Certificate Authority Proxy Function

認証局プロキシ機能(CAPF)の概要

Cisco Certificate Authority Proxy Function (CAPF) は、ローカルの重要な証明書 (LSCs) を発行し、Cisco エンドポイントを認証する Cisco 専有サービスです。CAPF サービスは、ユニファイドコミュニケーションマネージャー上で実行され、次のタスクを実行します。

  • サポートされる Cisco Unified IP Phone に対して LSC を発行する。

  • 混合モードが有効になっている場合に、電話機を認証します。

  • 電話機用の既存の LSCs をアップグレードします。

  • 表示およびトラブルシューティングを行うために電話の証明書を取得する。

CAPF 実行モード

次のモードで動作するように CAPF を設定することができます。

  • Cisco Authority プロキシ機能: ユニファイドコミュニケーションマネージャーの CAPF サービスは、CAPF サービス自体によって署名された LSCs を発行します。これは、デフォルトのモードです。

  • [オンライン CA (Online CA)]: 外部オンライン CA が「電話用 LSC」として署名している場合は、このオプションを使用します。CAPF サービスは、自動的に外部 CA に接続されます。CSR が送信された場合、CA は署名して CA 署名した LSC を自動的に返します。

  • オフライン CA: このオプションは、オフラインの外部 CA を使用して LSC for phone に署名する場合に使用します。このオプションでは、LSC を手動でダウンロードして CA に提出してから、CA 署名の証明書の準備ができてからそれらをアップロードする必要があります。


    (注)  

    シスコでは、サードパーティ CA を使用して LSC に署名する必要がある場合、オフライン ca の代わりにオンライン ca オプションを使用して、プロセスが自動化されていて、問題が発生する可能性が低くなることを推奨します。

CAPF サービス証明書

統合コミュニケーションマネージャがインストールされている場合、CAPF サービスが自動的にインストールされ、CAPF 固有のシステム証明書が生成されます。セキュリティが適用されると、Cisco CTL クライアントは、すべてのクラスタノードに証明書をコピーします。

電話の証明書タイプ

シスコは次の X.509v3 証明書タイプを電話で使用します。

  • ローカルで有効な証明書(LSC):このタイプの証明書は Cisco Certificate Authority Proxy Function(CAPF)に関連する必要な作業の実行後に、電話にインストールされます。デバイス セキュリティ モードを認証または暗号化に設定した後で、LSC は Unified Communications Manager と電話の間の接続を保護します。


    (注)  

    オンライン CA の場合、LSC の有効性は CA に基づいています。また、CA が許可している限り使用できます。

  • 製造元でインストールされる証明書(MIC):Cisco Manufacturing は MIC をサポートされている電話モデルに自動的にインストールします。製造元でインストールされる証明書は LSC インストールの Cisco Certificate Authority Proxy Function(CAPF)を認証します。製造元でインストールされる証明書を上書きしたり、削除することはできません。


(注)  

製造元でインストールされる証明書(MIC)を LSC のインストールでのみ使用することが推奨されます。シスコでは Unified Communications Manager との TLS 接続の認証のために LSC をサポートしています。MIC ルート証明書は侵害される可能性があるため、TLS 認証またはその他の目的に MIC を使用するように電話を設定するお客様は、ご自身の責任で行ってください。MIC が侵害された場合シスコはその責任を負いません。

CAPF 経由の LSC 生成

CAPF を設定し、設定されている認証文字列を電話機に追加すると、電話機と CAPF 間でキーと証明書の交換が行われます。以下が実行されます。

  • 電話機は、設定された認証方法を使用して CAPF に対して自身を認証します。

  • 電話機は公開/秘密キー ペアを生成します。

  • 電話機は、署名されたメッセージの中で、公開キーを CAPF に転送します。

  • 秘密キーは電話に残り、外部に公開されることはありません。

  • 証明書は CAPF によって署名され、署名付きメッセージによって電話に送り返されます。


(注)  
電話のユーザが証明書操作の中断や、電話の動作ステータスの確認を実行できることに注意してください。

(注)  
キーの生成を低い優先順位で設定すると、操作の実行中に、電話機が機能します。証明書生成中にも電話は正常に機能しますが、TLS トラフィックが増加することで、電話での通話の処理に最小限の中断が発生する可能性があります。たとえば、インストールの最後に証明書がフラッシュへ書き込まれるとき、オーディオにノイズが発生する場合があります。

