この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Certificate Authority Proxy Function(CAPF)は、Cisco Unified Communications Manager とともに自動的にインストールされ、設定に応じて次のタスクを実行します。
既存の製造元でインストールされた証明書(MIC)、ローカルで有効な証明書(LSC)、ランダムに生成された認証文字列、または安全性の低いオプションの「null 」認証によって認証する。
電話機にある既存のローカルで有効な証明書をアップグレードする。
表示およびトラブルシューティングを行うために電話機の証明書を取得する。
インストール時に、CAPF に固有の証明書が生成されます。Cisco CTL クライアントによってクラスタ内のすべての Cisco Unified Communications Manager サーバにコピーされる、この CAPF 証明書では、.0 の拡張子を使用します。
電話と CAPF とのインタラクションが発生すると、電話は認証文字列、既存の MIC または LSC 証明書、または「null」を使用して自身を CAPF に認証し、公開キーと秘密キーのペアを生成し、署名付きメッセージによって公開キーを CAPF サーバに転送します。秘密キーは電話に残り、外部に公開されることはありません。証明書は CAPF によって署名され、署名付きメッセージによって電話に送り返されます。
Cisco Unified Communications Manager リリース 11.5(1)SU1 以降、CAPF サービスによって発行されるすべての LSC 証明書は、SHA-256 アルゴリズムで署名されています。したがって、IP 電話 7900/8900/9900 シリーズのモデルは、SHA-256 署名済み LSC 証明書および外部 SHA2 アイデンティティ証明書(Tomcat、CallManager、CAPF、TVS など)をサポートします。署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。
(注) | ソフトウェア メンテナンスが終了またはサポートが終了した電話モデルを使用する場合は、Cisco Unified Communications Manager の 11.5(1)SU1 より前のリリースの使用を強くお勧めします。 |
電話での証明書インストールの実行中に通信障害が発生した場合、電話は証明書の取得を 30 秒間隔でさらに 3 回試行します。これらの値は設定できません。
電話による CAPF とのセッション試行中に電源障害が発生した場合、電話はフラッシュに保存された認証モードを使用します。つまり、電話の再起動後に TFTP サーバからコンフィギュレーション ファイルをロードできなかった場合です。証明書操作が完了すると、システムはフラッシュの値をクリアします。
ヒント | 電話のユーザには証明書操作の中断や、電話の動作ステータスの確認が可能であることに注意してください。 |
ヒント | キーの生成を低い優先順位で設定すると、操作の実行中にも電話が機能します。キーの生成が完了するまでに、30 分以上かかることがあります。 証明書生成中にも電話は正常に機能しますが、TLS トラフィックが増加することで、電話での通話の処理に最小限の中断が発生する可能性があります。たとえば、インストールの最後に証明書がフラッシュへ書き込まれるとき、オーディオにノイズが発生する場合があります。 |
ユーザまたは Cisco Unified Communications Manager.によって電話がリセットされたときの CAPF と Cisco Unified IP Phone 7960G および 7940G とのインタラクションについては、以下の情報を考慮してください。
(注) | 次の例では、LSC が電話に存在せず、CAPF 認証モードとして既存の証明書が選択されていると、CAPF 証明書操作が失敗します。 |
この例では、デバイス セキュリティ モードを非セキュアに設定し、CAPF 認証モードをヌル文字列または既存証明書(優先)に設定した後、電話がリセットされます。リセットした電話は直ちにプライマリ Cisco Unified Communications Manager に登録され、コンフィギュレーション ファイルを受信します。その後、電話によって LSC をダウンロードするための CAPF セッションが自動的に開始されます。電話機が LSC をインストールした後、デバイス セキュリティ モードを認証済みまたは暗号化済みに設定します。
この例では、デバイス セキュリティ モードを認証済みまたは暗号化済みに設定し、CAPF 認証モードをヌル文字列または既存証明書(優先)に設定した後、電話がリセットされます。CAPF セッションが終了し LSC がインストールされるまで、電話はプライマリ Cisco Unified Communications Manager に登録されません。セッションが終了すると、電話が登録され、直ちに認証済みまたは暗号化済みモードで動作します。
この例では、電話が自動的に CAPF サーバに接続されないため、認証文字列を設定できません。電話に有効な LSC がない場合、登録は失敗します。
認証局プロキシ機能(CAPF)は、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話に対し、証明書の発行とアップグレードを実行できます。IPv6 アドレスを使用する SCCP を実行する電話の証明書の発行またはアップグレードを実行するには、Cisco Unified Communications Manager Administration で [IPv6 の有効化(Enable IPv6)] サービス パラメータを True に設定します。
