CAPF の設定

認証局プロキシ機能(CAPF)の概要

Cisco Certificate Authority Proxy Function (CAPF) は、ローカルの重要な証明書 (LSCs) を発行し、Cisco エンドポイントを認証する Cisco 専有サービスです。 CAPF サービスは、ユニファイドコミュニケーションマネージャー上で実行され、次のタスクを実行します。

  • サポートされる Cisco Unified IP Phone に対して LSC を発行する。

  • 混合モードが有効になっている場合に、電話機を認証します。

  • 電話機用の既存の LSCs をアップグレードします。

  • 表示およびトラブルシューティングを行うために電話の証明書を取得する。

CAPF 実行モード

次のモードで動作するように CAPF を設定することができます。

  • Cisco Authority Proxy FunctionUnified Communications Manager 上の CAPF サービスは、CAPF サービス自体によって署名された LSC を発行します。 これは、デフォルトのモードです。

  • [オンライン CA (Online CA)]:外部オンライン CA が「電話用 LSC」として署名している場合は、このオプションを使用します。 CAPF サービスは、自動的に外部 CA に接続されます。証明書署名リクエスト(CSR)が手動で送信された場合、CA は署名し、CA の署名済み LSC を自動的に返します。


    (注)  

    オンライン CA は、ECDSA キー サイズでの CAPF 操作をサポートしません。

  • オフライン CA:このオプションは、オフラインの外部 CA を使用して LSC for phone に署名する場合に使用します。 このオプションでは、LSC を手動でダウンロードして CA に提出してから、CA 署名の証明書の準備ができてからそれらをアップロードする必要があります。


    (注)  

    シスコでは、サードパーティ CA を使用して LSC に署名する必要がある場合、オフライン ca の代わりにオンライン ca オプションを使用して、プロセスが自動化されていて、問題が発生する可能性が低くなることを推奨します。

CAPF サービス証明書

統合コミュニケーションマネージャがインストールされている場合、CAPF サービスが自動的にインストールされ、CAPF 固有のシステム証明書が生成されます。 セキュリティが適用されると、Cisco CTL クライアントは、すべてのクラスタノードに証明書をコピーします。

電話の証明書タイプ

シスコは次の X.509v3 証明書タイプを電話で使用します。

  • ローカルで有効な証明書(LSC):このタイプの証明書は Cisco Certificate Authority Proxy Function(CAPF)に関連する必要な作業の実行後に、電話にインストールされます。 デバイス セキュリティ モードを認証または暗号化に設定した後で、LSC は Unified Communications Manager と電話の間の接続を保護します。


    (注)  

    オンライン CA の場合、LSC の有効性は CA に基づいています。また、CA が許可している限り使用できます。

  • 製造元でインストールされる証明書(MIC):Cisco Manufacturing は MIC をサポートされている電話モデルに自動的にインストールします。 製造元でインストールされる証明書は LSC インストールの Cisco Certificate Authority Proxy Function(CAPF)を認証します。 製造元でインストールされる証明書を上書きしたり、削除することはできません。


(注)  

製造元でインストールされる証明書(MIC)を LSC のインストールでのみ使用することが推奨されます。 シスコでは Unified Communications Manager との TLS 接続の認証のために LSC をサポートしています。 MIC ルート証明書は侵害される可能性があるため、TLS 認証またはその他の目的に MIC を使用するように電話を設定するお客様は、ご自身の責任で行ってください。 MIC が侵害された場合、Cisco はその責任を負いません。

CAPF 経由の LSC 生成

CAPF を設定した後、電話機に設定されている認証文字列を追加します。 キーと証明書の交換は、電話機と CAPF の間で行われます。次のような場合があります。

  • 電話機は、設定された認証方法を使用して CAPF に対して自身を認証します。

  • 電話機は公開/秘密キー ペアを生成します。

  • 電話機は、署名されたメッセージの中で、公開キーを CAPF に転送します。

  • 秘密キーは電話に残り、外部に公開されることはありません。

  • 証明書は CAPF によって署名され、署名付きメッセージによって電話に送り返されます。


(注)  
電話のユーザが証明書操作の中断や、電話の動作ステータスの確認を実行できることに注意してください。

(注)  
キー生成の優先順位を低く設定すると、処理中に電話機を動作させることができます。 証明書生成中にも電話は正常に機能しますが、TLS トラフィックが増加することで、電話での通話の処理に最小限の中断が発生する可能性があります。 たとえば、インストールの最後に証明書がフラッシュに書き込まれると、音声信号が発生することがあります。

