SSL を使用したクライアント/サーバー接続の保護

SSL を使用したクライアント/サーバー接続の保護

はじめに

この章では、証明書署名要求の作成、SSL 証明書の発行(または外部認証局による発行)、および Cisco Unity Connection サーバーへの証明書のインストールに関する情報を記載し、Cisco Personal Communications Assistant(Cisco PCA)および IMAP 電子メール クライアントから Cisco Unity Connection へのアクセスを保護します。

Cisco PCA Web サイトでは、ユーザーが Unity Connection を使用してメッセージや個人設定を管理するために使用する Web ツールにアクセスできます。 Unity Connection 音声メッセージへの IMAP クライアント アクセスはライセンス機能であることに注意してください。

関連資料

この章には、ユーザーがマルチサーバー証明書またはシングルサーバー証明書を使用して証明書署名要求 (CSR) を作成、生成、ダウンロード、アップロードする必要があるいくつかの例が含まれています。 詳細については、『Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection Release 15』の「セキュリティ」の章を参照してください。このガイドは、 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx.html から入手できます。https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx.html

Cisco PCA、Unity Connection SRSV、および IMAP 電子メール クライアントから Unity Connection へのアクセスを保護するための SSL 証明書のインストールの決定

Unity Connection をインストールすると、Cisco PCA と Unity Connection 間の通信、IMAP 電子メール クライアントと Unity Connection 間の通信、および Unity Connection SRSV と中央 Unity Connection サーバー間の通信を保護するために、ローカルの自己署名証明書が自動的に作成され、インストールされます。 つまり、Cisco PCA と Unity Connection 間のすべてのネットワーク トラフィック(ユーザー名、パスワード、その他のテキスト データ、音声メッセージを含む)が自動的に暗号化され、IMAP クライアントで暗号化を有効にすると IMAP 電子メール クライアントと Unity Connection 間のネットワーク トラフィックが自動的に暗号化され、Unity Connection SRSV と中央 Unity Connection サーバー間のネットワーク トラフィックが自動的に暗号化されます。 ただし、中間者攻撃のリスクを軽減したい場合は、この章の手順を実行してください。

SSL 証明書をインストールする場合は、証明機関の信頼証明書をユーザーのワークステーションの信頼されたルート ストアに追加することも検討することをお勧めします。 追加しないと、Web ブラウザに、Cisco PCA にアクセスするユーザーと、一部の IMAP 電子メール クライアントを使用して Unity Connection ボイス メッセージにアクセスするユーザーに対してセキュリティ警告が表示されます。

セキュリティ アラートの管理については、次の Web サイトで入手可能な『User Workstation Setup Guide for Cisco Unity Connection Release 15』の「Setting Up Access to the Cisco Personal Communications Assistant」の章にある「Managing Security Alerts Using Self-Signed Certificates with SSL Connections」の項を参照してください。https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/user_setup/guide/b_15cucuwsx/b_15cucuwsx_chapter_0101.html#concept_4FDAC1D616954D638A8E3E484BC75D7Dhttps://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/user_setup/guide/b_15cucuwsx.html

自己署名証明書の詳細については、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/srsv/guide/b_15cucsrsvx.html で入手可能な『Complete Reference Guide for Cisco Unity Connection Survivable Remote Site Voicemail (SRSV), Release 15』の「Security in Cisco Unity Connection Survivable Remote Site Voicemail」の章を参照してください。

Connection Administration、Cisco PCA、Unity Connection SRSV、および IMAP 電子メール クライアントの Unity Connection へのアクセスのセキュリティ保護

Cisco Unity Connection Administration、Cisco Personal Communications Assistant、Unity Connection SRSV、および IMAP 電子メール クライアントから Cisco Unity Connection へのアクセスを保護するために、SSL サーバー証明書を作成してインストールするには、次のタスクを実行します。

  1. Microsoft 証明書サービスを使用して証明書を発行する場合は、Microsoft 証明書サービスをインストールします。

  2. 別のアプリケーションを使用して証明書を発行する場合は、そのアプリケーションをインストールします。 インストール手順については、製造元のドキュメントを参照してください。 次に、タスク 3に進みます。