証明書取得のために電話が CAPF に接続されると、CAPF では [IPv6 の有効化(Enable IPv6)] エンタープライズ パラメータからの設定を使用して、その電話の証明書の発行またはアップグレードを実行するかどうかが決定されます。このエンタープライズ パラメータが False に設定された場合、CAPF は IPv6 アドレスを使用する電話からの接続を無視または拒否し、その電話は証明書を受け取りません。
IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話の CAPF への接続方法について、次の表で説明します。
電話の IP モード |
電話の IP アドレス |
CAPF IP アドレス |
電話機から CAPF への接続方法 |
---|---|---|---|
2 スタック |
IPv4 と IPv6 が利用可能 |
IPv4、IPv6 |
電話は IPv6 アドレスを使用して CAPF に接続します。IPv6 アドレスでは接続できない場合、電話は IPv4 アドレスを使用して接続を試みます。 |
2 スタック |
IPv4 |
IPv4、IPv6 |
電話は IPv4 アドレスを使用して CAPF に接続します。 |
2 スタック |
IPv6 |
IPv4、IPv6 |
電話は IPv6 アドレスを使用して CAPF に接続します。試行に失敗すると、電話は CAPF IPv4 アドレスを使用して CAPF に接続します。 |
2 スタック |
IPv4 |
IPv4 |
電話は IPv4 アドレスを使用して CAPF に接続します。 |
2 スタック |
IPv4 と IPv6 が利用可能 |
IPv6 |
電話は IPv6 アドレスを使用して CAPF に接続します。 |
2 スタック |
IPv4 と IPv6 が利用可能 |
IPv4 |
電話は IPv4 アドレスを使用して CAPF に接続します。 |
2 スタック |
IPv4 |
IPv6 |
電話は CAPF に接続できません。 |
2 スタック |
IPv6 |
IPv4 |
電話は CAPF に接続できません。 |
2 スタック |
IPv6 |
IPv6 |
電話は IPv6 アドレスを使用して CAPF に接続します。 |
IPv4 スタック |
IPv4 |
IPv4、IPv6 |
電話は IPv4 アドレスを使用して CAPF に接続します。 |
IPv6 スタック |
IPv6 |
IPv4、IPv6 |
電話は IPv6 アドレスを使用して CAPF に接続します。 |
IPv4 スタック |
IPv4 |
IPv4 |
電話は IPv4 アドレスを使用して CAPF に接続します。 |
IPv4 スタック |
IPv4 |
IPv6 |
電話は CAPF に接続できません。 |
IPv6 スタック |
IPv6 |
IPv6 |
電話は IPv6 アドレスを使用して CAPF に接続します。 |
IPv6 スタック |
IPv6 |
IPv4 |
電話は CAPF に接続できません。 |
CAPF を使用する前に、Cisco CTL クライアントのインストールと設定に必要なすべてのタスクを実行したことを確認します。CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
証明書のアップグレードまたは認証操作中、電話の CAPF 認証方式が [認証文字列(By Authentication String)] である場合は、操作中に同じ認証文字列を電話に入力する必要があります。入力されなかった場合、操作に失敗します。[TFTP 暗号化(TFTP Encrypted Config)] エンタープライズ パラメータが有効化されている状態で認証文字列の入力に失敗した場合、電話の設定は失敗し、該当する認証文字列が電話に入力されるまで回復しません。
多くの証明書を同時に生成するとコール処理中断の原因となるため、スケジュールされたメンテナンスの時間帯に CAPF を使用することを強く推奨します。
CAPF が Cisco Unified Communications Manager クラスタのすべてのサーバを認証できるよう、クラスタ内のすべてのサーバで管理者のユーザ名とパスワードを同じものにする必要があります。
証明書操作の全期間を通じて、最初のノードが正常に実行されていることを確認します。
証明書操作の全期間を通じて、電話が正常に機能していることを確認します。
セキュアな電話が別のクラスタに移動されると、Cisco Unified Communications Manager はその電話が送信した LSC 証明書を信頼しなくなります。CTL ファイル内に証明書が存在しない別の CAPF によって発行されたものであるためです。セキュア電話を登録可能にするには、既存の CTL ファイルを削除します。その後、[インストール/アップグレード(Install/Upgrade)] オプションを使用して新しい CAPF により新規 LSC 証明書をインストールし、新しい CTL ファイルのために電話をリセットします(または MIC を使用します)。[電話の設定(Phone Configuration)] ウィンドウの [CAPF] セクションにある [削除(Delete)] オプションを使用して、電話を移動する前に既存の LSC を削除します。
ヒント | Cisco IP Telephony の Backup And Restore System(BARS)によって CAPF のデータがバックアップされ、レポートされます。これは、情報が Cisco Unified Communications Manager によって Cisco Unified Communications Manager データベースに保存されるためです。 |
