Unified Communications

ユニファイドコミュニケーションの前提条件

ユニファイドコミュニケーションのセキュアトラバーサルゾーン接続の構成

モバイルおよびリモートアクセスや Jabber Guest などの Unified Communications 機能では、Expressway-C と Expressway-E 間の Unified Communications トラバーサル ゾーン接続が必要です。 これには以下が含まれます。

  • Expressway-C および Expressway-E に適切なセキュリティ証明書をインストールします。

  • Expressway-C と Expressway-E 間の Unified Communications トラバーサルゾーンを設定します。


(注)  

Expressway トラバーサル ペアごとに 1 つの Unified Communications トラバーサル ゾーン のみを設定します。 つまり、Expressway-C クラスタ上に 1 つの Unified Communications トラバーサル ゾーン があり、Expressway-E クラスタ上に対応する 1 つの Unified Communications トラバーサル ゾーン があります。

Expressway セキュリティ証明書のインストール

Expressway-C と Expressway-E の間に信頼関係を設定する必要があります。

  1. Expressway-C と Expressway-E の両方に適切なサーバ証明書をインストールします。

    • 証明書には クライアント認証 拡張機能が含まれている必要があります。 統合コミュニケーション機能が有効になっている場合、この拡張機能がないとサーバ証明書をアップロードできません。

    • Expressway には、証明書署名要求 (CSR) を生成するためのメカニズムが組み込まれており、CSR を生成するための推奨される方法となっています。

      • 要求に署名する CA がクライアント認証拡張機能を削除しないことを確認します。

      • 生成された CSR には、クライアント認証要求と、有効になっている統合コミュニケーション機能の関連するサブジェクト代替名が含まれます ( 「統合コミュニケーションのサーバ証明書の要件」 を参照)。

    • CSR を生成したり、サーバ証明書を Expressway にアップロードしたりするには、 [メンテナンス] > [セキュリティ] > [サーバ証明書] に移動します。 新しいサーバ証明書を有効にするには、Expressway を再起動する必要があります。

  2. 両方の Expressway に、Expressway のサーバー証明書に署名した機関の信頼できる認証局(CA)証明書をインストールします。

    展開されるユニファイド コミュニケーション機能に応じて、追加の信頼要件があります。

    モバイルおよびリモート アクセス展開の場合:

    • Expressway-C は、Unified CM および IM&P tomcat 証明書を信頼する必要があります。

    • 適切な場合、Expressway-C と Expressway-E の両方がエンドポイントの証明書に署名した認証局を信頼する必要があります。

    Jabber Guest の展開の場合:

    • Jabber Guest サーバがインストールされると、デフォルトで自己署名証明書が使用されます。 ただし、信頼できる認証局によって署名された証明書をインストールすることができます。 Expressway-C に、Jabber Guest サーバの自己署名証明書、または Jabber Guest サーバの証明書に署名した認証局の信頼された CA 証明書のいずれかをインストールする必要があります。

    信頼できる認証局 (CA) 証明書を Expressway にアップロードするには、[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [信頼できる CA 証明書(Trusted CA certificate)]に移動します。 新しい信頼された CA 証明書を有効にするには、Expressway を再起動する必要があります。

Cisco Expressway 証明書作成および使用に関する導入ガイドExpressway コンフィギュレーション ガイドページ)を参照してください。

暗号化された Expressway トラバーサルゾーンの設定

Expressway-C と Expressway-E 間の安全なトラバーサル ゾーン接続を介して統合コミュニケーション機能をサポートするには、次の手順を実行します。

  • Expressway-C と Expressway-E を、 Unified Communications トラバーサル タイプのゾーンで設定します。 これにより、 TLS 検証モードオンに設定され、 メディア暗号化モード強制暗号化に設定された SIP TLS を使用する適切なトラバーサル ゾーン(Expressway-C で選択した場合はトラバーサル クライアント ゾーン、Expressway-E で選択した場合はトラバーサル サーバ ゾーン)が自動的に設定されます。

  • 両方の Expressway は互いのサーバ証明書を信頼する必要があります。 各 Expressway はクライアントとサーバの両方の役割を果たすため、各 Expressway の証明書がクライアントとサーバの両方として有効であることを確認する必要があります。

  • Expressway は、受信した証明書を検証するために CN (共通名) ではなく SAN 属性 (サブジェクト代替名) を使用することに注意してください。

  • H.323 または暗号化されていない接続が必要な場合は、別のトラバーサル ゾーンのペアを構成します。


(注)  

Expressway-C と Expressway-E の間で ICMP がブロックされている場合、セキュア テストは "<Exp-E FQDN> 到達できません" というエラーで失敗します。 (TAC ラボでは、Expressway-C からの ICMP クエリをドロップするファイアウォール ルールを Expressway-E に作成してシミュレートしました)。

安全なトラバーサルゾーンを設定するには
安全なトラバーサル ゾーンを設定するには、Expressway-C と Expressway-E を次のように設定します。
手順