    外部の証明機関を使用して証明書を発行する場合は、タスク 3 に進みます


    (注)  
    Microsoft 証明書サービスまたは証明書署名リクエストを作成できる別のアプリケーションがすでにインストールされている場合は、タスク 3 に進みます。

  3. Unity Connection クラスタが設定されている場合は、クラスタ内の両方の Unity Connection サーバーに対して set web-security CLI コマンドを実行するか、マルチサーバー SAN 証明書(SIP 統合のみ)を生成し、両方のサーバーに同じ代替名を割り当てます。代替名は、証明書署名要求と証明書に自動的に含まれます。 set web-security CLI コマンドの詳細については、 『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html)を参照してください。

  4. Unity Connection クラスタが設定されている場合は、タスク 3 で割り当てた代替名を含む DNS A レコードを設定します。 最初にパブリッシャー サーバーをリストします。 これにより、すべての IMAP 電子メール アプリケーション、Cisco Personal Communications Assistant、および Unity Connection SRSV が同じ Unity Connection サーバー名を使用して Unity Connection 音声メッセージにアクセスできるようになります。

  5. 証明書署名要求を作成します。 次に、Microsoft 証明書サービスまたは証明書を発行する別のアプリケーションがインストールされているサーバーに証明書署名要求をダウンロードするか、証明書署名要求を外部 CA に送信するために使用できるサーバーに要求をダウンロードします。

    Unity Connection クラスタが単一サーバー証明書署名要求を使用して設定されている場合、Unity Connection クラスタ内の両方のサーバーに対してこのタスクを実行します。

  6. Microsoft 証明書サービスを使用してルート証明書をエクスポートし、サーバー証明書を発行する場合は、

    別のアプリケーションを使用して証明書を発行する場合は、証明書の発行に関する情報についてはアプリケーションのドキュメントを参照してください。

    外部 CA を利用して証明書を発行する場合は、証明書署名要求を外部 CA に送信します。外部 CA から証明書が返送されたら、タスク 7 に進みます

    Unity Connection にアップロードできるのは、PEM 形式 (Base-64 エンコード DER とも呼ばれます) の証明書のみです。 証明書には .pem ファイル名拡張子が必要です。 証明書がこの形式ではない場合は、通常、OpenSSL などの無料で利用できるユーティリティを使用して、証明書を PEM 形式に変換できます。

    Unity Connection クラスタが単一サーバー証明書署名要求を使用して構成されている場合は、Unity Connection クラスタの両方のサーバーに対してこのタスクを実行します。

  7. ルート証明書とサーバー証明書を Unity Connection サーバーにアップロードします。

    Unity Connection クラスタが単一サーバー証明書署名要求を使用して設定されている場合、Unity Connection クラスタ内の両方のサーバーに対してこのタスクを実行します。

  8. Unity Connection と IMAP 電子メール クライアントが新しい SSL 証明書を使用するように、Unity Connection IMAP サーバー サービスを再起動します。 接続 IMAP サーバーサービスの再起動を行ってください。

    Unity Connection クラスタが設定されている場合は、Unity Connection クラスタ内の両方のサーバーに対してこのタスクを実行します。

  9. ユーザーが Connection Administration、Cisco PCA、または IMAP 電子メール クライアントを使用して Unity Connection にアクセスするたびにセキュリティ警告が表示されないようにするには、ユーザーが Unity Connection にアクセスするすべてのコンピュータで次のタスクを実行します。

    タスク 7 で Unity Connection サーバーにアップロードしたサーバー証明書を証明書ストアにインポートします。 手順はブラウザまたは IMAP 電子メール クライアントによって異なります。 詳細については、ブラウザまたは IMAP 電子メール クライアントのドキュメントを参照してください。

    タスク 7 で Unity Connection サーバーにアップロードしたサーバー証明書を Java ストアにインポートします。 手順は、クライアント コンピュータで実行されているオペレーティング システムによって異なります。 詳細については、オペレーティング システムのドキュメントおよび Java ランタイム環境のドキュメントを参照してください。