CAPF 前提条件

LSC 生成用の認証局のプロキシ機能を設定する前に、次の手順を実行します。

  • サードパーティ CA を使用して LSCs に署名したい場合は、CA を外部に設定します。

  • 電話機を認証する方法を計画します。

  • LSCs を生成する前に、次のものを用意していることを確認してください。

    • Unified Communications Manager リリース 12.5 以降

    • 証明書に CAPF を使用するエンドポイント (Cisco IP 電話および Jabber を含む)。

    • Microsoft Windows Server 2012 および 2016

    • ドメイン名サービス(DNS)が設定されています

  • この注意事項は、リリース 14 SU2 以降に適用されます。


    (注)  

    CAPF 証明書には、次のデフォルトの X509 拡張子が含まれている必要があります。

    X509v3 の基本的制約:

    CA:TRUE, pathlen:0

    X509v3 キーの使用法:

    デジタル署名、証明書署名

    これらの拡張機能が CAPF 証明書に存在しない場合、TLS 接続エラーが発生します。

  • 「CA ルートおよび HTTPS 証明書」をアップロードしてから、LSCs を生成する必要があります。 セキュア SIP connection では、HTTPS 証明書は CAPF-トラストを通過し、CA ルート証明書は CAPF 信頼でコールマネージャーの信頼をたどります。 インターネットインフォメーションサービス (IIS) は、HTTPS 証明書をホストします。 CA ルート証明書は、証明書署名要求 (CSR) への署名に使用されます。

    証明書をアップロードする必要がある場合のシナリオを次に示します。

    表 1. 証明書のアップロードシナリオ

    シナリオ

    結果

    CA ルートおよび HTTPS 証明書は同じです。

    CA ルート証明書をアップロードする。

    CA ルートと HTTPS の証明書は異なり、HTTPS 証明書は同じ CA ルート証明書によって発行されます。

    CA ルート証明書をアップロードする。

    中間 CA と HTTPS の証明書は異なり、CA ルート証明書によって発行されます。

    CA ルート証明書をアップロードする。

    CA ルートと HTTPS の証明書は異なり、同じ CA ルート証明書によって発行されます。

    CA ルートおよび HTTPS 証明書をアップロードする。

(注)  

複数の証明書を同時に生成するとコール処理中断の原因となるため、スケジュールされたメンテナンスの時間帯に CAPF を使用することを強く推奨します。

認証局プロキシ機能設定のタスクフロー

次のタスクを実行して、証明機関プロキシ機能 (CAPF) サービスがエンドポイント用 LSCs を発行するように設定します。


(注)  

新しい CAPF 証明書を再生成またはアップロードした後に、CAPF サービスを再起動する必要はありません。

手順

  コマンドまたはアクション 目的

ステップ 1

サードパーティの認証局のルート証明書のアップロード

LSC にサードパーティの CA 署名を適用する場合は、CA ルート証明書チェーンを CAPF 信頼ストアにアップロードします。 それ以外の場合は、この作業をスキップできます。

ステップ 2

認証局(CA)ルート証明書のアップロード

CA ルート証明書をUnified Communications Manager信頼ストアにアップロードします。

ステップ 3

オンライン認証局の設定

電話機 LSC 証明書を生成するには、次の手順を使用します。

ステップ 4

オフライン認証局の設定の設定

オフライン CA を使用して電話機 LSC 証明書を生成するには、次の手順を使用します。

ステップ 5

CAPF サービスをアクティブ化または再起動する

CAPF システム設定を構成した後に、重要な CAPF サービスをアクティブにします。

ステップ 6

次のいずれかの手順を使用して、Unified Communications Managerの CAPF 設定を構成します。

次のオプションのいずれかを使用して、CAPF 設定を電話機の設定に追加します。

  • まだ LDAP ディレクトリを同期していない場合、CAPF 設定をユニバーサルデバイステンプレートに追加し、初期 LDAP 同期を使用して設定を適用することができます。

  • 一括管理ツールを使用すると、1 回の操作で多数の電話機に CAPF 設定を適用できます。

  • CAPF 設定を電話機ごとに適用することができます。

ステップ 7

キープアライブ タイマーの設定

タイムアウトしないように、CAPF エンドポイント接続のキープアライブ値を設定します。 デフォルト値は 15 分です。

サードパーティの認証局のルート証明書のアップロード

CA ルート証明書を CAPF 信頼ストアとUnified Communications Manager信頼ストアにアップロードして、外部 CA を使用して LSC 証明書に署名します。


