証明書の概要
システムでは、自己署名証明書とサードパーティの署名付き証明書が使用されます。送信元から宛先までのデータ整合性を確保するために、デバイスのセキュア認証、データの暗号化、データのハッシュを行う際に、システム内のデバイス間で証明書を使用します。証明書を使用することにより、帯域幅、通信、操作のセキュアな転送が可能になります。
証明書を使用する際、意図した Web サイト、電話、FTP サーバなどのエンティティとの間でデータがどのように暗号化され共有されているかを理解し、それを定義することが最も重要な部分です。
システムが証明書を信頼するということは、システムにプレインストールされている証明書によって、適切な接続先と情報を共有していることが完全に確信されているということです。そうでない場合、システムはこれらのポイント間の通信を終了します。
証明書を信頼するには、サードパーティ認証局(CA)によって信頼がすでに確立されている必要があります。
まずデバイスが CA 証明書と中間証明書の両方を信頼できると認識していることが必要であり、そうであるならデバイスは Secure Socket Layer(SSL)ハンドシェイクというメッセージの交換によって提供されるサーバ証明書を信頼することができます。
(注) |
Tomcat 用の EC ベースの証明書がサポートされています。この新しい証明書を tomcat-ECDSA といいます。詳細については、『Configuration and Administration of IM and Presence Service on Cisco Unified Communications Manager』の「Enhanced TLS Encryption on IM and Presence Service」の章を参照してください。 Tomcat インターフェイスの EC 暗号はデフォルトで無効になっています。Cisco Unified Communications Manager または IM and Presence Service で [HTTPS 暗号(HTTPS Ciphers)] のエンタープライズ パラメータを使用して、これらを有効にできます。このパラメータを変更すると、すべてのノードで Cisco Tomcat サービスを再起動する必要があります。 EC ベースの証明書の詳細については、『Release Notes for Cisco Unified Communications Manager and IM and Presence Service』の「ECDSA Support for Common Criteria for Certified Solutions」を参照してください。 |
サードパーティの署名付き証明書または証明書チェーン
アプリケーション証明書を署名した認証局の認証局ルート証明書をアップロードします。下位認証局がアプリケーション証明書に署名した場合は、下位認証局の認証局ルート証明書をアップロードする必要があります。すべての認証局証明書の PKCS#7 形式の証明書チェーンもアップロードできます。
認証局ルート証明書およびアプリケーション証明書は、同じ [証明書のアップロード(Upload Certificate)] ダイアログボックスを使用してアップロードできます。認証局ルート証明書または認証局証明書だけがある証明書チェーンをアップロードする場合は、certificate type-trust 形式の証明書名を選択します。アプリケーション証明書またはアプリケーション証明書と認証局証明書がある証明書チェーンをアップロードする場合は、証明書タイプだけが含まれている証明書名を選択します。
たとえば、Tomcat 認証局証明書または認証局証明書チェーンをアップロードする場合は tomcat-trust を選択します。Tomcat アプリケーション証明書またはアプリケーション証明書と認証局証明書がある証明書チェーンをアップロードする場合は、tomcat または tomcat-ECDSA を選択します。
CAPF 認証局ルート証明書をアップロードすると、CallManager の信頼ストアにコピーされるため、認証局ルート証明書を個別に CallManager にアップロードする必要はありません。
(注) |
サード パーティの認証局署名付き証明書が正常にアップロードされると、署名付き証明書を取得するために使用された、最近生成した CSR が削除され、サード パーティの署名付き証明書(アップロードされている場合)を含む既存の証明書が上書きされます。 |
(注) |
tomcat-trust、CallManager-trust、および Phone-SAST-trust 証明書がクラスタの各ノードに自動的にレプリケートされます。 |
(注) |
ディレクトリの信頼証明書を tomcat-trust にアップロードすることができます。それは、DirSync サービスがセキュア モードで動作するために必要となります。 |
サード パーティ認証局証明書
サードパーティの認証局が発行するアプリケーション証明書を使用するには、署名付きのアプリケーション証明書と認証局ルート証明書の両方を、認証局から、または PKCS#7 証明書チェーン(Distinguished Encoding Rules(DER))から取得する必要があります。それには、アプリケーション証明書と認証局証明書の両方が含まれています。これらの証明書の取得に関する情報は、認証局から入手してください。そのプロセスは、認証局ごとに異なります。署名アルゴリズムでは、RSA 暗号化を使用する必要があります。
Cisco Unified Communications オペレーティング システムでは、プライバシー拡張メール(PEM)エンコード形式で CSR が作成されます。システムは、DER および PEM エンコード形式の証明書と、PEM 形式の PKCS#7 証明書チェーンを受け入れます。認証局プロキシ機能(CAPF)以外の証明書タイプの場合、それぞれのノードについて認証局ルート証明書およびアプリケーション証明書を取得してアップロードする必要があります。
CAPF の場合、1 つ目のノードについてのみ認証局ルート証明書およびアプリケーション証明書を取得してアップロードします。CAPF および Cisco Unified Communications Manager の CSR には、認証局へのアプリケーション証明書要求に含める必要のある拡張情報が含まれています。認証局が拡張要求メカニズムをサポートしていない場合は、次の手順に従って X.509 拡張をイネーブルにする必要があります。
-
CAPF CSR では、次の拡張情報が使用されます。
X509v3 拡張キーの使用: TLS Web サーバ認証、IPSec エンド システム X509v3 キーの使用: デジタル署名、証明書署名
-
Tomcat および Tomcat-ECDSA の CSR では、次の拡張情報を使用します。
(注)
Tomcat または Tomcat-ECDSA では、キー同意も IPsec エンド システム キー使用も不要です。
X509v3 拡張キー使用: TLS Web サーバ認証、TLS Web クライアント認証、IPSec エンド システム X509v3 キー使用: デジタル署名、キー暗号化、データ暗号化、キー同意
-
IPSec の CSR では、次の拡張情報を使用します。
X509v3 拡張キー使用: TLS Web サーバ認証、TLS Web クライアント認証、IPSec エンド システム X509v3 キー使用: デジタル署名、キー暗号化、データ暗号化、キー同意
-
Cisco Unified Communications Manager の CSR では、次の拡張情報を使用します。
X509v3 拡張キー使用: TLS Web サーバ認証、TLS Web クライアント認証 X509v3 キー使用: デジタル署名、キー暗号化、データ暗号化、キー同意
(注) |
自分の証明書に対して CSR を生成し、SHA256 署名によってサードパーティの認証局で署名することもできます。Tomcat および他の証明書が SHA256 をサポートできるように、この署名付き証明書を Cisco Unified Communications Manager に再度アップロードすることができます。 |