CAPF 前提条件

LSC 生成用の認証局のプロキシ機能を設定する前に、次の手順を実行します。

  • サードパーティ CA を使用して LSCs に署名したい場合は、CA を外部に設定します。

  • 電話機を認証する方法を計画します。

  • LSCs を生成する前に、次のものを用意していることを確認してください。

    • Unified Communications Manager リリース 12.5 以降

    • 証明書に CAPF を使用するエンドポイント (Cisco IP Phone および Jabber を含む)。

    • Microsoft Windows Server 2012 および 2016

    • ドメイン名サービス(DNS)が設定されています

  • 「CA ルートおよび HTTPS 証明書」をアップロードしてから、LSCs を生成する必要があります。セキュア SIP connection では、HTTPS 証明書は CAPF-トラストを通過し、CA ルート証明書は CAPF 信頼でコールマネージャーの信頼をたどります。インターネットインフォメーションサービス (IIS) は、HTTPS 証明書をホストします。CA ルート証明書は、証明書署名要求 (CSR) への署名に使用されます。

    証明書をアップロードする必要がある場合のシナリオを次に示します。

    表 1. 証明書のアップロードシナリオ

    シナリオ

    結果

    CA ルートおよび HTTPS 証明書は同じです。

    CA ルート証明書をアップロードする。

    CA ルートと HTTPS の証明書は異なり、HTTPS 証明書は同じ CA ルート証明書によって発行されます。

    CA ルート証明書をアップロードする。

    中間 CA と HTTPS の証明書は異なり、CA ルート証明書によって発行されます。

    CA ルート証明書をアップロードする。

    CA ルートと HTTPS の証明書は異なり、同じ CA ルート証明書によって発行されます。

    CA ルートおよび HTTPS 証明書をアップロードする。

(注)  

複数の証明書を同時に生成するとコール処理中断の原因となるため、スケジュールされたメンテナンスの時間帯に CAPF を使用することを強く推奨します。

CAPF 設定タスク フロー

次のタスクを実行して、証明機関プロキシ機能 (CAPF) サービスがエンドポイント用 LSCs を発行するように設定します。

手順

  コマンドまたはアクション 目的
ステップ 1

サードパーティ CA のルート証明書のアップロード

LSC にサードパーティの CA 署名を適用する場合は、CA ルート証明書チェーンを CAPF 信頼ストアにアップロードします。その他の場合は、このタスクをスキップします。
ステップ 2

認証局(CA)ルート証明書のアップロード

CA ルート証明書をコールマネージャートラストストアにアップロードします。
ステップ 3

オンライン認証局の設定

を使用して電話機 LSC 証明書を生成するには、次の手順を使用します。
ステップ 4

オフライン認証局の設定の設定

オフライン CA を使用して電話機 LSC 証明書を生成するには、次の手順を使用します。
ステップ 5

CAPF サービスをアクティブ化または再起動する

認証局のプロキシ機能のシステム設定を構成した後、必須の CAPF サービスがアクティブになっていることを確認します。
ステップ 6

次のいずれかの手順を使用して、ユニファイドコミュニケーションマネージャーの CAPF 設定を構成します。

次のオプションのいずれかを使用して、CAPF 設定を電話機の設定に追加します。

  • まだ LDAP ディレクトリを同期していない場合、CAPF 設定をユニバーサルデバイステンプレートに追加し、初期 LDAP 同期を使用して設定を適用することができます。

  • バルク管理ツールを使用すると、1 回の操作で多数の電話機に CAPF 設定を適用できます。

  • CAPF 設定を電話機ごとに適用することができます。
ステップ 7

キープアライブ タイマーの設定

(ファイアウォールがタイムアウトしないように、CAPF エンドポイント接続のキープアライブ値を設定します。デフォルト値は 15 分です。

サードパーティの認証局のルート証明書のアップロード

外部 CA を使用して LSC 証明書に署名する場合は、CA ルート証明書を CAPF 信頼ストアおよび callmanager 信頼ストアにアップロードする必要があります。


(注)  