IMAP サーバーサービスの再起動

手順

ステップ 1

Cisco Unity Connection Serviceability にログインします。

ステップ 2

[ツール] メニューで、 [サービス管理] を選択します

ステップ 3

[オプション サービス] セクションで、Connection IMAP Server サービスに対して [停止] を選択します

ステップ 4

ステータス領域に、Connection IMAP Server サービスが正常に停止されたことを示すメッセージが表示されたら、サービスの [ 開始 ] を選択します。

Cisco Unified MeetingPlace へのアクセスのセキュリティ保護

MeetingPlace へのアクセスをセキュリティで保護するには、次のタスクを実行します。

  1. MeetingPlace の SSL を設定します。 詳細については、https://www.cisco.com/c/en/us/support/conferencing/unified-meetingplace/products-maintenance-guides-list.html の『Administration Documentation for Cisco Unified MeetingPlace Release 8.0』の「Configuring SSL for the Cisco Unified MeetingPlace Application Server」の章を参照してください。

  2. Unity Connection を MeetingPlace と統合します。 MeetingPlace カレンダー統合用に Unity Connection を設定する場合は、セキュリティ トランスポートとして SSL を指定します。

  3. Unity Connection サーバーで、タスク 1 で MeetingPlace サーバーにインストールしたサーバー証明書を取得した証明機関のルート証明書をアップロードします。 次の点に注意してください。 

  4. ルート証明書は、MeetingPlace サーバーにインストールされた証明書と同じものではありません。 証明機関のルート証明書には、MeetingPlace サーバーにアップロードされた証明書の信頼性を検証するために使用できる公開キーが含まれています。

  • ルート証明書は、MeetingPlace サーバーにインストールされた証明書と同じものではありません。 証明機関のルート証明書には、MeetingPlace サーバーにアップロードされた証明書の信頼性を検証するために使用できる公開キーが含まれています。

  • Unity Connection にアップロードできるのは、PEM 形式 (Base-64 エンコード DER とも呼ばれます) の証明書のみです。 証明書には .pem ファイル名拡張子が必要です。 証明書がこの形式ではない場合は、通常、OpenSSL などの無料で利用できるユーティリティを使用して、証明書を PEM 形式に変換できます。

  • ルート証明書のファイル名にはスペースを含めることはできません。

Unity Connection と Cisco Unity Gateway サーバー間の通信のセキュリティ保護

Unity Connection でネットワークが設定されている場合、Connection Administration、Cisco Personal Communications Assistant、および IMAP 電子メール クライアントから Unity Connection へのアクセスを保護するために、次のタスクを実行して SSL サーバー証明書を作成し、インストールします。

  1. Microsoft 証明書サービスを使用して証明書を発行する場合は、Microsoft 証明書サービスをインストールします。 新しいバージョンの Windows Server を実行しているサーバーに Microsoft 証明書サービスをインストールする方法については、Microsoft のドキュメントを参照してください。

    別のアプリケーションを使用して証明書を発行する場合は、そのアプリケーションをインストールします。 インストール手順については、製造元のドキュメントを参照してください。 次に、タスク 2 に進みます

    外部の証明機関を使用して証明書を発行する場合は、タスク 2 に進みます


    (注)  
    Microsoft 証明書サービスまたは証明書署名リクエストを作成できる別のアプリケーションがすでにインストールされている場合は、タスク 2 に進みます。

  2. Unity Connection ゲートウェイサーバー用に Unity Connection クラスタが設定されている場合は、クラスタ内の両方の Unity Connection サーバーで set web-security CLI コマンドを実行し、両方のサーバーに同じ代替名を割り当てます。代替名は、証明書署名要求と証明書に自動的に含まれます。 set web-security CLI コマンドの詳細については、http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html の該当する『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。

  3. Unity Connection ゲートウェイ サーバー用に Unity Connection クラスタが設定されている場合は、タスク 2 で割り当てた代替名を含む DNS A レコードを設定します。 最初にパブリッシャサーバーを一覧表示します。 これにより、Cisco Unity は同じ Unity Connection サーバー名を使用して Unity Connection 音声メッセージにアクセスできるようになります。