Cisco Unified Serviceability で次のタスクを実行します。
詳細については、『Cisco Unified Communications Manager Administration Guide』を参照してください。
Cisco Unified Communications Manager は Cisco Unified Serviceability の Certificate Authority Proxy Function サービスを自動で起動しません。
Cisco CTL クライアントをインストールして設定する前に、このサービスを有効にしていない場合は、CTL ファイルを更新する必要があります。このサービスは、最初のノード上だけで有効化してください。
CAPF サービス パラメータ ウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数などの情報が表示されます。
CAPF サービス パラメータが Cisco Unified Communications Manager の管理ページでアクティブのステータスとして表示されるようにするには、Certificate Authority Proxy Function サービスをアクティブにする必要があります。
ステップ 1 | Cisco Unified CM の管理で、 を選択します。 | ||
ステップ 2 | [サーバ(Server)] ドロップダウン リスト ボックスからサーバを選択します。
| ||
ステップ 3 | [サービス(Service)] ドロップダウン リスト ボックスで、[Cisco Certificate Authority Proxy Function] サービスを選択します。 | ||
ステップ 4 | パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。
| ||
ステップ 5 | 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動します。 |
認証局プロキシ機能(CAPF) LSC はローカルで署名されています。しかし、電話機がサード パーティ CA 署名済み LSC を使用しなければいけないようにすることもできます。
(注) | ステップ 1 と 2 を一度実行し、電話機の必要な LSC 操作をすべて設定するまで残りの手順を繰り返します。 |
ステップ 1 | Unified Communications Manager の信頼ストアにサード パーティ CA 証明書をインポートします。 | ||
ステップ 2 | サービス パラメータ Certificate Issuer to Endpoint を設定するには、次の手順に従います。 | ||
ステップ 3 | CSR 生成の進捗状況を調べます。電話機の再登録後、CLI コマンド utils capf csr count を使用して、CSR が生成されているかを調べます。 | ||
ステップ 4 | CLI コマンド utils capf csr dump を使用して、CSR を任意の場所(FTP や TFTP を通じてローカル ディレクトリまたはリモート ディレクトリ)にダンプします。 アップロードする前に CLI tar 処理で CSR を圧縮して 1 つのファイル(.tgz)にまとめます。 | ||
ステップ 5 | すべての署名付き証明書が CA によって提供されたら、Linux コマンド tar cvzf <filename.tgz> *.der を使用して、すべての証明書を 1 つのファイルに圧縮します。 | ||
ステップ 6 | 証明書を Unified Communications Manager にインポートするには、CLI コマンド utils capf cert import を使用します。
|
以前に作成してインポートした CSR と証明書をすべて削除するには、コマンド utils capf csr delete を使用できます。
ステップ 1 | 『Administration Guide for Cisco Unified Communications Manager』の説明に従って、電話を検索します。 |
ステップ 2 | 検索結果が表示されたら、証明書をインストール、アップグレード、削除、トラブルシューティングする電話を探し、その電話の [デバイス名(回線)(Device Name (Line))] のリンクをクリックします。ます。 |
ステップ 3 | 表 1の説明に従って設定値を入力します。 |
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 5 | [リセット(Reset)] をクリックします。 |
Cisco Unified Communications Manager Administration の [電話の設定(Phone Configuration)] ウィンドウの CAPF 設定について、次の表で説明します。
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
|
|||
[認証文字列(By Authentication String)] オプションを選択した場合、このフィールドが適用されます。手動で文字列を入力するか、[文字列の生成(Generate String)] ボタンをクリックして、文字列を生成します。文字列が 4 ~ 10 桁であることを確認します。 ローカルで有効な証明書のインストール、アップグレード、トラブルシューティングを行うには、電話のユーザまたは管理者が電話に認証文字列を入力する必要があります。 |
|||
CAPF が自動的に認証文字列を生成するよう設定するには、このボタンをクリックします。4 ~ 10 桁の認証文字列が [認証文字列(Authentication String)] フィールドに表示されます。 |