サードパーティ CA を使用して LSCs に署名しない場合は、このタスクをスキップできます。

手順

ステップ 1

[Cisco Unified OS Administration] から [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

ステップ 2

[Upload Certificate/Certificate chain] をクリックします。

ステップ 3

[証明書目的(Certificate Purpose)] ドロップダウンリストで、[CallManager 信頼(CallManager-trust)] を選択します。

ステップ 4

証明書の説明を [説明(Description)] に入力します。たとえば、外部 LSC 署名 CA の証明書などです
ステップ 5

[参照(Browse)] をクリックしてファイルに移動してから、[開く(Open)] をクリックします。

ステップ 6

[アップロード(Upload)] をクリックします。

ステップ 7

このタスクを繰り返して、証明書の目的で使用される発信者管理者の信頼に証明書をアップロードします

認証局(CA)ルート証明書のアップロード

クラスタ全体の証明書をアップロードし、クラスタ内のすべてのサーバに配布します。

手順

ステップ 1

[Cisco Unified OS Administration] から [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

ステップ 2

[Upload Certificate/Certificate chain] をクリックします。

ステップ 3

[証明書目的(Certificate Purpose)] ドロップダウンリストで、[CallManager 信頼(CallManager-trust)] を選択します。

ステップ 4

[説明(Description)] フィールドに、証明書の説明を入力します。たとえば、外部 LSC 署名 CA の証明書などです
ステップ 5

[参照(Browse)] をクリックしてファイルに移動してから、[開く(Open)] をクリックします。

ステップ 6

[アップロード(Upload)] をクリックします。

次のタスク

オンライン認証局の設定

オンライン認証局の設定

Unified Communications Manager でこの手順を実行して、オンライン認証局プロキシ機能を使用して電話機 LSC を生成します。


(注)  

オンライン CAPF は FIPS 対応モードではサポートされていません。

手順

ステップ 1

Cisco Unified CM Administration で、[システム(System)] > [サービス パラメータ(Service Parameters)] の順に選択します。

ステップ 2

[サーバ(Server)] ドロップダウンリストから、Cisco CallManager サービスをアクティブ化したノードを選択します。

ステップ 3

[サービス(Service)] ドロップダウンリストから、[Cisco 認証局プロキシ機能(アクティブ)(Cisco Certificate Authority Proxy Function (Active))] を選択します。サービス名の横に「Active」と表示されることを確認します。

ステップ 4

[エンドポイントへの証明書発行者(Certificate Issuer to Endpoint)] ドロップダウンリストから、[オンラインCA(Online CA)] を選択します。CA 署名付き証明書では、オンライン CA を使用することを推奨しています。

ステップ 5

[証明書の有効期間(日数)(Duration Of Certificate Validity (in Days))] フィールドに、CAPF が発行した証明書が有効である日数を表す数値を、1 ~ 1825 の間で指定します。

ステップ 6

[オンライン CA パラメータ(Online CA Parameters)] 画面で次のパラメータを設定し、オンライン CA セクションに対する接続を作成します。

  • オンライン CA ホスト名:サブジェクト名または共通名(CN)は、HTTPS 証明書の完全修飾ドメイン名(FQDN)と同じである必要があります。

    (注)   

    設定されているホスト名は、Microsoft CA で実行されているインターネット インフォメーション サービス(IIS)でホストされる HTTPS 証明書の共通名(CN)と同じです。

  • オンライン CA ポート:オンライン CA のポート番号を入力します。たとえば「443」と入力します。

  • オンライン CA テンプレート:テンプレートの名前を入力します。テンプレートは Microsoft CA に作成されます。

  • オンライン CA タイプ:デフォルトのタイプである Microsoft CA を選択します。

  • オンライン CA ユーザ名:CA サーバのユーザ名を入力します。

  • オンライン CA パスワード:CA サーバのユーザ名のパスワードを入力します。

残りの Cisco Certificate Authority Proxy Function サービスパラメータを入力します。必要に応じてパラメータをクリックすると

サービスパラメータのヘルプ システムを表示できます
ステップ 7

残りの Cisco Certificate Authority Proxy Function サービスパラメータを入力します。サービスパラメータのヘルプ システムを表示する必要がある場合は、パラメータ名をクリックします。
ステップ 8