ステップ 1

[設定(Configuration)] > [ゾーン(Zones)] > [ゾーン(Zones)]に移動します。

ステップ 2

[新規]をクリックします。

ステップ 3

次のようにフィールドを設定します (他のすべてのフィールドはデフォルト値のままにします)。

Expressway-C

Expressway-E

名前

"トラバーサルゾーン"の例

"トラバーサルゾーン"の例

Type

ユニファイドコミュニケーショントラバーサル

ユニファイドコミュニケーショントラバーサル

接続資格情報 セクション

ユーザ名

"exampleauth" の例

"exampleauth" の例

注: ローカル認証データベースのユーザを作成する場合は、このフィールドにスペースを含めないでください。

パスワード

"ex4mpl3.c0m" の例

[ローカル認証データベースの追加/編集] をクリックし、ポップアップ ダイアログで [新規] をクリックして、 [名前] ("exampleauth") と [パスワード] ("ex4mpl3.c0m") を入力し、 [資格情報の作成] をクリックします。

SIP セクション

Port

Expressway-E の設定と一致する必要があります。

7001 (デフォルト)。 使用しているバージョンについては、『Cisco Expressway シリーズ コンフィギュレーション ガイド』ページの『Cisco Expressway IP ポート使用設定ガイド』を参照してください。

TLS検証の件名

なし

トラバーサル クライアントの証明書で検索する名前を入力します (SAN - Subject Alternative Name - 属性に含まれている必要があります)。 トラバーサル クライアントのクラスターがある場合は、ここでクラスター名を指定し、各クライアントの証明書に含まれていることを確認します。

認証 セクション

認証ポリシー

資格情報を確認しない

資格情報を確認しない

場所セクション

ピア 1 アドレス

Expressway-E の FQDN を入力します。

(注)  

 

IP アドレスを使用する場合 (非推奨)、そのアドレスが Expressway-E サーバ証明書に存在している必要があります。

なし

ピア 2...6 アドレス

Expressway-E のクラスタの場合は、追加ピアの FQDN を入力します。

なし

ステップ 4

ゾーンの作成をクリックします。

統合コミュニケーションのサーバ証明書要件

Cisco Unified Communications Manager 証明書

モバイルおよびリモート アクセスには、次の 2 つの Cisco Unified Communications Manager 証明書が重要です。

  • CallManager 証明書

  • tomcat 証明書

これらの証明書は Cisco Unified Communications Manager に自動的にインストールされ、デフォルトでは自己署名され、同じ共通名 (CN) を持ちます。

CA 署名付き証明書の使用を推奨します。 ただし、自己署名証明書を使用する場合、2 つの証明書は異なる共通名を持つ必要があります。 Expressway は同じ CN を持つ 2 つの自己署名証明書を許可しません。 したがって、Expressway の信頼できる CA リスト内で、 CallManagertomcat の自己署名証明書の CN が同じである場合、Expressway はそのうちの 1 つだけを信頼できます。 これは、Expressway-C と Cisco Unified Communications Manager の間のセキュアな HTTP またはセキュアな SIP のいずれかが失敗することを意味します。


(注)  

Unified CM のホスト名/IP アドレス (FQDN を推奨) 内で Unified CM ノードを定義するために使用されるパラメータは、 Unified CM tomcat 証明書内にサブジェクト別名 (SAN) として存在している必要があります。

また、Cisco Collaboration Systems リリース 10.5.2 の製品に対して tomcat 証明書署名要求を生成する場合は、 CSCus47235 に注意する必要があります。 この問題を回避して、ノードの FQDN が証明書にサブジェクト別名 (SAN) エントリとして含まれていることを確認する必要があります。 「リリースノート」ページの Expressway X8.5.3 リリースノートに、回避策の詳細を記載しています。

IM およびプレゼンス サービス証明書

XMPP を使用する場合、次の 2 つの IM およびプレゼンス サービス証明書が重要になります。

  • cup-xmpp 証明書

  • tomcat 証明書

CA 署名付き証明書の使用を推奨します。 ただし、自己署名証明書を使用する場合、2 つの証明書は異なる共通名を持つ必要があります。 Expressway は同じ CN を持つ 2 つの自己署名証明書を許可しません。 cup-xmpp 証明書と tomcat (自己署名)証明書の CN が同じ場合、Expressway はそのうちの 1 つだけを信頼し、Cisco Expressway-E と IM およびプレゼンス サービス サーバ間の一部の TLS 試行は失敗します。 詳細については、 CSCve56019 を参照してください。

Expressway 証明書

Expressway 証明書署名要求 (CSR) ツールは、Expressway でサポートされるユニファイド コミュニケーション機能に適切な、関連するサブジェクト代替名 (SAN) エントリを要求し、組み込みます。

