証明書の概要
証明書は ID を保護し、IM and Presence サービスと他のシステムとの間に信頼関係を構築するために使用されます。 証明書を使用して、IM and Presence サービスを Cisco Unified Communications Manager、Cisco Jabber クライアント、または任意の外部サーバに接続できます。 証明書がないと、不正な DNS サーバが使用されていたのか、それとも他のサーバにルーティングされていたのかを知ることは不可能です。
IM and Presence サービスが使用できる証明書には、主に 2 つのクラスがあります。
-
自己署名証明書 - 自己署名証明書は、証明書を発行したのと同じサーバによって署名されます。 企業内では、自己署名証明書を使用して他の内部システムに接続することができます。ただし、それらの接続が安全でないネットワークを経由していない場合に限ります。 たとえば、IM and Presence サービスは、Cisco Unified Communications Manager への内部接続用の自己署名証明書を生成します。
-
CA 署名付き証明書 - サードパーティの認証局(CA)によって署名された証明書です。 これらは、公的な CA(Verisign、Entrust、Digicert など)またはサーバ(Windows 2003、Linux、Unix、IOS など)によって署名され、サーバ/サービス証明書の有効性を管理できます。 CA 署名付き証明書は自己署名証明書よりも安全であり、通常はあらゆる WAN 接続に使用されます。 たとえば、他の企業とのフェデレーション接続または WAN 接続を使用するクラスタ間ピア設定では、外部システムとの信頼関係を構築するために CA 署名付き証明書が必要になります。
CA 署名付き証明書は自己署名証明書よりも安全です。 一般に、自己署名証明書は内部接続に適していますが、WAN 接続または公衆インターネットを経由する接続には CA 署名証明書を使用する必要があります。
マルチサーバ証明書
IM and Presence サービスは、一部のシステムサービスに対してマルチサーバ SAN 証明書もサポートしています。 マルチサーバ証明書の証明書署名要求(CSR)を生成すると、証明書がいずれかのクラスターノードにアップロードされると、結果として得られるマルチサーバ証明書とそれに関連付けられた署名証明書のチェーンが自動的にすべてのクラスターノードに配布されます。
IM and Presence Services の証明書タイプ
IM and Presence サービス内では、さまざまなシステムコンポーネントにさまざまな種類の証明書が必要です。 ここでは、IM and Presence Service のクライアントとサービスに必要なさまざまな証明書について説明します。
![]() (注) |
証明書名が -ECDSA で終わる場合、その 証明書/キー タイプは楕円曲線(EC)です。 それ以外の場合は、RSA です。 |
証明書タイプ |
サービス |
証明書信頼ストア |
マルチサーバ サポート |
注記 |
---|---|---|---|---|
tomcat、 tomcat-ECDSA |
Cisco Client Profile Agent、 Cisco AXL Web Service、 Cisco Tomcat |
tomcat- trust |
可 |
IM and Presence Service のクライアント認証の一部として Cisco Jabber クライアントに提示されます。 Cisco Unified CM IM およびプレゼンス管理ユーザ インターフェイスを移動するときに、Web ブラウザに表示されます。 関連する信頼ストアを使用し、ユーザのクレデンシャルを認証するために、IM and Presence Service が確立した設定済みの LDAP サーバとの 接続を確認します。 |
ipsec |
ipsec-trust |
不可 |
IPSec ポリシーが有効になっている場合に使用します。 |
|
cup, cup-ECDSA |
Cisco SIP Proxy、 Cisco Presence Engine |
cup-trust |
不可 |
Expressway-C に証明書を提示して、SIP フェデレーションユーザ用の IM and Presence を取得します。 IM and Presence プロキシは、クライアントとサーバの両方として動作します。 プレゼンスエンジンは、これらの証明書を Exchange/Office 365 との通信に使用してカレンダープレゼンスを取得します。 プレゼンスエンジンは、クライアントとしてのみ動作します。 |
cup-xmpp、 cup-xmpp-ECDSA |
Cisco XCP Connection Manager、 Cisco XCP Web Connection Manager、 Cisco XCP Directory service、 Cisco XCP Router サービス |
cup-xmpp-trust |
可 |
XMPP セッションの作成中に、Cisco Jabber クライアント、サードパーティ製 XMPP クライアント、または CAXL ベースのアプリケーションに提示されます。 関連する信頼ストアを使用して、サードパーティ製 XMPP クライアントの LDAP 検索操作を実行中に Cisco XCP Directory サービスが確立した接続を確認します。 ルーティング通信タイプがルータ間に設定されている場合に、IM and Presence Service サーバ間にセキュアな接続を確立するときに Cisco XCP Router によって関連する信頼ストアが使用されます。 |
cup-xmpp-s2s、 cup-xmpp-s2s-ECDSA |
Cisco XCP XMPP Federation Connection Manager |
cup-xmpp-trust |
可 |
外部フェデレーション XMPP への接続時に XMPP ドメイン間フェデレーションを行うために提示されます。 |