|||
キー順序(Key Order) |
|
||
RSA キー サイズ(ビット)(RSA Key Size (Bits)) |
ドロップダウン リスト ボックスから、[512]、[1024]、または [2048] のいずれかの値を選択します。 |
||
EC キー サイズ(ビット)(EC Key Size (Bits)) |
ドロップダウン リスト ボックスから、[256]、[384]、または [521] のいずれかの値を選択します。 |
||
このフィールドには、証明書操作の進行状況が表示されます。たとえば、操作タイプが証明書操作オプションのインストール/アップグレード、削除、またはトラブルシュートである場合、<operation type> について [保留(pending)]、[失敗(failed)]、または [成功(successful)] が表示されますこのフィールドに表示される情報は変更できません。 |
ステップ 1 | [Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)] で、 を選択します。
[検索と一覧表示(Find and List)] ウィンドウが表示されます。このウィンドウには、アクティブな(以前の)クエリーのレコードも表示されることがあります。 | ||
ステップ 2 | 最初のドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 | ||
ステップ 3 | 2 番目のドロップダウン リスト ボックスで、検索パターンを選択します。 | ||
ステップ 4 | 必要に応じて、適切な検索テキストを指定します。
| ||
ステップ 5 | [検索(Find)] をクリックします。
条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 6 | レコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |
必要に応じて、証明書の操作、認証文字列、セキュリティ プロファイル、認証モードなどを表示する CAPF レポートを生成できます。レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどの情報が含まれます。
ステップ 1 | [Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] で、 を選択します。 [検索/リスト(Find/List)] ウィンドウが表示されます。このウィンドウには、アクティブな(以前の)クエリーのレコードも表示されることがあります。 |
ステップ 2 | データベースのすべてのレコードを検索するには、ダイアログボックスが空であることを確認して、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。 |
ステップ 3 | [検索(Find)] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスで別の値を選択します。 |
ステップ 4 | [関連リンク(Related Links)] ドロップダウン リスト ボックスで、[CAPF レポートをファイル出力(CAPF Report in File)] を選択し、[移動(Go)] をクリックします。 |
ステップ 5 | ファイルを覚えやすい場所に保存します。 |
ステップ 6 | .csv ファイルを開くには、Microsoft Excel を使用します。 |
[認証文字列(By Authentication String)] モードを選択し、認証文字列を生成している場合は、ローカルで有効な証明書をインストールするため電話で認証文字列を入力する必要があります。
ヒント | 認証文字列は 1 回だけ使用できます。[電話の設定(Phone Configuration)] ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。 |
ステップ 1 | 電話の [設定(Setting)] ボタンを押します。 |
ステップ 2 | 設定がロックされている場合は、[**#](アスタリスク、アスタリスク、ポンド記号)を押してロック解除します。 |
ステップ 3 | [設定(Settings)] メニューをスクロールダウンします。セキュリティ設定を強調表示して、[選択(Select)] ソフトキーを押します。 |
ステップ 4 | [セキュリティ設定(Security Configuration)] メニューをスクロールダウンします。LSC を強調表示して、[更新(Update)] ソフトキーを押します。 |
ステップ 5 | 認証文字列の入力を求められたら、システムが提供する文字列を入力して、[送信(Submit)] ソフトキーを押します。 現在の CAPF コンフィギュレーションに応じて、電話機は証明書をインストール、更新、削除、またはフェッチします。 電話機に表示されるメッセージを確認して、証明書動作の進捗をモニタできます。[送信(Submit)] を押すと、「処理中(Pending)」というメッセージが LSC オプションの下に表示されます。電話機によって公開キーと秘密キーのペアが生成され、電話機の情報が表示されます。電話機でプロセスが正常に完了すると、電話機に成功のメッセージが表示されます。電話機に失敗のメッセージが表示された場合は、間違った認証文字列を入力したか、電話機が更新できるように設定されていません。 [停止(Stop)] オプションを選択すると、プロセスをいつでも停止できます。 |
で LSC 設定([インストール済み(Installed)] または [未インストール(Not Installed)])をチェックすることで、電話機に証明書がインストールされているかを確認することができます。