次の表は、どの CSR 代替名要素がどの Unified Communications 機能に適用されるかを示しています。

これらの項目をサブジェクト代替名として追加します。

これらの目的で CSR を生成する場合

モバイルおよびリモート アクセス

Jabber Guest

XMPP フェデレーション

企業間通話

登録ドメイン(名前に反して、Unified CM SIP 登録ドメインよりもサービス検出ドメインと共通点があります)

Expressway-E でのみ必要

-

-

-

XMPP フェデレーションドメイン

-

-

Expressway-E でのみ必要

-

IM and Presence チャット ノード エイリアス (フェデレーション グループ チャット)

-

-

Required

-

Unified CM 電話セキュリティ プロファイル名

Expressway-C でのみ必要

-

-

-

(クラスタ化システムのみ)Expressway クラスタ名

Expressway-C でのみ必要

Expressway-C でのみ必要

Expressway-C でのみ必要

-

(注)  

  • チャット ノード エイリアスが追加または名前変更された場合は、Expressway-C の新しいサーバ証明書を作成する必要があります。 または、IM およびプレゼンス ノードが追加または名前変更された場合、あるいは新しい TLS 電話セキュリティ プロファイルが追加された場合も同様です。

  • 新しいチャット ノード エイリアスがシステムに追加された場合、または Unified CM または XMPP フェデレーション ドメインが変更された場合は、新しい Expressway-E 証明書を作成する必要があります。

  • 新しくアップロードされたサーバー証明書を有効にするには、Expressway を再起動する必要があります。

Expressway-C / Expressway-E ごとの個別の機能要件の詳細については、以下で説明します。

Expressway-C サーバ証明書の要件

Expressway-C サーバ証明書には、サブジェクト別名 (SAN) のリストに以下の要素が含まれている必要があります。

  • Unified CM 電話セキュリティ プロファイル名: Unified CM の 電話セキュリティ プロファイル の名前は、暗号化されたトランスポート層セキュリティ (TLS) 用に設定されており、リモートアクセスを必要とするデバイスに使用されます。 完全修飾ドメイン名 (FQDN) 形式を使用し、複数のエントリはコンマで区切ります。

    新しい Expressway-C ノードを既存の Expressway-C クラスタに追加するときに、新しいノードの証明書署名要求 (CSR) を生成することが重要です。 モバイルおよびリモート アクセス(MRA)クライアントのセキュアな登録が MRA 経由で必要な場合は、CUCM 上と同じようにセキュアなプロファイル名を付けることが義務付けられています。 "Unified CM 電話セキュリティプロファイル名" が単なる名前、または CUCM デバイスセキュリティプロファイルのホスト名である場合、新しいノードでの CSR の作成は失敗します。 これにより、管理者はセキュア電話プロファイル ページで、CUCM の "Unified CM 電話セキュリティ プロファイル名"の値を変更する必要が生じます。

    X12.6 以降では、Unified CM 電話のセキュリティ プロファイル名は完全修飾ドメイン名 (FQDN) である必要があることが必須です。 任意の名前、ホスト名、または値にすることはできません。

    たとえば、 jabbersecureprofile.domain.comDX80SecureProfile.domain.com


    (注)  

    FQDN は複数のレベルで構成できます。 各レベルの名前には文字、数字、ハイフンのみを含めることができ、各レベルはピリオド (ドット) で区切られます。 レベル名はハイフンで始まったり終わったりすることはできず、最終的なレベル名は文字で始まる必要があります。

    エンドポイントは OAuth 認証機能をサポートしています。 電話セキュリティ プロファイルの設定の詳細は次の通りです。

    1. エンドポイントが電話セキュリティ プロファイルにリンクされ、デバイス セキュリティ モードが 暗号化 に設定され、 OAuth 認証が有効 になっている場合、電話のセキュリティ プロファイル名が Expressway-C 証明書のサブジェクト代替名 (SAN) リストの一部である必要はありません。

    2. エンドポイントが電話セキュリティ プロファイルにリンクされており、デバイス セキュリティ モードが 暗号化 に設定されているが、 OAuth 認証が有効になっていない 場合、電話のセキュリティ プロファイル名が Expressway-C 証明書のサブジェクト代替名 (SAN) リストに含まれている必要があります。

    セキュア電話プロファイルを別名として持つことは、Unified CM がそれらのプロファイルを使用するデバイスからのメッセージを転送するときに、Transport Line Signaling (TLS) を介して Expressway-C と通信できることを意味します。

  • IM and Presence チャット ノード エイリアス (フェデレーション グループ チャット): IM and Presence サーバーで設定されている チャット ノード エイリアス (例: chatroom1.example.com)。 これらは、フェデレーションされた連絡先との TLS 経由のグループ チャットをサポートすることを目的とした、Unified Communications XMPP フェデレーション展開にのみ必要です。