    (注)  
    Unity Connection ゲートウェイ サーバーで、証明書署名要求を作成します。 次に、証明書署名要求を、Microsoft 証明書サービスまたは証明書を発行する他のアプリケーションがインストールされているサーバーにダウンロードするか、証明書署名要求を外部 CA に送信できるサーバーにダウンロードします。Unity Connection クラスタが設定されている場合は、Unity Connection クラスタ内の両方のサーバーに対してこのタスクを実行します。

    (注)  
    Cisco Unity ゲートウェイ サーバーで、証明書署名要求を作成します。 次に、Microsoft 証明書サービスまたは証明書を発行する他のアプリケーションがインストールされているサーバーに証明書署名要求をダウンロードするか、証明書署名要求を外部 CA に送信できるサーバーに要求をダウンロードします。Cisco Unity フェールオーバーが設定されている場合は、プライマリ サーバーとセカンダリ サーバーの両方でこのタスクを実行してください。

  4. Microsoft 証明書サービスを使用してルート証明書をエクスポートし、サーバー証明書を発行する場合は、「ルート証明書のエクスポートとサーバー証明書の発行 (Microsoft 証明書サービスのみ)」の手順を実行してください。

    別のアプリケーションを使用して証明書を発行する場合は、証明書の発行に関する情報についてはアプリケーションのドキュメントを参照してください。

    外部 CA を利用して証明書を発行する場合は、証明書署名要求を外部 CA に送信します。外部 CA から証明書が返送されたら、タスク 7 に進みます

    Unity Connection にアップロードできるのは、PEM 形式 (Base-64 エンコード DER とも呼ばれます) の証明書のみです。 証明書には pem ファイル名拡張子が必要です。 証明書がこの形式ではない場合は、通常、OpenSSL などの無料で利用できるユーティリティを使用して、証明書を PEM 形式に変換できます。

    このタスクは、Unity Connection サーバー(Unity Connection クラスタが設定されている場合は両方のサーバー)と Cisco Unity サーバー(フェールオーバーが設定されている場合は両方のサーバー)に対して実行します。

  5. ルート証明書とサーバー証明書を Unity Connection サーバーにアップロードします。


    (注)  
    Unity Connection クラスタが設定されている場合は、Unity Connection クラスタ内の両方のサーバーに対してこのタスクを実行します。

  6. Unity Connection と IMAP 電子メール クライアントが新しい SSL 証明書を使用するように、Unity Connection IMAP サーバー サービスを再起動します。 「IMAP サーバー サービスの再起動」を実行します。

    Unity Connection クラスタが設定されている場合は、Unity Connection クラスタ内の両方のサーバーに対してこのタスクを実行します。

  7. ルート証明書とサーバー証明書を Cisco Unity サーバーにアップロードします。


    (注)  
    フェールオーバーが構成されている場合は、プライマリ サーバーとセカンダリ サーバーに対してこのタスクを実行します。

Cisco Unity Gateway Server での証明書署名リクエストの作成とダウンロード

手順

ステップ 1

Windows の [スタート(Start)] メニューから、プログラム(Programs) > 管理ツール(Administrative Tools) > インターネット インフォメーション サービス(IIS)マネージャ(Internet Information Services (IIS) Manager)を選択します。

ステップ 2

Cisco Unity サーバーの名前を展開します。

ステップ 3

Web サイトを展開します

ステップ 4

「既定の Web サイト」 を右クリックし、 「プロパティ」 を選択します。

ステップ 5

[既定の Web サイトのプロパティ] ダイアログ ボックスで、 [ディレクトリ セキュリティ] タブを選択します。

ステップ 6

[セキュリティで保護された通信] の下で、 [サーバー証明書] を選択します。

ステップ 7

ウェブサーバー証明書ウィザードで:

