この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
エンタープライズ パラメータ Certificate Revocation and Expiry によって、証明書検証チェックを制御できます。失効と有効期日チェックのパラメータは、Cisco Unified Communications Manager の [(エンタープライズ パラメータ)Enterprise Parameter] ページで有効化します。エンタープライズ パラメータ値が無効化された場合、長時間セッションの証明書の有効期限は確認されません。
Cisco Unified Communications Manager の Operating System Administration で [失効の有効化(Enable Revocation)] が選択され、失効と有効期日のチェック パラメータが有効として設定された場合、LDAP と IPSec 接続に対する証明書失効サービスがアクティブになります。IPSec 接続チェックの周期は、[チェック周期(Check Every)] の値に基づきます。[失効の有効化(Enable Revocation)] チェックボックスのマークが外された場合、証明書の失効チェックは実行されません。
エンタープライズ パラメータ Certificate Revocation and Expiry によって、証明書検証チェックを制御できます。失効と有効期日チェックのパラメータは、Cisco Unified Communications Manager の [(エンタープライズ パラメータ)Enterprise Parameter] ページで有効化します。エンタープライズ パラメータ値が無効化された場合、長時間セッションの証明書の有効期限は確認されません。
Cisco Unified Communications Manager の Operating System Administration で [失効の有効化(Enable Revocation)] が選択され、失効と有効期日のチェック パラメータが有効として設定された場合、LDAP と IPSec 接続に対する証明書失効サービスがアクティブになります。IPSec 接続チェックの周期は、[チェック周期(Check Every)] の値に基づきます。[失効の有効化(Enable Revocation)] チェックボックスのマークが外された場合、証明書の失効チェックは実行されません。
次のタスクを行い、証明書ステータスと有効期限をモニタするようシステムを設定します。次の処理を自動的に行うようシステムを設定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | 証明書モニタ通知の設定 | 証明書の自動モニタリングを構成します。システムは定期的に証明書ステータスをチェックし、証明書の有効期限が近づいていると電子メールで通知します。 |
ステップ 2 | OCSP による証明書失効の設定 | Online Certificate Status Protocol(OCSP)を設定し、期限切れの証明書をシステムが自動的に失効させるようにします。 |
Cisco Unified Communications Manager または IM and Presence サービスの自動証明書モニタリングを設定します。システムは定期的に証明書のステータスをチェックし、証明書の有効期限が近づいていると電子メールで通知します。
(注) | [Cisco Certificate Expiry Monitor] ネットワーク サービスを実行している必要があります。デフォルトでこのサービスは有効化されていますが、 を選択し、[Cisco Certificate Expiry Monitor サービス(Cisco Certificate Expiry Monitor Service)] の状態が [実行中(Running)] であることを検証して Cisco Unified Serviceability でサービスが実行中であることを確認できます。 |
Online Certificate Status Protocol(OCSP)を設定し、期限切れの証明書をシステムが自動的に失効させるようにします。詳細の参照先:OCSP による証明書失効の設定
オンライン証明書ステータスプロトコル(OCSP)を有効にして、証明書の状態を定期的にチェックし、期限切れの証明書を自動的に失効させます。
システムに OCSP チェックに必要な証明書があることを確認します。OCSP 応答属性を設定されているルート CA 証明書または中間 CA 証明書を使用することができます。または、tomcat-trust へアップロードされている指定された OCSP 署名証明書を使用することができます。
ステップ 1 | (Cisco Unified Communications Manager の証明書失効のために)Cisco Unified OS の管理にログインするか、(IM and Presence サービスの証明書失効のために)Cisco Unified IM and Presence の管理にログインします。 |
ステップ 2 | を選択します。 |
ステップ 3 | [OCSP の有効化(Enable OCSP)] チェック ボックスをオンにして、次のタスクのいずれかを実行します。 |
ステップ 4 | [失効チェックを有効にする(Enable Revocation Check)] チェック ボックスをオンにします。 |
ステップ 5 | [チェック間隔(Check Every)] フィールドに失効チェックの間隔を入力します。 |
ステップ 6 | [保存(Save)] をクリックします。 |
ステップ 7 | これはオプションです。CTI、IPsec または LDAP リンクがある場合は、これらの長期性接続の OCSP 失効サポートを有効にするために、上記の手順に加えて次の手順も行う必要があります。 |
Online Certificate Status Protocol(OCSP)により、デバイスは特定の証明書のステータスに関するリアルタイム情報を取得できます。認証ステータスの例としては良好、無効、不明などが挙げられます。
Cisco Unified Communications Manager は OCSP を使用して Cisco Unified Communications Manager の信頼ストアにアップロードされるサードパーティの証明書を検証します。Cisco Unified Communications Manager は、OCSP レスポンダ URL が HTTP 経由で OCSP レスポンダ サーバに接続するよう要求します。レスポンダに HTTP 要求を送信して証明書を検証します。
Cisco Unified Communications Manager は現在、OCSP 応答が OCSP サーバの自己署名証明書によって署名される、OCSP の信頼レスポンダ モデルをサポートしています。この自己署名証明書は OCSP 要求を開始する前に信頼ストアにアップロードされます。この証明書は OCSP 応答の署名を検証するために使用されます。
Cisco Unified Communications Manager 11.0 以降では OCSP レスポンダ の委任信頼モデル(DTM)をサポートしています。OCSP 応答 は自己署名証明書では承認されませんが、認証局(ルート CA または 低 CA)から発行されます。CA 証明書は OCSP レスポンダ証明書を検証します。Cisco Unified Communications Manager 信頼ストアに OCSP レスポンダ証明書を発行した CA 証明書が、OCSP 応答が署名した証明書の代わりに必要です。OCSP 応答を受信すると、応答シグニチャを検証するために、CA 証明書が使用されます。
(注) | DTM 実行障害が発生しても、OCSP 応答は自己署名証明書を使用して検証されます。 |