    Expressway-C は、IM&P サーバーのセットを検出すると、CSR にチャット ノード エイリアスを自動的に含めます。

    CSR を生成するときは、チャット ノード エイリアスに DNS 形式を使用することをお勧めします。 Expressway-E サーバ証明書の代替名に同じチャット ノード エイリアスを含める必要があります。

図 1. Expressway-C の CSR ジェネレータでセキュリティプロファイルとチャットノードエイリアスのサブジェクト代替名を入力する
Expressway-E サーバ証明書の要件

Expressway-E サーバー証明書は、サブジェクト代替名 (SAN) のリストで以下に示す要素を含む必要があります。 Expressway-E が他の FQDN でも認識される場合は、 すべてのエイリアス をサーバ証明書 SAN に含める必要があります。

  • Unified CM 登録ドメイン: Unified CM 登録用に Expressway-C で設定されているすべてのドメイン。 エンドポイントデバイスと Expressway-E 間の安全な通信に必要です。

    Expressway 設定および Expressway-E 証明書で使用される Unified CM 登録ドメインは、モバイルおよびリモート アクセス クライアントによって、サービス検出中に _collab-edge DNS SRV レコードを検索するために使用されます。 これらは、Unified CM での MRA 登録を可能にし、主にサービス検出を目的としています。

    これらのサービス検出ドメインは SIP 登録ドメインと一致する場合と一致しない場合があります。 展開によって異なり、一致する必要はありません。 一例として、内部ネットワーク上の Unified CM で .local または同様のプライベート ドメインを使用し、Expressway-E FQDN およびサービス検出にパブリック ドメイン名を使用する展開が挙げられます。 この場合、パブリックドメイン名を SAN として Expressway-E 証明書に含める必要があります。 Unified CM で使用されるプライベートドメイン名を含める必要はありません。エッジドメインを SAN としてリストするだけで済みます。

    DNS 形式を選択し、必要な FQDN を手動で指定します。 複数のドメインが必要な場合は、カンマで FQDN を区切ります。 代わりに CollabEdgeDNS 形式を選択することもできます。この形式では、入力したドメインにプレフィックス collab-edge. が追加されるだけです。 トップレベルドメインを SAN として含めたくない場合は、この形式の使用をお勧めします (次のスクリーンショットの例を参照)。

  • XMPP フェデレーション ドメイン: ポイントツーポイント XMPP フェデレーションに使用されるドメイン。 これらは IM&P サーバ上で設定され、Expressway-C でも XMPP フェデレーションのドメインとして設定する必要があります。

    DNS 形式を選択し、必要な FQDN を手動で指定します。 複数のドメインが必要な場合は、カンマで FQDN を区切ります。


    (注)  

    XMPPAddress 形式は CA によってサポートされていない可能性があり、Expressway ソフトウェアの将来のバージョンでは廃止される可能性があるため、使用しないでください。

  • IM およびプレゼンス チャット ノード エイリアス (フェデレーション グループ チャット): Expressway-C の証明書に入力されたのと同じ チャット ノード エイリアス のセット。 これらは、フェデレーションされた連絡先との TLS 経由のグループ チャットをサポートする音声およびプレゼンスの展開にのみ必要です。


    (注)  

    チャット ノード エイリアスのリストは、Expressway-C の同等の CSR の生成 ページからコピーできます。

図 2. Expressway-E の CSR ジェネレータで、Unified CM 登録ドメイン、XMPP フェデレーションドメイン、およびチャットノードエイリアスのサブジェクト代替名を入力します。

詳細については、「Expressway 構成ガイド」ページの「 Cisco Expressway 証明書の作成および使用の導入ガイド 」を参照してください。 http://www.cisco.com/c/en/us/support/unified-communications/expressway-series/products-installation-and-configuration-guides-list.html

MRA オンボーディングを使用する場合の mTLS の証明書

MRA 経由のアクティベーション コードのオンボーディングを有効にすると、相互 TLS に必要な CA 証明書が自動的に生成されます (相互 TLS はアクティベーション コードのオンボーディングの要件です)。 証明書は、[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [信頼された CA 証明書(Trusted CA certificate)]からアクセスできる mTLS 用の CA 証明書ページで入手できます。

ドメイン証明書とサーバ名表示の管理

マルチテナンシーは Cisco Hosted Collaboration Solution (HCS) の一部であり、サービス プロバイダーが複数のテナント間で Expressway-E クラスターを共有できるようにします。

TLS 内の Server Name Indication (SNI) プロトコル拡張を使用することで、Expressway は TLS ハンドシェイク中にクライアントに提供できるドメイン固有の証明書を保存および使用できるようになりました。 この機能により、マルチテナント環境で MRA を介して登録されたエンドポイントをシームレスに統合できるようになり、証明書のドメイン名がクライアントのドメインと一致することが保証されます。 TLS ハンドシェイク中に、クライアントは ClientHello リクエストに SNI フィールドを含めます。 Expressway は証明書ストアを検索し、SNI ホスト名に一致するものを見つけようとします。 一致が見つかった場合、ドメイン固有の証明書がクライアントに返されます。


