAP サーバ サービスが正常に停止したことを示すメッセージが [ステータス(Status)] エリアに表示されたら、このサービスの [開始(Start)] を選択します。 |
Microsoft 証明書サービスのインストール(Windows Server 2003 の場合のみ)
サードパーティの認証局を使用して SSL 証明書を発行する場合や、Microsoft 証明書サービスがすでにインストールされている場合は、この項の手順を省略してください。
Microsoft 証明書サービスを使用して独自の証明書を発行する場合で、Windows Server 2003 を実行しているサーバにこのアプリケーションをインストールする場合に、この項の手順を実行します。
ルート認証局(Microsoft 証明書サービスの一般的な名称)を Windows Server 2008 サーバにインストールする場合は、Windows Server 2008 のオンライン ヘルプを参照してください。
| ステップ 1 | Unity Connection SRSV ボイスメールにアクセスするすべてのクライアント コンピュータで解決できる DNS 名(FQDN)または IP アドレスを持つサーバで、ローカル管理者グループのメンバーであるアカウントを使用して Windows にログインします。 |
| ステップ 2 | Windows の [スタート] メニューで、[設定] > [コントロール パネル] > [プログラムの追加と削除] の順に選択します。 |
| ステップ 3 | [プログラムの追加と削除(Add or Remove Programs)] の左側のパネルで、[Windows コンポーネントの追加と削除(Add/Remove Windows Components)] を選択します。 |
| ステップ 4 | [Windows コンポーネント(Windows Components)] ダイアログボックスで、[証明書サービス(Certificate Services)] チェックボックスをオンにします。 |
| ステップ 5 | コンピュータ名の変更やドメイン メンバーシップの変更ができないことを通知する警告が表示されたら、[はい(Yes)] を選択します。 |
| ステップ 6 | [次へ(Next)] を選択します。 |
| ステップ 7 | [CA の種類] ページ で、[スタンドアロン ルート CA] を選択し、[次へ] を選択します。(スタンドアロンの認証局(CA)とは、Active Directory を必要としない CA です)。 |
| ステップ 8 | [CA の ID 情報(CA Identifying Information)] ページの [この CA の通常名(Common Name for This CA)] フィールドに、認証局の名前を入力します。 |
| ステップ 9 | [識別名のサフィックス(Distinguished Name Suffix)] フィールドで、デフォルト値を選択します。 |
| ステップ 10 | [有効期間] に対して、デフォルト値の [5 年] を選択し、[次へ] を選択します。 |
| ステップ 11 | [証明書データベース設定(Certificate Database Settings)] ページで、[次へ(Next)] を選択してデフォルト値を受け入れます。
インターネット インフォメーション サービスがコンピュータ上で実行されており、先に進むにはこのサービスを停止する必要があることを通知するメッセージが表示されたら、[はい(Yes)] を選択してこのサービスを停止します。 |
| ステップ 12 | Windows Server 2003 のディスクをドライブに挿入するように求められたら、ディスクを挿入します。 |
| ステップ 13 | [Windows コンポーネントの完了ウィザード(Completing the Windows Components Wizard)] ダイアログボックスで、[終了(Finish)] を選択します。 |
| ステップ 14 | [プログラムの追加と削除(Add or Remove Programs)] ダイアログボックスを閉じます。 |
ルート証明書のエクスポートとサーバ証明書の発行(Microsoft 証明書サービスの場合のみ)
| ステップ 1 | Microsoft 証明書サービスをインストールしたサーバで、Domain Admins グループのメンバであるアカウントを使用して Windows にサインインします。 |
| ステップ 2 | Windows の [スタート] メニューで、[プログラム] > [管理ツール] を選択し、[証明機関] を選択します。 |
| ステップ 3 | 左側のペインで、[証明機関(ローカル)] を展開し、Microsoft 証明書サービスのインストール(Windows Server 2003 の場合のみ) で Microsoft 証明書サービスをインストールする際に作成した証明機関を選択します。 |
| ステップ 4 | ルート証明書をエクスポートします。 |
| ステップ 5 | サーバ証明書を発行します。 |
| ステップ 6 | [認証局(Certification Authority)] を閉じます。 |
Unity Connection SRSV のパスワードと共有秘密
中央 Unity Connection サーバから Unity Connection SRSV サーバに対するすべての要求は通信に Unity Connection SRSV 管理者クレデンシャルを使用しますが、Unity Connection SRSV から Unity Connection への要求は、認証に秘密トークンを使用します。
中央 Unity Connection サーバは、Unity Connection SRSV の管理者ユーザ名とパスワードを使用してサーバへのアクセスを認証します。Unity Connection SRSV のユーザ名とパスワードは、中央の Unity Connection サーバに新しいブランチを作成するときに、Unity Connection データベースに格納されます。
Unity Connection SRSV を使用するプロビジョニング サイクルごとに、中央 Unity Connection サーバは秘密トークンを生成し、Unity Connection SRSV と共有します。Unity Connection SRSV サイトからのプロビジョニングが完了した後、同じトークンを使用して Unity Connection に通知します。その後、プロビジョニング サイクルの完了後すぐ、このトークンは Unity Connection サーバと Unity Connection SRSV サーバの両方から削除されます。ランタイム トークン キーの概念は、共有秘密として知られています。
Unity Connection SRSV ユーザ PIN の変更
Unity Connection SRSV の管理または電話ユーザ インターフェイス(TUI)から Unity Connection SRSV ユーザの PIN を変更できます。選択したユーザの PIN を変更した後、Unity Connection SRSV データベースのユーザ情報を更新するよう、関連するブランチをプロビジョニングする必要があります。
(注) | Cisco Unity Connection SRSV の管理インターフェイスを介して SRSV ユーザの PIN を変更することはできません。 |
フィードバック