(注)  

サードパーティ CA を使用して LSCs に署名しない場合は、このタスクをスキップできます。

手順

ステップ 1

Cisco Unified OS の管理から、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

ステップ 2

[証明書/証明書チェーンのアップロード] をクリックします。

ステップ 3

[証明書目的] ドロップダウンリストで、[CallManager 信頼] を選択します。

ステップ 4

証明書の説明を [説明(Description)] に入力します。 たとえば、外部 LSC 署名 CA の証明書などです

ステップ 5

[参照(Browse)]をクリックしてファイルに移動してから、[開く(Open)]をクリックします。

ステップ 6

[アップロード(Upload)]をクリックします。

ステップ 7

このタスクを繰り返して、証明書の目的で使用される発信者管理者の信頼に証明書をアップロードします

認証局(CA)ルート証明書のアップロード


(注)  
中間 CA 証明書またはルート CA 証明書の共通名に「CAPF-」という文字列が含まれていないことを確認してください。「CAPF-」という共通名は CAPF 証明書用に予約されています。

手順

ステップ 1

Cisco Unified OS の管理から、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

ステップ 2

[証明書/証明書チェーンのアップロード] をクリックします。

ステップ 3

[証明書目的(Certificate Purpose)] ドロップダウンリストで、[CallManager 信頼(CallManager-trust)] を選択します。

ステップ 4

証明書の説明を [説明(Description)] に入力します。 たとえば、外部 LSC 署名 CA の証明書などです

ステップ 5

[参照(Browse)]をクリックしてファイルに移動してから、[開く(Open)]をクリックします。

ステップ 6

[アップロード(Upload)]をクリックします。

重要

 

この注意事項は、リリース 14 SU2 以降に適用されます。

(注)  

 

ルート CA 証明書または中間 CA 証明書には、次のデフォルトの X509 拡張機能を含める必要があります。

X509v3 の基本的制約:

CA:TRUE, pathlen:0

X509v3 キーの使用法:

デジタル署名、証明書署名

これらの拡張機能が証明書に存在しない場合、TLS 接続エラーが発生します。

重要

 

この注意事項は、リリース 14 SU3 以降の IPSec 証明書にのみ適用されます。

(注)  

 

CA 署名付き IPSec 証明書の場合、次の拡張機能を含めることはできません。

X509v3 の基本的制約:

CA:TRUE

オンライン認証局の設定

オンライン CAPF を使用して電話機 LSC を生成するには、Unified Communications Managerにあるこの手順を使用します。

手順

ステップ 1

Cisco Unified CM Administration から、[システム(System)] > [サービス パラメータ(Service Parameters)] の順に選択します。

ステップ 2

[サーバ] ドロップダウン リストから、[Cisco 認証局プロキシ 機能(アクティブ)] サービスを選択します。

ステップ 3

[サービス(Service)]ドロップダウン リストから、[Cisco 認証局プロキシ 機能(アクティブ)(Cisco 認証局プロキシ 機能 (Active))]を選択します。 サービス名の横に「Active」という単語が表示されていることを確認します。

ステップ 4

[エンドポイントへの証明書発行者(Certificate Issuer to Endpoint)]ドロップダウン リストから、[オンラインCA(Online CA)]を選択します。 CA 署名付き証明書では、オンライン CA を使用することを推奨しています。

ステップ 5

[証明書の有効期間(日数)] フィールドに、CAPF が発行した証明書が有効である日数を表す数値を、1 ~ 1825 の間で指定します。

ステップ 6

オンライン CA パラメータ セクションで、次のパラメータを設定して、オンライン CA セクションへの接続を作成します。

  • オンライン CA ホスト名:サブジェクト名または共通名 (CN) は、HTTPS 証明書の完全修飾ドメイン名 (FQDN) と同じである必要があります。

    (注)  

     

    設定されたホスト名は、Microsoft CA 上で実行されているインターネット インフォメーション サービス (IIS) によってホストされている HTTP の証明書の共通名 (CN) と同じです。

  • オンライン CA ポート:オンライン CA のポート番号を入力します。例:443。

  • オンライン CA テンプレート:テンプレートの名前を入力します。 Microsoft CA がテンプレートを作成します。

    (注)  

     