(注)  

マルチテナント モードでは、Cisco Expressway-E の [システム] > [DNS] ページでシステム ホスト名を、DNS で設定されているホスト名と一致するように設定する必要があります (X8.10.1 より前は大文字と小文字が区別されますが、X8.10.1 以降は大文字と小文字は区別されません)。 そうしないと、Cisco Jabber クライアントは MRA に正常に登録できません。

「Cisco Hosted Collaboration Solution」ページの「Multitenancy with Cisco Expressway」を参照してください。

SNI コールフロー

  1. 登録中の MRA クライアントで、ユーザは bob@example.com を入力します。ここで example.com はユーザのサービス ドメイン (顧客ドメイン) です。

  2. クライアントは DNS 解決を実行します。

    1. _collab-edge._tls.example.com に対して DNS SRV 要求を送信します。

    2. DNS は要求に対して次のように応答します。

      • 単一テナント設定の場合: DNS 応答には通常、サービス ドメイン内のホスト名が含まれます (例: mra-host.example.com)。

      • マルチテナント設定の場合: DNS は、ユーザのサービス ドメインとは異なるサービス プロバイダーのドメイン内のサービス プロバイダーの MRA ホスト名を返すことがあります (例: mra-host.sp.com)。

  3. クライアントは SSL 接続を設定します。

    1. クライアントは SNI 拡張を使用して SSL ClientHello 要求を送信します。

      • DNS によって返されたホスト名がユーザのサービス ドメインと同じドメインである場合、SNI server_name では DNS ホスト名が使用されます (変更なし)。

      • それ以外の場合、ドメインが一致しない場合は、クライアントは SNI server_name を DNS hostname とサービスドメインに設定します(たとえば、DNS によって返された mra host.sp.com の代わりに mra-host.example.com に変更します)。

    2. Expressway-E は証明書ストアを検索し、SNI ホスト名に一致する証明書を見つけます。

      • 一致が見つかった場合、Expressway-E は証明書 (SAN/dnsName=SNI ホスト名) を送り返します。

      • それ以外の場合、MRA はプラットフォーム証明書を返します。

    3. クライアントはサーバ証明書を検証します。

      • 証明書が検証されると、SSL セットアップが続行され、SSL セットアップが正常に完了します。

      • そうでない場合、証明書エラーが発生します。

  4. アプリケーションデータの処理が開始されます。


    (注)  

    SIP および HTTPS の場合、アプリケーションは SSL ネゴシエーションを直ちに開始します。 XMPP の場合、クライアントが XMPP StartTLS を受信すると SSL 接続が開始されます。

Expressway のドメイン証明書の管理

Expressway のドメイン証明書は、 ドメイン証明書 ページ (メンテナンス > セキュリティ > ドメイン証明書) から管理します。 これらの証明書は、マルチテナント環境内の複数の顧客が Expressway-E クラスタを共有し、TLS 暗号化を使用してクライアント システムと通信したり、HTTPS 経由で Web ブラウザと通信したりする場合に、ドメインを識別するために使用されます。 ドメイン証明書ページを使用して、次のことができます。

  • 現在ロードされている証明書の詳細を表示します。

  • 証明書署名要求(CSR)を生成します。

  • 新しいドメイン証明書をアップロードします。

  • 自動証明書管理環境 (ACME) サービスを構成して、CSR を ACME プロバイダーに自動的に送信し、結果として得られたサーバ証明書を自動的に展開します。


(注)  

RSA キーに基づく証明書の使用を強くお勧めします。 DSA キーに基づく証明書などの他のタイプの証明書はテストされていないため、すべてのシナリオで Expressway で機能しない可能性があります。 信頼された CA 証明書 ページを使用して、この Expressway によって信頼されている証明機関 (CA) の証明書のリストを管理します。

現在アップロードされているドメイン証明書の表示

ドメインをクリックすると、ドメイン証明書データ セクションに、Expressway に現在ロードされている特定のドメイン証明書に関する情報が表示されます。

現在アップロードされているドメイン証明書ファイルを表示するには、 [表示 (デコード済み)] をクリックして判読可能な形式で表示するか、 [表示 (PEM ファイル)] をクリックして生の形式でファイルを表示します。

現在アップロードされているドメインを削除するには、[削除(Delete)] をクリックします。


(注)  

ドメイン証明書の有効期限が切れないようにしてください。期限が切れると、他の外部システムが証明書を拒否し、Expressway がそれらのシステムに接続できなくなる可能性があります。
新しいドメインの追加
手順

ステップ 1

[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [ドメイン証明書(Domain certificates)]に移動します。

