認証局プロキシ機能(CAPF)の概要
Cisco Certificate Authority Proxy Function (CAPF) は、ローカルの重要な証明書 (LSCs) を発行し、Cisco エンドポイントを認証する Cisco 専有サービスです。 CAPF サービスは、ユニファイドコミュニケーションマネージャー上で実行され、次のタスクを実行します。
-
サポートされる Cisco Unified IP Phone に対して LSC を発行する。
-
混合モードが有効になっている場合に、電話機を認証します。
-
電話機用の既存の LSCs をアップグレードします。
-
表示およびトラブルシューティングを行うために電話の証明書を取得する。
CAPF 実行モード
次のモードで動作するように CAPF を設定することができます。
-
Cisco Authority プロキシ機能: ユニファイドコミュニケーションマネージャーの CAPF サービスは、CAPF サービス自体によって署名された LSCs を発行します。 これは、デフォルトのモードです。
-
[オンライン CA (Online CA)]: 外部オンライン CA が「電話用 LSC」として署名している場合は、このオプションを使用します。 CAPF サービスは、自動的に外部 CA に接続されます。証明書署名リクエスト(CSR)が手動で送信された場合、CA は署名し、CA の署名済み LSC を自動的に返します。
-
オフライン CA: このオプションは、オフラインの外部 CA を使用して LSC for phone に署名する場合に使用します。 このオプションでは、LSC を手動でダウンロードして CA に提出してから、CA 署名の証明書の準備ができてからそれらをアップロードする必要があります。
(注)
シスコでは、サードパーティ CA を使用して LSC に署名する必要がある場合、オフライン ca の代わりにオンライン ca オプションを使用して、プロセスが自動化されていて、問題が発生する可能性が低くなることを推奨します。
CAPF サービス証明書
統合コミュニケーションマネージャがインストールされている場合、CAPF サービスが自動的にインストールされ、CAPF 固有のシステム証明書が生成されます。 セキュリティが適用されると、Cisco CTL クライアントは、すべてのクラスタノードに証明書をコピーします。
電話の証明書タイプ
シスコは次の X.509v3 証明書タイプを電話で使用します。
-
ローカルで有効な証明書(LSC):このタイプの証明書は Cisco Certificate Authority Proxy Function(CAPF)に関連する必要な作業の実行後に、電話にインストールされます。 デバイス セキュリティ モードを認証または暗号化に設定した後で、LSC は Unified Communications Manager と電話の間の接続を保護します。
(注)
オンライン CA の場合、LSC の有効性は CA に基づいています。また、CA が許可している限り使用できます。
-
製造元でインストールされる証明書(MIC):Cisco Manufacturing は MIC をサポートされている電話モデルに自動的にインストールします。 製造元でインストールされる証明書は LSC インストールの Cisco Certificate Authority Proxy Function(CAPF)を認証します。 製造元でインストールされる証明書を上書きしたり、削除することはできません。
![]() (注) |
製造元でインストールされる証明書(MIC)を LSC のインストールでのみ使用することが推奨されます。 シスコでは Unified Communications Manager との TLS 接続の認証のために LSC をサポートしています。 MIC ルート証明書は侵害される可能性があるため、TLS 認証またはその他の目的に MIC を使用するように電話を設定するお客様は、ご自身の責任で行ってください。 MIC が侵害された場合シスコはその責任を負いません。 |
CAPF 経由の LSC 生成
CAPF を設定した後、電話機に設定されている認証文字列を追加します。 キーと証明書の交換は、電話機と CAPF の間で行われます。次のような場合があります。
-
電話機は、設定された認証方法を使用して CAPF に対して自身を認証します。
-
電話機は公開/秘密キー ペアを生成します。
-
電話機は、署名されたメッセージの中で、公開キーを CAPF に転送します。
-
秘密キーは電話に残り、外部に公開されることはありません。
-
証明書は CAPF によって署名され、署名付きメッセージによって電話に送り返されます。
![]() (注) |
電話のユーザが証明書操作の中断や、電話の動作ステータスの確認を実行できることに注意してください。 |
![]() (注) |
キー生成の優先順位を低く設定すると、処理中に電話機を動作させることができます。 証明書生成中にも電話は正常に機能しますが、TLS トラフィックが増加することで、電話での通話の処理に最小限の中断が発生する可能性があります。 たとえば、インストールの最後に証明書がフラッシュに書き込まれると、音声信号が発生することがあります。 |