    このフィールドが有効になるのは、オンライン CA タイプが Microsoft CA の場合のみです。

  • オンライン CA タイプエンドポイント証明書の自動登録には、Microsoft CA または EST 対応 CA を選択します。

    • Microsoft CA:CA が Microsoft CA である場合は、このオプションを使用してデジタル証明書をデバイスに割り当てます。

      (注)  

       

      FIPS 対応モードは、Microsoft CA ではサポートされていません。

    • (リリース 14SU2 以降でサポート) EST 対応 CA が自動登録用の組み込み EST サーバ モードをサポートしている場合は、このオプションを使用します。

      (注)  

       

      EST 対応 CA を使用した CAPF LSC の登録は、CC モードではサポートされません。

  • オンライン CA ユーザ名:CA サーバのユーザ名を入力します。

  • オンライン CA パスワード:CA サーバのユーザ名のパスワードを入力します。

  • 証明書登録プロファイル ラベル: EST がサポートする CA のデジタル ID を有効な文字で入力します。

    (注)  

     

    このフィールドが有効になるのは、オンライン CA タイプが EST サポート CA の場合のみです。

ステップ 7

残りの CAPF サービス パラメータを完了します。 サービスパラメータのヘルプ システムを表示するには、パラメータ名をクリックします。

ステップ 8

[保存] をクリックします。

ステップ 9

変更内容を有効にするには、Cisco 認証局プロキシ 機能 サービスを再起動します。 Cisco Certificate Enrollment service を自動的に再起動します。

現在のオンライン CA の制限

  • CA サーバが英語以外の言語を使用している場合、オンライン CA 機能は動作しません。 CA サーバは英語でのみ応答します。

  • オンライン CA 機能は、CA での mTLS 認証をサポートしていません。

  • LSC 操作にオンライン CA を使用している場合、LSC 証明書に「デジタル署名」と「キー暗号化」のキー使用法が指定されていないと、デバイスのセキュア登録は失敗します。

オフライン認証局の設定の設定

オフライン CA を使用して電話機 LSC 証明書を生成することを決定した場合は、次の高度なプロセスに従うことができます。


(注)  

オフライン CA オプションを使用すると、オンライン Ca よりも時間がかかり、手動による手順が多くなります。 証明書の生成および送信プロセス中に問題 (たとえば、ネットワークの停止や電話機のリセットなど) が発生した場合は、プロセスを再起動する必要があります。

手順

ステップ 1

サードパーティ認証局からルート証明書チェーンをダウンロードします。

ステップ 2

Unified Communications Managerのルート証明書チェーンを必要な信頼(CallManager 信頼 CAPF 信頼)にアップロードします。

ステップ 3

オフライン CA に対して Certificate Issue to Endpoint サービスパラメータを設定すると、オフラインの CA を使用するように Unified Communications Manager を設定できます。

ステップ 4

お使いの電話機の LSC 用に CSR を生成します。

ステップ 5

認証局にCSR を送信します。

ステップ 6

CSR から署名付き証明書を取得します。

オフライン CA を使用して電話機 LSC を生成する方法の詳細な例については、「CUCM サードパーティ CA 署名付き LSCs 生成とインポート設定」を参照してください。

CAPF サービスをアクティブ化または再起動する

CAPF システムを設定した後に、重要な CAPF サービスをアクティブにします。 CAPF サービスがすでにアクティブ化されている場合は、再起動します。

手順

ステップ 1

Cisco Unified Serviceability から[ツール] > [サービス アクティベーション] を選択します。

ステップ 2

[サーバ(Server)]ドロップダウン リストからパブリッシャ ノードを選択し、[移動(Go)]をクリックします。

ステップ 3

[セキュリティサービス] ペインから、次の該当するサービスを確認します。

  • Cisco Certificate Enrollment Service:オンラインCAを使用している場合はこのサービスのチェックをオンにし、そうでない場合はチェックを外したままにします。
  • Cisco Certificate Authority プロキシ機能:このサービスをオフ (非アクティブ) にした場合は、チェックを入れます。 サービスがすでにアクティブ化されている場合は、再起動します。

ステップ 4

いずれかの設定を変更した場合、[保存] をクリックします。

ステップ 5

Cisco 認証局プロキシ 機能 サービスがすでにチェックされている場合は(アクティブ)、再起動します。

  1. [関連リンク]ドロップダウン リストから [コントロールセンター-ネットワークサービス]を選択し、[移動] をクリックします。

  2. [セキュリティの設定(Security Settings)] ペインから、[Cisco 認証局プロキシ機能(Cisco Certificate Authority Proxy Function)] サービスを確認し、[再起動(Restart)] をクリックします。