[保存(Save)] をクリックします。

ステップ 9

変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動します。Cisco Certificate Enrollment service を自動的に再起動します。

次のタスク

CAPF サービスをアクティブ化または再起動する

オフライン認証局の設定の設定

オフライン CA を使用して電話機 LSC 証明書を生成することを決定した場合は、次の高度なプロセスに従うことができます。

(注)  

オフライン CA オプションを使用すると、オンライン Ca よりも時間がかかり、手動による手順が多くなります。証明書の生成および送信プロセス中に問題 (たとえば、ネットワークの停止や電話機のリセットなど) が発生した場合は、プロセスを再起動する必要があります。

手順

ステップ 1

サードパーティ認証局からルート証明書チェーンをダウンロードします。
ステップ 2

Cisco Unified Communication Manager にルート証明書チェーンをインストールします。
ステップ 3

オフライン CA に対して Certificate Issue to Endpointサービスパラメータを設定することで、オフラインの CA を使用するように Cisco Unified Communications Manager を設定します。

ステップ 4

お使いの電話機の LSC 用に CSR を生成します。

ステップ 5

認証局にCSR を送信します。

ステップ 6

CSR から署名付き証明書を取得します。

次のタスク

オフライン CA を使用して電話 lscs を生成する方法の詳細な例については、リンクhttps://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118779-configure-cucm-00.htmlを参照してください。

CAPF サービスをアクティブ化または再起動する

認証局のプロキシ機能のシステム設定を構成した後、必須の CAPF サービスがアクティブになっていることを確認します。Certificate Authority Proxy Function サービスがすでに有効である場合は、再起動します。

手順

ステップ 1

Cisco Unified Serviceability から、[ツール(Tools)] > [サービスのアクティブ化(Service Activation)] を選択します。

ステップ 2

[サーバ(Server)] ドロップダウン リスト ボックスからパブリッシャ ノードを選択し、[移動(Go)] をクリックします。

ステップ 3

[ セキュリティサービス] の下で、次の該当するサービスを確認します。

  • Cisco Certificate Enrollment Service: オンライン CA を使用している場合は、このサービスを確認してください。それ以外の場合は、チェックボックスをオフのままにします。
  • Cisco Certificate Authority プロキシ機能: このサービスをオフ (非アクティブ) にした場合は、それをチェックします。サービスがすでにアクティブ化されている場合は、そのサービスを再起動する必要があります (下記を参照してください)。
ステップ 4

いずれかの設定を編集した場合は、[保存 (Save)] をクリックします
ステップ 5

Cisco Certificate Authority Proxy Function サービスがすでにチェックされている場合は(アクティブ)、再起動します。

  1. [関連リンク(Related Links)]ドロップダウン リストから [コントロールセンター-ネットワークサービス(Control Center - Network Services)]を選択し、[移動(Go)] をクリックします。

  2. [ セキュリティの設定] の下で、Cisco 認証局プロキシ機能サービスを確認し、[再起動 (Restart)] をクリックします

次のタスク

次の手順のいずれかを実行して、個々の電話機に対して CAPF 設定を構成します。

CAPD 設定をユニバーサル デバイス テンプレートで設定します。

CAPF 設定をユニバーサルデバイステンプレートに設定するには、次の手順を実行します。テンプレートは、機能グループテンプレートの設定を使用して、LDAP ディレクトリ同期に適用することができます。これを行うと、テンプレートの CAPF 設定が、このテンプレートを使用する同期済みのすべてのデバイスに適用されます。


(注)  

Universal デバイステンプレートは、まだ同期されていない LDAP ディレクトリにしか追加することができません。初期 LDAP 同期が発生した場合は、一括管理を使用して電話機を更新します。詳細については、バルク Admin による CAPF 設定の更新を参照してください。

手順

ステップ 1

[Cisco Unified CM の管理(Cisco Unified CM Administration)] から、[ユーザの管理(User Management)] > [ユーザ/電話の追加(User/Phone Add)] > [ユニバーサル デバイス テンプレート(Universal Device Template)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [検索(Find)] をクリックし、既存のテンプレートを選択します。
  • [新規追加(Add New)] をクリックします。
ステップ 3