  1. [次へ(Next)]を選択します。

  2. 「新しい証明書の作成」 を選択し、 「次へ」 を選択します。

  3. 「リクエストを今すぐ準備して、後で送信する」 を選択し、 「次へ」を選択します

  4. 証明書の名前とビット長を入力します。

    512 ビット長を選択することを強くお勧めします。ビット長が長くなると、パフォーマンスが低下する可能性があります。

  5. [次へ(Next)]を選択します。

  6. 組織情報を入力し、 「次へ」を選択します

  7. サイトの共通名には、Cisco Unity サーバーのシステム名または完全修飾ドメイン名を入力します。

    注意    

     
    この名前は、Unity Connection サイト ゲートウェイ サーバーが Cisco Unity サーバーにアクセスするための URL を作成するために使用する名前と完全に一致する必要があります。 この名前は、[ネットワーク] > [リンク] > [サイト間リンク] ページの [接続管理] にある [ホスト名] フィールドの値です。

  8. [次へ(Next)]を選択します。

  9. 地理情報を入力し、 「次へ」を選択します

  10. 証明書要求のファイル名と場所を指定し、次の手順で情報が必要になるため、ファイル名と場所を書き留めておきます。

  11. ファイルをディスクまたは証明機関 (CA) サーバーがアクセスできるディレクトリに保存します。

  12. [次へ(Next)]を選択します。

  13. リクエストファイルの情報を確認し、 「次へ」 を選択します。

  14. [完了] を選択して、Web サーバー証明書ウィザードを終了します。

ステップ 8

[OK] を選択して、[既定の Web サイトのプロパティ] ダイアログ ボックスを閉じます。

ステップ 9

インターネット インフォメーション サービス マネージャー ウィンドウを閉じます。

Connection IMAP サーバーサービスの再起動

手順

ステップ 1

Cisco Unity Connection Serviceability にログインします。

ステップ 2

[ツール] メニューで、 [サービス管理] を選択します

ステップ 3

[オプション サービス] セクションで、Connection IMAP Server サービスに対して [停止] を選択します。

ステップ 4

ステータス領域に、Connection IMAP Server サービスが正常に停止されたことを示すメッセージが表示されたら、サービスの [ 開始 ] を選択します。

Cisco Unity サーバーへのルート証明書とサーバー証明書のアップロード

手順

ステップ 1

Cisco Unity サーバーに、コンピュータ アカウントの証明書 MMC をインストールします。

ステップ 2

証明書をアップロードします。 詳細については、Microsoft のドキュメントを参照してください。

Microsoft 証明書サービスのインストール (Windows Server 2008)

サードパーティの証明機関を使用して SSL 証明書を発行する場合、または Microsoft 証明書サービスが既にインストールされている場合は、このセクションをスキップしてください。

手順

ステップ 1

サーバー マネージャーを開き、[役割の追加] をクリックし、[次へ] をクリックして、[Active Directory 証明書サービス] をクリックします。 「次へ」を 2 回クリックします。

ステップ 2

[役割サービスの選択] ページで、[証明機関] をクリックします。 [次へ(Next)] をクリックします。

ステップ 3

[セットアップ タイプの指定] ページで、[スタンドアロン] または [エンタープライズ] をクリックします。 [次へ(Next)] をクリックします。

(注)  

 
エンタープライズ CA をインストールするには、ドメイン コントローラーへのネットワーク接続が必要です。

ステップ 4

「CA タイプの指定」ページで、「ルート CA」をクリックします。「次へ」をクリックします。

ステップ 5

[秘密キーの設定] ページで、[新しい秘密キーの作成] をクリックします。 [次へ(Next)] をクリックします。

ステップ 6

[暗号化の構成] ページで、暗号化サービス プロバイダー、キーの長さ、およびハッシュ アルゴリズムを選択します。 [次へ(Next)] をクリックします。

ステップ 7

「CA 名の設定」ページで、CA を識別するための一意の名前を作成します。「次へ」をクリックします。

ステップ 8

[有効期間の設定] ページで、ルート CA 証明書の有効期間を年数または月数で指定します。 [次へ(Next)] をクリックします。

ステップ 9

[証明書データベースの構成] ページで、証明書データベースと証明書データベース ログのカスタムの場所を指定する場合を除き、デフォルトの場所を受け入れます。 [次へ(Next)] をクリックします。