ステップ 6

次の手順のいずれかを実行して、個々の電話機に対して CAPF 設定を構成します。

  1. CAPD 設定をユニバーサル デバイス テンプレートで設定します。

  2. バルク Admin による CAPF 設定の更新

  3. 電話機の CAPF 設定の設定

CAPD 設定をユニバーサル デバイス テンプレートで設定します。

CAPF 設定をユニバーサルデバイステンプレートに設定するには、次の手順を実行します。 テンプレートは、機能グループテンプレートの設定を使用して、LDAP ディレクトリ同期に適用します。 テンプレートの CAPF 設定が、このテンプレートを使用する同期済みのすべてのデバイスに適用されます。


(注)  

Universal デバイステンプレートは、まだ同期されていない LDAP ディレクトリにしか追加することができません。 初期 LDAP 同期が発生した場合は、一括管理を使用して電話機を更新します。 詳細については、バルク Admin による CAPF 設定の更新を参照してください。

手順

ステップ 1

Cisco Unified CM Administration から、[ユーザの管理(User Management)] > [ユーザ/電話の追加(User/Phone Add)] > [ユニバーサルデバイステンプレート(Universal Device Template)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [検索] をクリックし、既存のテンプレートを選択します。
  • [新規追加] をクリックします。

ステップ 3

認証局プロキシ機能(CAPF)の設定領域の拡張

ステップ 4

[証明書の操作(Certificate Operation)]ドロップダウン リストで、[インストール/アップグレード(Install/Upgrade)]を選択します。

ステップ 5

[認証モード] ドロップダウンメニューで、デバイスを認証するオプションを選択します。

ステップ 6

認証文字列の使用を選択した場合は、テキストボックスに認証文字列を入力するか、[文字列の生成 ([文字列の生成])] をクリックして、システムによって文字列が生成されるようにします。

(注)  

 

この文字列がデバイス上で設定されていない場合、認証は失敗します。

ステップ 7

残りのフィールドで、キー情報を設定します。 フィールドの詳細については、オンライン ヘルプを参照してください。

ステップ 8

[保存] をクリックします。

(注)  

 

このテンプレートを使用するデバイスは、この手順で割り当てたのと同じ認証方法で構成されていることを確認してください。 それ以外の場合、デバイス認証は失敗します。 電話機の認証を設定する方法の詳細については、電話機のマニュアルを参照してください。

ステップ 9

このプロファイルを使用するデバイスにテンプレート設定を適用します。

  1. ユニバーサルデバイステンプレートを Feature Group テンプレートの設定に追加します。

  2. 機能グループ テンプレートを、同期されていない LDAP ディレクトリ設定に追加します。

  3. LDAP 同期を完了します。 CAPF 設定は、同期されているすべてのデバイスに適用されます。

機能グループテンプレートとLDAP ディレクトリ同期の設定の詳細については、Cisco Unified Communications Manager システム設定ガイドの「Configure End Users」セクションを参照してください。

バルク Admin による CAPF 設定の更新

一括管理の電話機の更新クエリを使用して、多数の既存の電話機の CAPF 設定と lsc 証明書を 1 回の操作で構成します。


(注)  

まだ電話機をプロビジョニングしていない場合は、一括管理の [電話機の挿入] メニューを使用して、CSV ファイルからの CAPF 設定で新しい電話機をプロビジョニングできます。 CSV ファイルから電話機を挿入する方法の詳細については、Cisco Unified Communications Manager 一括管理ガイドの「電話機の挿入」セクションを参照してください。

電話機は、この手順で追加する認証方法と文字列と同じように設定されていることを確認します。 それ以外の場合、お使いの電話機は CAPF に対して認証しません。 電話機で認証を設定する方法の詳細については、「電話機のマニュアル」を参照してください。

手順

ステップ 1

Cisco Unified CM Administration から、以下を選択します。バルク管理 > 電話機 > 電話機の更新 > クエリ

ステップ 2

フィルタオプションを使用して、更新する電話機に検索を制限し、[検索] をクリックします。

たとえば、[電話機の検索場所] ドロップダウンを使用して、LSC が特定の日付の前期限切れになるすべての電話機またはデバイスプール内の電話機を選択することができます。