認証局プロキシ機能(CAPF)の設定領域の拡張

ステップ 4

[証明書の操作(Certificate Operation)] ドロップダウン リストで、[インストール/アップグレード(Install/Upgrade)] を選択します。

ステップ 5

[ 認証モード ] ドロップダウンメニューで、デバイスを認証する方法を選択します。

ステップ 6

認証文字列の使用を選択した場合は、テキストボックスに認証文字列を入力するか、[文字列の生成 ([文字列の生成])] をクリックして、システムによって文字列が生成されるようにします。

(注)   

また、この文字列はデバイス自体の赤で表示される必要があります。また、認証は失敗します。
ステップ 7

残りのフィールドで、キー情報を設定します。フィールドを含むヘルプは、オンライン ヘルプを参照してください。
ステップ 8

[保存(Save)] をクリックします。

(注)   

このテンプレートを使用するデバイスは、この手順で割り当てたのと同じ認証方法で構成されていることを確認してください。それ以外の場合、デバイス認証は失敗します。電話機の認証を設定する方法の詳細については、電話機のマニュアルを参照してください。

次のタスク

プロファイルを使用しているデバイスにテンプレートの設定を適用するには、次のようにします。

  • ユニバーサルデバイステンプレートを Feature Group テンプレートの設定に追加する

  • 機能グループ テンプレートを、まだ同期されていない LDAP ディレクトリ設定に追加します。

  • LDAP 同期を完了します。CAPF 設定は、同期されているすべてのデバイスに適用されます。

機能グループテンプレートとLDAP ディレクトリ同期の設定の詳細については、『System Configuration Guide for Cisco Unified Communications Manager』の「Configure End Users」セクションを参照してください。

バルク Admin による CAPF 設定の更新

この手順では、一括管理の電話機の更新電話クエリを使用して、多数の既存の電話機の CAPF 設定と lsc 証明書を 1 回の操作で構成します。


(注)  

まだ電話機をプロビジョニングしていない場合は、バルク管理の [電話機の挿入 (Insert phone)] メニューを使用して、CSV ファイルからの capf 設定で新しい電話機をプロビジョニングできます。電話を CSV ファイルから挿入する方法についての詳細は、 Bulk Administration Guide for Cisco Unified Communications Manager の「電話の挿入」の章を参照してください。

始める前に

電話機は、この手順で追加する認証方法と文字列と同じように設定されていることを確認します。そうでない場合、電話機は CAPF を認証できません。電話機で認証を設定する方法の詳細については、電話機のマニュアルを参照してください。

手順

ステップ 1

Cisco Unified CM の管理で、[一括管理(Bulk Administration)] > [電話(Phones)] > [電話の更新(Update Phone)] > [クエリ(Query)] の順に選択します。

ステップ 2

フィルタオプションを使用して、更新する電話機に検索を制限し、[ 検索 (Find)] をクリックします

たとえば、[電話機の検索場所 ] ドロップダウンを使用して、LSC が特定の日付または特定のデバイスプール内のすべての電話機の前に期限切れになるすべての電話機を選択することができます。

ステップ 3

[次へ(Next)] をクリックします。

ステップ 4

ログアウト/リセット/再開 ([設定の適用 (Config)] ラジオボタン) を選択します。ジョブを実行すると、CAPF アップデートは更新されたすべての電話に適用されます。

ステップ 5

[ 証明機関プロキシ関数 (capf)]の情報で、[証明書の操作 (Certificate Operation)] チェックボックスをオンにします。

ステップ 6

[ 証明書の操作 (Certificate Operation) ] ドロップダウンから、[インストール /アップグレード] を選択して、新しい LSC 証明書を電話機にインストールします。

ステップ 7

[ 認証モード ] ドロップダウンから、LSC インストール時に電話機を認証する方法を選択します。

(注)   

電話機は、同じ認証方法を使用するように設定されている必要があります。
ステップ 8

認証モードとして認証文字列で選択した場合は、次の手順のいずれかを実行します。

  • 各デバイスに対して一意の認証文字列を使用する場合は、各デバイスに対して一意の認証文字列を生成することを確認してください
  • すべてのデバイスに同じ認証文字列を使用する場合は、[ 認証文字列 (authentication string)] テキストボックスに文字列を入力するか、[文字列の生成 (string)] をクリックします。
ステップ 9