ステップ 10

[インストール オプションの確認] ページで、選択したすべての構成設定を確認します。 これらのオプションをすべて受け入れる場合は、「インストール」をクリックし、セットアップ プロセスが完了するまで待ちます。

ステップ 11

Active Directory Certificate Authority を右クリックします。 [役割サービスの追加(Add Role Services)] を選択し、[Certificate Authority ウェブ登録(Certificate Authority Web Enrollment)]、[オンラインレスポンダー(Online Responder)]、[ネットワークデバイス登録サービス(Network Device Enrollment Service)] のチェックボックスをオンにして、これらのサービスをインストールします。

ステップ 12

サーバー マネージャー -> 役割の追加 -> 次へ -> Web サーバー (IIS) ボックスをオンにしてインストールします。

ステップ 13

Web サーバー (IIS) を右クリックします。 [役割サービスの追加] を選択し、すべての役割サービスをチェックしてインストールします。

ルート証明書のエクスポートとサーバー証明書の発行 (Microsoft 証明書サービスのみ)

手順

ステップ 1

Microsoft 証明書サービスをインストールしたサーバーで、Domain Admins グループのメンバーであるアカウントを使用して Windows にログインします。

ステップ 2

Windows の [スタート(Start)] メニューから、プログラム(Programs) > 管理ツール(Administrative Tools) > 証明機関(Certification Authority)を選択します。

ステップ 3

左側のペインで、[認証局(ローカル)Certification Authority (Local)] > < [認証局名(Certification authority name)] を展開します。ここで、<Certification authority name> は、「Microsoft 証明書サービスのインストール(Windows Server 2008)」でMicrosoft 証明書サービスをインストールしたときに証明機関に付けた名前です。

ステップ 4

ルート証明書をエクスポートします。

  1. 証明機関の名前を右クリックし、 [プロパティ] を選択します。

  2. [全般] タブで、 [証明書の表示] を選択します。

  3. 詳細 タブを選択します。

  4. [ファイルにコピー] を選択します。

  5. [証明書のエクスポート ウィザードへようこそ(Welcome to the Certificate Export Wizard)] ページで、[次へ(Next)] を選択します。

  6. [エクスポートファイルの形式(Export File Format)] ページで、[次へ(Next)] を選択して、[DER エンコードバイナリ X.509(.CER)(DER Encoded Binary X.509 (.CER))] のデフォルト値を受け入れます。

  7. [エクスポートするファイル] ページで、.cer ファイルのパスとファイル名を入力します。 Unity Connection サーバーからアクセスできるネットワークの場所を選択します。

    パスとファイル名を書き留めます。 後の手順で必要になります。

  8. ウィザードがエクスポートを完了するまで、画面上の指示に従います。

  9. [OK] を選択して証明書ダイアログ ボックスを閉じ、もう一度 [OK] を選択してプロパティ ダイアログ ボックスを閉じます。

ステップ 5

サーバー証明書を発行します。

  1. 証明機関の名前を右クリックし、 [すべてのタスク] > [新しい要求の送信] を選択します

  2. 作成した証明書署名リクエストファイルの場所を参照し、ファイルをダブルクリックします。

  3. 証明機関の左側のペインで、 [保留中の要求] を選択します

  4. b.で送信した保留中のリクエストを右クリックし、 [すべてのタスク] > [発行] を選択します

  5. 証明機関の左側のペインで、 発行された証明書を選択します。

  6. 新しい証明書を右クリックし、 [すべてのタスク] > [バイナリ データのエクスポート] を選択します。

  7. [バイナリ データのエクスポート] ダイアログ ボックスの [バイナリ データを含む列] リストで、 [バイナリ証明書] を選択します。

  8. バイナリ データをファイルに保存を選択します。

  9. [OK] を選択します。

  10. [バイナリ データの保存] ダイアログ ボックスで、パスとファイル名を入力します。 Cisco Unity Connection サーバーからアクセスできるネットワークの場所を選択します。

    パスとファイル名を書き留めます。 後の手順で必要になります。

  11. [OK] を選択します。

ステップ 6

[認証局(Certification Authority)] を閉じます。