ステップ 3

[次へ(Next)]をクリックします。

ステップ 4

ログアウト/リセット/再起動 セクションから[設定の適用]を選択します。 ジョブを実行すると、CAPF アップデートは更新されたすべての電話に適用されます。

ステップ 5

[ 証明機関プロキシ関数(capf)]の情報で、[証明書の操作(Certificate Operation)] チェックボックスをオンにします。

ステップ 6

[証明書の操作] ドロップダウン リストから、[インストール /アップグレード] を選択して、新しい LSC 証明書を電話機にインストールします。

ステップ 7

[認証モード] ドロップダウンから、LSC インストール時に電話機を認証する方法を選択します。

(注)  

 

電話機で同じ認証方法を設定します。

ステップ 8

認証モードとして認証文字列で選択した場合は、次の手順のいずれかを実行します。

  • 各デバイスに対して一意の認証文字列を使用する場合は、各デバイスに対して一意の認証文字列を生成することを確認してください。
  • すべてのデバイスに同じ認証文字列を使用する場合は、[認証文字列] テキストボックスに文字列を入力するか、[文字列の生成] をクリックします。

ステップ 9

[電話の更新(Update Phones)] ウィンドウで [CAPF の情報(Certification Authority Proxy Function(CAPF)Information)] セクションの残りのフィールドを入力します。 フィールドとその設定の詳細については、オンライン ヘルプを参照してください。

ステップ 10

[ジョブ情報(Job Information)] セクションで、[今すぐ実行(Run Immediately)]を選択します。

(注)  

 

スケジュールされた時刻にジョブを実行する場合は、[後で実行する] を選択します。 ジョブのスケジュール設定の詳細については、Cisco Unified Communications Manager 一括管理ガイドの「スケジュールされたジョブの管理」セクションを参照してください 。

ステップ 11

[送信(Submit)]をクリックします。

(注)  

 

この手順で [設定の適用] オプションを選択しなかった場合は、更新されたすべての電話機の [電話機の設定] ウィンドウで設定を適用します。

電話機の CAPF 設定の設定

個々の電話機の LSC 証明書の CAPF 設定を設定するには、次の手順を実行します。


(注)  
CAPF 設定を多数の電話機に適用するには、バルク管理または LDAP ディレクトリ同期を使用します。

電話機は、この手順で追加する認証方法と文字列と同じように設定します。 それ以外の場合、電話機は CAPF に対して自身を認証しません。 電話機で認証を設定する方法の詳細については、「電話機のマニュアル」を参照してください。

手順

ステップ 1

Cisco Unified CM Administration から、以下を選択します。[デバイス] > [電話]

ステップ 2

既存の電話機を選択するには、[検索(Find)]をクリックします。 [電話設定] ページが表示されます。

ステップ 3

[認証局プロキシ機能 (CAPF) の情報] ペインに移動します。

ステップ 4

[証明書の操作] ドロップダウン リストから、[インストール /アップグレード] を選択して、新しい LSC 証明書を電話機にインストールします。

ステップ 5

[認証モード] ドロップダウンから、LSC インストール時に電話機を認証する方法を選択します。

(注)  

 
電話機は、同じ認証方法を使用するように設定されている必要があります。

ステップ 6

[認証文字列] で選択した場合は、テキスト文字列を入力するか、[文字列の生成] をクリックして、システムが文字列を生成するようにします。

ステップ 7

[電話機の設定(Phone Configuration)] ページで [認証局プロキシ機能 (CAPF) の情報] ペインの残りのフィールドに詳細を入力します。 フィールドとその設定の詳細については、オンライン ヘルプを参照してください。

ステップ 8

[保存(Save)] をクリックします。

キープアライブ タイマーの設定

ファイアウォールによって接続がタイムアウトしないように、CAPFEndpoint 接続のクラスター全体のキープアライブ タイマーを設定するには、この手順を使用します。 デフォルト値は 15 分です。 各間隔の後、CAPF サービスは電話機にキープアライブ信号を送信して、接続を開いた状態にします。

手順

ステップ 1

発行者ノードにログインするには、コマンドラインインターフェイスを使用します。

ステップ 2

utils capt set keep_alive CLI コマンドを実行します。

ステップ 3

5 ~ 60 (分) の間の数値を入力し、確定キーをクリックします。

CAPF の管理タスク

CAPF を設定し、LSC 証明書を発行した後、次のタスクを使用して LSC 証明書を継続的に管理します。

証明書ステータスのモニタリング

証明書のステータスを自動的に監視するようにシステムを設定することができます。 証明書が期限切れに近づいたときにシステムから電子メールが送信され、期限切れ後に証明書が失効します。