ステップ 2

[新規]をクリックします。

ステップ 3

新しいローカルドメインの下に、追加するドメインの名前を入力します。

例:
有効なドメイン名の例は、 100.example-name.com です

ステップ 4

[ ドメインの作成] をクリックします。

ステップ 5

新しいドメインは ドメイン証明書 ページに追加され、ドメインの証明書のアップロードに進むことができます。

証明書署名要求の生成

Expressway はドメイン CSR を生成できるため、証明書要求を生成および取得するために外部メカニズムを使用する必要がなくなります。


(注)  

  • 一度に処理できる署名リクエストは 1 つだけです。 これは、Expressway が現在のリクエストに関連付けられた秘密キー ファイルを追跡する必要があるためです。 現在のリクエストを破棄して新しいリクエストを開始するには、[Discard CSR(CSR を破棄)] をクリックします。

  • ユーザ インターフェイスには、ダイジェスト アルゴリズムを設定するオプションがあります。 デフォルトは SHA-256 に設定されていますが、SHA-384 または SHA-512 に変更するオプションがあります。

  • ユーザ インターフェイスには、キーの長さを設定するオプションがあります。 Expressway は、1024、2048、4096 のキーの長さをサポートしています。
手順

ステップ 1

[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [ドメイン証明書(Domain certificates)]に移動します。

ステップ 2

CSR を生成するドメインをクリックします。

ステップ 3

[CSR の生成] をクリックして、 [CSR の生成] ページに移動します。

ステップ 4

証明書に必要なプロパティを入力します。

Expressway がクラスタの一部である場合は、 「ドメイン証明書とクラスタ化されたシステム」(145 ページ)を参照してください。

ステップ 5

[CSR の作成(Generate CSR)]をクリックします。 システムは署名要求と関連する秘密鍵を生成します。 秘密鍵は Expressway 上に安全に保存され、表示したりダウンロードしたりすることはできません。

(注)  

 

認証局に対しても、秘密鍵を決して開示しないでください。

ステップ 6

ドメイン証明書 ページに戻ります。 ここから次のことができます:

  • リクエストをローカル ファイル システムにダウンロードして、認証局に送信できるようにします。 ファイルを保存するように求められます (正確な文言はブラウザによって異なります)。

  • 現在のリクエストを表示します (人間が読める形式で表示するには、 [表示 (デコード済み)] をクリックし、生の形式でファイルを表示するには、 [表示 (PEM ファイル)] をクリックします)。

新しいドメイン証明書のアップロード

署名されたドメイン証明書を認証局から受け取ったら、それを Expressway にアップロードする必要があります。 現在のドメイン証明書を新しい証明書に置き換えるには、 新しい証明書のアップロード セクションを使用します。

手順

ステップ 1

[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [ドメイン証明書(Domain certificates)]に移動します。

ステップ 2

[新しい証明書のアップロード(Upload new certificate)] セクションの[参照(Browse)]ボタンを使って、ドメイン証明書の PEM ファイルを選択してアップロードします。

ステップ 3

CSR を生成するために外部システムを使用した場合は、ドメイン証明書の暗号化に使用されたサーバ秘密キー PEM ファイルもアップロードする必要があります。 (このドメイン証明書の CSR を生成するために Expressway が使用された場合、秘密キー ファイルは事前に自動的に生成され、保存されています。)

  • PEM ファイル サーバ秘密鍵はパスワードで保護しないでください。

  • 証明書署名要求が進行中の場合は、サーバの秘密キーをアップロードできません。

ステップ 4

ドメイン証明書データのアップロードをクリックします。

自動証明書管理環境サービス

Expressway-E バージョン X12.5 以降の Automated Certificate Management Environment (ACME) サービスは、ドメイン証明書 (SNI で使用される) をリクエストおよび導入できます。

[メンテナンス] > [セキュリティ] > [ドメイン証明書] に移動すると、ドメインのリストに ACME 列が表示され、各ドメインの ACME サービスのステータスが表示されます。

ACME サービスを有効にするには、ドメイン名の横にある [表示/編集] をクリックします。

ドメイン証明書用に ACME サービスを設定するプロセスは、サーバ証明書の場合と同じですが、Expressway-E インターフェイス内の場所が異なります。

「Expressway 構成ガイド」 ページの 「Cisco Expressway 証明書の作成および使用の導入ガイド」 を参照してください。

ドメイン証明書とクラスタシステム

CSR が生成されると、そのピアに対してのみ単一のリクエストと秘密キーの組み合わせが生成されます。

Expressway のクラスタがある場合は、ピアごとに個別の署名要求を生成する必要があります。 これらのリクエストは認証局に送信され、返されたドメイン証明書は関連する各ピアにアップロードされる必要があります。


(注)  

正しいドメイン証明書が適切なピアにアップロードされていることを確認してください。そうでない場合、各ピアに保存されている秘密キーは、アップロードされた証明書に対応しなくなります。