[電話の更新(Update Phones)] ウィンドウで [CAPF の情報(Certification Authority Proxy Function(CAPF)Information)] セクションの残りのフィールドを入力します。フィールドとその設定を含むヘルプは、オンライン ヘルプを参照してください。

ステップ 10

[ジョブ情報(Job Information)] セクションで、[今すぐ実行(Run Immediately)]を選択します。

ステップ 11

[送信(Submit)] をクリックします。

(注)   

ジョブスケジューラを使用してジョブを後で実行する場合は、[後で実行 (run in run)] を選択することもできます。ジョブスケジューリングの詳細については、「Bulk Administration Guide for Cisco Unified Communications Manager」の「Manage Scheduled Jobs」の章を参照してください。

(注)   

この手順で [設定の適用 (Apply Configuration)] を選択しなかった場合は、更新されたすべての電話の [電話機の設定 (Phone Configuration)] ウィンドウで、[設定 (configuration)] を適用する必要があります。

次のタスク

オプション。 キープアライブ タイマーの設定

電話機の CAPF 設定の設定

個々の電話機の LSC 証明書の CAPF 設定を設定するには、次の手順を実行します。


(注)  

CAPF 設定を多数の電話機に適用するには、バルク管理または LDAP ディレクトリ同期を使用します。

始める前に

この手順で追加する認証方法と文字列を使用して、電話機が設定されていることを確認してください。そうでない場合、電話機は CAPF に自身を認証できなくなります。電話機で認証を設定する方法の詳細については、電話機のマニュアルを参照してください。

手順

ステップ 1

[Cisco Unified Communications Manager Administration] から、[デバイス(Device)] > [電話(Phone)] を選択します。

ステップ 2

[検索(Find)] をクリックし、既存の電話機を選択します。[CAPF の情報(Certification Authority Proxy Function (CAPF) Information)] セクションに移動します。

ステップ 3

[ 証明書の操作 (Certificate Operation) ] ドロップダウンから、[インストール /アップグレード] を選択して、新しい LSC 証明書を電話機にインストールします。

ステップ 4

[ 認証モード ] ドロップダウンから、LSC インストール時に電話機を認証する方法を選択します。

(注)   

電話機は、同じ認証方法を使用するように設定されている必要があります。
ステップ 5

[認証文字列(Authentication string)] で選択した場合は、テキスト文字列を入力するか、[文字列の生成 (generate string)] をクリックして、システムが文字列を生成するようにします。

ステップ 6

[電話の設定(Phone Configuration)] ウィンドウで [CAPF の情報(Certification Authority Proxy Function(CAPF)Information)] セクションの残りのフィールドを入力します。フィールドとその設定の詳細については、オンライン ヘルプを参照してください。

ステップ 7

[保存 (Save)] をクリックします。

キープアライブ タイマーの設定

ファイアウォールによって接続がタイムアウトしないように、次の手順を実行して、CAPF-エンドポイント接続のクラスターワイドキープアライブタイマーを設定します。デフォルト値は 15 分です。各間隔の後、CAPF サービスは電話機にキープアライブ信号を送信して、接続を開いた状態にします。

手順

ステップ 1

発行者ノードにログインするには、コマンドラインインターフェイスを使用します。
ステップ 2

utils capt set keep_alive CLI コマンドを実行します。

ステップ 3

5 ~ 60 (分) の間の数値を入力し、enter キーを押します。

CAPF の管理タスク

CAPF を設定し、LSC 証明書を発行した後、次のタスクを使用して LSC 証明書を継続的に管理します。

証明書ステータスのモニタリング

証明書のステータスを自動的に監視するようにシステムを設定することができます。証明書が期限切れに近づいたときにシステムから電子メールが送信され、期限切れ後に証明書が失効します。

証明書の監視の確認の設定方法の詳細については、「証明書の管理」の章の「証明書の監視と失効のタスクフロー」を参照してください。

古い LSC レポートの実行

次の手順を使用して、古い LSC レポートを Cisco ユニファイドレポートから実行します。古い LSCs は、エンドポイント CSR への応答として生成された証明書ですが、古くなった LSCS がインストールされる前に新しい CSR が生成されたため、インストールされませんでした。