証明書の監視の確認の設定方法の詳細については、「証明書の管理」の章の「証明書の監視と失効のタスクフロー」を参照してください。

古い LSC レポートの実行

次の手順を使用して、古い LSC レポートを Cisco Unified レポートから実行します。 古い LSCs は、エンドポイント CSR への応答として生成された証明書ですが、古くなった LSCS がインストールされる前に新しい CSR が生成されたため、インストールされませんでした。


(注)  

また、パブリッシャーノードで utils capf stale-lsc list CLI コマンドを実行することによって、古い LSC 証明書のリストを取得することもできます。

手順

ステップ 1

Cisco Unified Reporting から [System Reports] をクリックします。

ステップ 2

左側のナビゲーションバーで、[ 古い LSCs] を選択します。

ステップ 3

[新規レポートの生成] をクリックします。

保留中の CSR リストの表示

保留中の CAPF CSR ファイルのリストを表示するには、この手順を使用します。 すべての CSR ファイルはタイムスタンプされます。

手順

ステップ 1

発行者ノードにログインするには、コマンドラインインターフェイスを使用します。

ステップ 2

utils core active list CLI コマンドを実行します。

保留中の CSR ファイルのタイムスタンプリストが表示されます。

古い LSC 証明書の削除

古い LSC 証明書をシステムから削除するには、次の手順を使用します。

手順

ステップ 1

発行者ノードにログインするには、コマンドラインインターフェイスを使用します。

ステップ 2

[utils capf state-lsc delete all CLI コマンド] を実行します。

古い LSC 証明書はすべてシステムから削除されます。

CAPF システムの連携動作と制限事項

機能

データのやり取り

認証文字列(Authentication String)

電話の CAPF 認証方式については、アップグレードまたはインストールの後に同じ認証文字列を電話に入力する必要があります。入力されなかった場合、操作が失敗します。 [TFTP Encrypted Config] エンタープライズ パラメータが有効な状態で認証文字列の入力に失敗した場合、電話の設定は失敗し、該当する認証文字列が電話に入力されるまで回復しません。

クラスタ サーバ クレデンシャル

CAPF が Unified Communications Manager クラスタのすべてのサーバを認証できるよう、クラスタ内のすべてのサーバで管理者のユーザ名とパスワードを同じものにする必要があります。

セキュアな電話機の移行

セキュアな電話が別のクラスタに移動されると、Unified Communications Manager はその電話が送信する LSC 証明書を信頼しなくなります。これは、その LSC 証明書が、CTL ファイル内に証明書が存在しない別の CAPF によって発行されたものであるためです。

セキュア電話を登録可能にするには、既存の CTL ファイルを削除します。 その後、[Install/Upgrade] オプションを使用して新しい CAPF により新規 LSC 証明書をインストールし、新しい CTL ファイルのために電話をリセットします(または MIC を使用します)。 [Phone Configuration] ウィンドウの [CAPF] セクションにある [Delete] オプションを使用して、電話を移動する前に既存の LSC を削除します。

Cisco Unified IP Phone 6900 シリーズ、7900 シリーズ、および 8900 シリーズ、および 9900

将来的な互換性の問題を回避するため、Unified Communications Manager との TLS 接続に LSC を使用するために Cisco Unified IP Phone 6900 シリーズ、7900 シリーズ、8900 シリーズ、9900 シリーズをアップグレードし、MIC ルート証明書を CallManager 信頼ストアから削除することが推奨されます。 Cisco Unified Communications Manager との TLS 接続に MIC を使用する一部の電話モデルは登録できない場合があることに注意してください。

管理者は CallManager 信頼ストアから次の MIC ルート証明書を削除する必要があります。

  • CAP-RTP-001

  • CAP-RTP-002

  • Cisco_Manufacturing_CA

  • Cisco_Root_CA_2048

停電

以下の情報は、通信障害や電源障害の発生時に適用されます。

  • 電話での証明書インストールの実行中に通信障害が発生した場合、電話は証明書の取得を 30 秒間隔でさらに 3 回試行します。 これらの値は設定できません。

  • 電話による CAPF とのセッション試行中に電源障害が発生した場合、電話はフラッシュに保存されている認証モードを使用します。つまり、電話の再起動後に TFTP サーバから新しい設定ファイルをロードできなかった場合です。 証明書操作が完了すると、システムはフラッシュの値をクリアします。