モバイルおよびリモートアクセスの概要

Cisco Unified Communications の Mobile & Remote Access は Cisco Collaboration Edge アーキテクチャの中核を成します。 Cisco Jabber などのエンドポイントが企業ネットワーク外にある場合に、Cisco Unified Communications Manager(Unified CM)への登録、呼制御、プロビジョニング、メッセージング、およびプレゼンスの機能を使用することができるようになります。 Expressway は、Unified CM 登録にセキュアなファイアウォール トラバーサルと回線側サポートを提供します。

ソリューション全体で、次の機能が提供されます。

  • オフプレミスアクセス: 企業ネットワーク外においても、Jabber および EX/MX/SX シリーズクライアントで一貫したエクスペリエンスを提供。

  • セキュリティ: セキュアな Business-to-Business(B2B)コミュニケーション。

  • クラウドサービス: エンタープライズクラスの柔軟性と拡張性に優れたソリューションにより、さまざまな Cisco Webex 統合およびサービス プロバイダ オファリングに対応。

  • ゲートウェイおよび相互運用性サービス: メディアおよびシグナリングの正規化、および非標準エンドポイントのサポート。

図 3. Unified Communications:モバイルおよびリモートアクセス

(注)  

サードパーティの SIP または H.323 デバイスは Expressway-C に登録でき、必要に応じて SIP トランクを介して Unified CM 登録デバイスと相互運用することもできます。
図 4. 典型的なコールフロー - シグナリングとメディアパス

Unified CM は、モバイルとオンプレミスの両方のエンドポイントにコール制御を提供します。

シグナリングは、モバイルエンドポイントと Unified CM 間の Expressway ソリューションを通過します。メディアは Expressway ソリューションを通過し、エンドポイント間で直接中継されます。

すべてのメディアは、Expressway-C とモバイル エンドポイント間で暗号化されます。

展開範囲

次の主要な Expressway ベースの展開は連携して動作しません。 同じ Expressway (またはトラバーサル ペア) に同時に実装することはできません。

  • モバイルおよびリモート アクセス

  • Expressway-C ベースの B2BUA を使用した Microsoft との相互運用性

  • Jabber Guest サービス

モバイルおよびリモート アクセス ポート

MRA ポートに関する情報は、 『Cisco Expressway IP ポート使用設定ガイド』Cisco Expressway シリーズ設定ガイド ページに記載されています。 これには、内部ネットワーク (Expressway-C が配置されている場所) と DMZ (Expressway-E が配置されている場所) の間、および DMZ とパブリック インターネットの間で使用される可能性のあるポートが含まれます。

VPN なしの Jabber クライアント接続

MRA ソリューションは、オンプレミスとクラウドベースのハイブリッド サービス モデルをサポートします。 これにより、企業内外で一貫したエクスペリエンスが提供されます。 MRA は、VPN 経由で企業ネットワークに接続することなく、Jabber アプリケーション トラフィックに安全な接続を提供します。 これは、Windows、Mac、iOS、Android プラットフォーム上の Cisco Jabber クライアント向けの、デバイスやオペレーティング システムに依存しないソリューションです。

MRA を使用すると、企業外の Jabber クライアントは次のことを実行できます。

  • インスタントメッセージングとプレゼンスサービスを使用する

  • 音声通話とビデオ通話を行う

  • 企業ディレクトリを検索

  • コンテンツの共有

  • ウェブ会議を開始する

  • ビジュアルボイスメールにアクセスする

詳細な構成情報の入手先

MRA に Expressway を使用する詳細については、『Expressway コンフィギュレーション ガイド』ページの『モバイルおよびリモート アクセス導入ガイド』を参照してください。 このガイドでは次の内容について説明します。

  • Expressway-C および Expressway-E で MRA 機能を有効にして設定するにはどうすればよいですか?

  • MRA サービスで使用される Unified CM サーバと IM&P サーバを検出するにはどうすればよいでしょうか?

  • 認証設定、SAML SSO、許可リストなどの MRA アクセス制御。

  • プッシュ通知のサポートを有効にするにはどうすればいいですか?

Expressway 経由の XMPP フェデレーション

外部 XMPP フェデレーションにより、Cisco Unified Communications Manager IM およびプレゼンス サービスに登録されているユーザは、Expressway-E を介して別の XMPP 展開のユーザと通信できるようになります。


(注)  

このセクションでは、Expressway を通じて管理される XMPP フェデレーションについて説明しますが、このガイドの後半で説明するように、IM およびプレゼンス サービスを通じて管理することもできます。

この図は、オンプレミスの IM & Presence サーバから Expressway-C および Expressway-E Collaboration Edge ソリューションを経由してフェデレーション XMPP サーバにルーティングされる XMPP メッセージを示しています。 また、メッセージが DMZ ファイアウォールを通過する際のポートと接続も表示されます。 "example.com" 組織は Expressway フェデレーション モデル (画像の左側) を使用しており、"federated.com" 組織 (画像の右側) は DMZ フェデレーション モデルの IM and Presence Service を使用しています。