(注)  

また、パブリッシャーノードで utils capf stale-lsc list CLI コマンドを実行することによって、古い LSC 証明書のリストを取得することもできます。

手順

ステップ 1

Cisco Unified Reporting から [System Reports] をクリックします。

ステップ 2

左側のナビゲーションバーで、[ 古い LSCs] を選択します。

ステップ 3

[新規レポートの生成] をクリックします。

保留中の CSR リストの表示

保留中の CAPF CSR ファイルのリストを表示するには、この手順を使用します。すべての CSR ファイルはタイムスタンプされます。

手順

ステップ 1

発行者ノードにログインするには、コマンドラインインターフェイスを使用します。
ステップ 2

utils core active list CLI コマンドを実行します。

保留中の CSR ファイルのタイムスタンプリストが表示されます。

古い LSC 証明書の削除

古い LSC 証明書をシステムから削除するには、次の手順を使用します。

手順

ステップ 1

発行者ノードにログインするには、コマンドラインインターフェイスを使用します。
ステップ 2

[utils capf state-lsc delete all CLI コマンド] を実行します。

古い LSC 証明書はすべてシステムから削除されます。

CAPF システムの連携動作と制限事項

機能

データのやり取り

[Authentication String]

電話の CAPF 認証方式については、アップグレードまたはインストールの後に同じ認証文字列を電話に入力する必要があります。入力されなかった場合、操作が失敗します。[TFTP Encrypted Config] エンタープライズ パラメータが有効な状態で認証文字列の入力に失敗した場合、電話の設定は失敗し、該当する認証文字列が電話に入力されるまで回復しません。

クラスタ サーバ クレデンシャル

CAPF が Unified Communications Manager クラスタのすべてのサーバを認証できるよう、クラスタ内のすべてのサーバで管理者のユーザ名とパスワードを同じものにする必要があります。

セキュアな電話機の移行

セキュアな電話が別のクラスタに移動されると、Unified Communications Manager はその電話が送信する LSC 証明書を信頼しなくなります。これは、その LSC 証明書が、CTL ファイル内に証明書が存在しない別の CAPF によって発行されたものであるためです。

セキュア電話を登録可能にするには、既存の CTL ファイルを削除します。その後、[Install/Upgrade] オプションを使用して新しい CAPF により新規 LSC 証明書をインストールし、新しい CTL ファイルのために電話をリセットします(または MIC を使用します)。[Phone Configuration] ウィンドウの [CAPF] セクションにある [Delete] オプションを使用して、電話を移動する前に既存の LSC を削除します。

Cisco Unified IP Phone 6900 シリーズ、7900 シリーズ、および 8900 シリーズ、および 9900

将来的な互換性の問題を回避するため、Unified Communications Manager との TLS 接続に LSC を使用するために Cisco Unified IP Phone 6900 シリーズ、7900 シリーズ、8900 シリーズ、9900 シリーズをアップグレードし、MIC ルート証明書を CallManager 信頼ストアから削除することが推奨されます。Cisco Unified Communications Manager との TLS 接続に MIC を使用する一部の電話モデルは登録できない場合があることに注意してください。

管理者は CallManager 信頼ストアから次の MIC ルート証明書を削除する必要があります。

  • CAP-RTP-001

  • CAP-RTP-002

  • Cisco_Manufacturing_CA

  • Cisco_Root_CA_2048

停電

以下の情報は、通信障害や電源障害の発生時に適用されます。

  • 電話での証明書インストールの実行中に通信障害が発生した場合、電話は証明書の取得を 30 秒間隔でさらに 3 回試行します。これらの値は設定できません。

  • 電話による CAPF とのセッション試行中に電源障害が発生した場合、電話はフラッシュに保存されている認証モードを使用します。つまり、電話の再起動後に TFTP サーバから新しい設定ファイルをロードできなかった場合です。証明書操作が完了すると、システムはフラッシュの値をクリアします。

証明書の暗号化

Cisco Unified Communications Manager リリース 11.5(1)SU1 以降、CAPF サービスによって発行されるすべての LSC 証明書は、SHA-256 アルゴリズムで署名されています。したがって、IP 電話 7900/8900/9900 シリーズのモデルは、SHA-256 署名済み LSC 証明書および外部 SHA2 アイデンティティ証明書(Tomcat、CallManager、CAPF、TVS など)をサポートします。署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。