証明書の暗号化

Cisco Unified Communications Manager リリース 11.5(1)SU1 以降、CAPF サービスによって発行されるすべての LSC 証明書は、SHA-256 アルゴリズムで署名されています。 したがって、IP 電話 7900/8900/9900 シリーズのモデルは、SHA-256 署名済み LSC 証明書および外部 SHA2 アイデンティティ証明書(Tomcat、CallManager、CAPF、TVS など)をサポートします。 署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。

(注)  

 

ソフトウェア メンテナンスが終了またはサポートが終了した電話モデルを使用する場合は、Unified Communications Manager の 11.5(1)SU1 より前のリリースの使用を強くお勧めします。

7942 および 7962 電話機を含む CAPF の例

ユーザまたは Unified Communications Manager によって電話がリセットされたときの CAPF と Cisco Unified IP Phone 7962 および 7942 とのインタラクションについては、以下の情報を考慮してください。


(注)  

次の例では、LSC が電話に存在せず、CAPF 認証モードとして既存の証明書が選択されている場合、CAPF 証明書操作が失敗します。

例:非セキュア デバイス セキュリティ モード

この例では、[Device Security Mode] を [Nonsecure] に設定し、[CAPF Authentication Mode] を [By Null String] または [By Existing Certificate (Precedence...)] に設定した後、電話がリセットされます。 リセットした電話は直ちにプライマリ Unified Communications Manager に登録され、設定ファイルを受信します。 その後、電話によって LSC をダウンロードするための CAPF セッションが自動的に開始されます。 電話で LSC をインストールした後、[Device Security Mode] を [Authenticated] または [Encrypted] に設定します。

例:認証済み/暗号化済みデバイス セキュリティ モード

この例では、[Device Security Mode][Authenticated] または [Encrypted] に設定し、[CAPF Authentication Mode] を [By Null String] または [By Existing Certificate (Precedence...)] に設定した後、電話がリセットされます。 CAPF セッションが終了し LSC がインストールされるまで、電話はプライマリ Unified Communications Manager に登録されません。 セッションが終了すると、電話が登録され、直ちに認証済みまたは暗号化済みモードで動作します。

この例では、電話が自動的に CAPF サーバに接続されないため、[By Authentication String] を設定できません。電話に有効な LSC がない場合、登録は失敗します。

IPv6 アドレッシングとの CAPF のインタラクション

CAPF は、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話に対し、証明書の発行とアップグレードを実行できます。 IPv6 アドレスを使用する SCCP を実行する電話の証明書の発行またはアップグレードを実行するには、[Unified Communications Manager Administration] で [Enable IPv6] サービスパラメータを [True] に設定する必要があります。

証明書取得のために電話が CAPF に接続されると、CAPF では [Enable IPv6] エンタープライズ パラメータの設定を使用して、その電話の証明書の発行またはアップグレードを実行するかどうかが決定されます。 このエンタープライズ パラメータが False に設定された場合、CAPF は IPv6 アドレスを使用する電話からの接続を無視または拒否し、その電話は証明書を受け取りません。

IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話から CAPF への接続方法について、次の表で説明します。

表 2. IPv6 または IPv4 電話から CAPF への接続方法

電話の IP モード

電話の IP アドレス

CAPF IP アドレス

電話から CAPF への接続方法

2 スタック

IPv4 と IPv6 が利用可能

IPv4、IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。IPv6 アドレスでは接続できない場合、電話は IPv4 アドレスを使用して接続を試みます。

2 スタック

IPv4

IPv4、IPv6

電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv6

IPv4、IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。 試行に失敗すると、電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv4

IPv4

電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv4 と IPv6 が利用可能

IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

2 スタック

IPv4 と IPv6 が利用可能

IPv4

電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv4

IPv6

電話は CAPF に接続できません。

2 スタック

IPv6

IPv4

電話は CAPF に接続できません。

2 スタック

IPv6

IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

IPv4 スタック

IPv4

IPv4、IPv6

電話は IPv4 アドレスを使用して CAPF に接続します。

IPv6 スタック

IPv6

IPv4、IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

IPv4 スタック

IPv4

IPv4

電話は IPv4 アドレスを使用して CAPF に接続します。

IPv4 スタック

IPv4

IPv6

電話は CAPF に接続できません。

IPv6 スタック

IPv6

IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

IPv6 スタック

IPv6

IPv4

電話は CAPF に接続できません。