(注)   

ソフトウェア メンテナンスが終了またはサポートが終了した電話モデルを使用する場合は、Unified Communications Manager の 11.5(1)SU1 より前のリリースの使用を強くお勧めします。

7942 および 7962 電話機を含む CAPF の例

ユーザまたは Unified Communications Manager によって電話がリセットされたときの CAPF と Cisco Unified IP Phone 7962 および 7942 とのインタラクションについては、以下の情報を考慮してください。


(注)  

次の例では、LSC が電話に存在せず、CAPF 認証モードとして既存の証明書が選択されている場合、CAPF 証明書操作が失敗します。

例:非セキュア デバイス セキュリティ モード

この例では、[Device Security Mode] を [Nonsecure] に設定し、[CAPF Authentication Mode] を [By Null String] または [By Existing Certificate (Precedence...)] に設定した後、電話がリセットされます。リセットした電話は直ちにプライマリ Unified Communications Manager に登録され、設定ファイルを受信します。その後、電話によって LSC をダウンロードするための CAPF セッションが自動的に開始されます。電話で LSC をインストールした後、[Device Security Mode] を [Authenticated] または [Encrypted] に設定します。

例:認証済み/暗号化済みデバイス セキュリティ モード

この例では、[Device Security Mode][Authenticated] または [Encrypted] に設定し、[CAPF Authentication Mode] を [By Null String] または [By Existing Certificate (Precedence...)] に設定した後、電話がリセットされます。CAPF セッションが終了し LSC がインストールされるまで、電話はプライマリ Unified Communications Manager に登録されません。セッションが終了すると、電話が登録され、直ちに認証済みまたは暗号化済みモードで動作します。

この例では、電話が自動的に CAPF サーバに接続されないため、[By Authentication String] を設定できません。電話に有効な LSC がない場合、登録は失敗します。

IPv6 アドレッシングとの CAPF のインタラクション

CAPF は、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話に対し、証明書の発行とアップグレードを実行できます。IPv6 アドレスを使用する SCCP を実行する電話の証明書の発行またはアップグレードを実行するには、[Unified Communications Manager Administration] で [Enable IPv6] サービス パラメータを [True] に設定する必要があります。

証明書取得のために電話が CAPF に接続されると、CAPF では [Enable IPv6] エンタープライズ パラメータの設定を使用して、その電話の証明書の発行またはアップグレードを実行するかどうかが決定されます。このエンタープライズ パラメータが False に設定された場合、CAPF は IPv6 アドレスを使用する電話からの接続を無視または拒否し、その電話は証明書を受け取りません。

IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話から CAPF への接続方法について、次の表で説明します。

表 2. IPv6 または IPv4 電話から CAPF への接続方法

電話の IP モード

電話の IP アドレス

CAPF IP アドレス

電話から CAPF への接続方法

2 スタック

IPv4 と IPv6 が利用可能

IPv4、IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。IPv6 アドレスでは接続できない場合、電話は IPv4 アドレスを使用して接続を試みます。

2 スタック

IPv4

IPv4、IPv6

電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv6

IPv4、IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。試行に失敗すると、電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv4

IPv4

電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv4 と IPv6 が利用可能

IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

2 スタック

IPv4 と IPv6 が利用可能

IPv4

電話は IPv4 アドレスを使用して CAPF に接続します。

2 スタック

IPv4

IPv6

電話は CAPF に接続できません。

2 スタック

IPv6

IPv4

電話は CAPF に接続できません。

2 スタック

IPv6

IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

IPv4 スタック

IPv4

IPv4、IPv6

電話は IPv4 アドレスを使用して CAPF に接続します。

IPv6 スタック

IPv6

IPv4、IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

IPv4 スタック

IPv4

IPv4

電話は IPv4 アドレスを使用して CAPF に接続します。

IPv4 スタック

IPv4

IPv6

電話は CAPF に接続できません。

IPv6 スタック

IPv6

IPv6

電話は IPv6 アドレスを使用して CAPF に接続します。

IPv6 スタック

IPv6

IPv4

電話は CAPF に接続できません。