図 5. XMPP フェデレーションのメッセージ ルーティング

サポートされているシステム

Expressway-E は、次の製品との XMPP フェデレーションをサポートしています。

  • Expressway X8.2 以降

  • Cisco Unified Communications Manager IM およびプレゼンス サービス 9.1.1 以降

  • Cisco Webex Connect リリース 6.x

  • Cisco Jabber 9.7 以降

  • その他の XMPP 標準準拠サーバ

制約事項

  • XMPP フェデレーションに Expressway を使用する場合、Expressway-E はリモート フェデレーション サーバへの接続を処理し、XMPP メッセージの管理には Jabber ID のみを使用できます。 Expressway-E は、XMPP アドレス変換 (電子メール アドレスなど) をサポートしていません。

    外部ユーザがフェデレーションを通じて企業内のユーザとチャットしようとする場合、企業ユーザの Jabber ID を使用して XMPP 経由で連絡する必要があります。 Jabber ID が電子メール アドレスと一致しない場合 (特に Jabber ID が内部ユーザ ID またはドメインを使用している場合)、エンタープライズ ユーザの電子メール アドレスがわからないため、フェデレーションを行うことはできません。 したがって、Expressway を XMPP フェデレーションに使用する場合は、企業で Unified CM ノードを設定して、ユーザの Jabber ID と電子メールに同じアドレスを使用することをお勧めします。 この制限は、フェデレーションが Expressway-E によって処理される場合でも、企業内で相互に連絡するユーザー (フェデレーションを使用しない) には 適用されません 。 非フェデレーションの使用例では、Jabber ID またはディレクトリ URI (通常は電子メール) のいずれかを使用するように IM およびプレゼンス サービスを設定できます。

    ユーザの Jabber ID をユーザの電子メール アドレスに似せて、フェデレーション パートナーがフェデレーション用の電子メール アドレスを近似できるようにするには、次のように設定します。

    a. ユーザ ID の Unified CM Lightweight Directory Access Protocol(LDAP)属性をユーザの sAMAccountName にする

    b. IM およびプレゼンス サービスのプレゼンス ドメインを電子メール ドメインと同じにします。

    c. メールアドレスを samaccountname@presencedomain と同じにします。

  • IM およびプレゼンス サービスによって管理される内部フェデレーションと Expressway によって管理される外部フェデレーションの同時実行はサポートされていません。 内部フェデレーションのみが必要な場合は、IM およびプレゼンス サービスでドメイン間フェデレーションを使用する必要があります。 使用可能なフェデレーション展開構成オプションは次のとおりです。

    • 外部フェデレーションのみ (Expressway によって管理)。

    • 内部フェデレーションのみ (IM およびプレゼンス サービスによって管理されます)。

    • 内部および外部フェデレーションは IM およびプレゼンス サービスによって管理されますが、着信接続を許可するようにファイアウォールを構成する必要があります。

前提条件

  • Expressway で XMPP フェデレーションを有効にする前に、IM およびプレゼンス サービスでドメイン間 XMPP フェデレーションを 無効 にする必要があります。

    [Cisco Unified CM IM and Presence Administration] > [Presence] > [Inter Domain Federation] > [XMPP Federation] > [Settings] に移動して、 [XMPP Federation Node Status][Off] に設定されていることを確認します。

  • XMPP フェデレーションは、単一の Expressway クラスタでのみサポートされます。

  • 『Cisco Expressway 経由のモバイルおよびリモート アクセス導入ガイド』 の説明に従って、Unified Communications サービスへのモバイルおよびリモート アクセス (MRA) 用に Expressway-C (クラスタ) と Expressway-E (クラスタ) を設定する必要があります。 XMPP フェデレーションのみが必要な場合(ビデオ コールと Unified CM へのリモート登録は不要)、これらの項目を設定する必要はありません。

    • Unified CM での SIP 登録とプロビジョニング をサポートするドメイン、または Unified CM での IM およびプレゼンス サービスをサポートするドメイン

    • Unified CM サーバ (IM&P サーバを引き続き設定する必要があります)。

    • HTTP サーバの許可リスト。


    (注)  

    フェデレーション通信は、オンプレミス クライアント (IM およびプレゼンス サービスに直接接続) とオフプレミス クライアント (MRA 経由で IM およびプレゼンス サービスに接続) の両方で利用できます。

  • SIP フェデレーションと XMPP フェデレーションは別々であり、相互に影響を与えません。 たとえば、IM およびプレゼンス サービスに SIP フェデレーションを展開し、Expressway に外部 XMPP フェデレーションを展開することが可能です。

  • Expressway 経由で外部 XMPP フェデレーションを展開する場合は、IM およびプレゼンス サービスで Cisco XCP XMPP フェデレーション接続マネージャ機能サービスをアクティブ化しないでください。

  • トランスポート層セキュリティ (TLS) とグループ チャットの両方を使用する場合は、Expressway-C および Expressway-E サーバ証明書のサブジェクト代替名のリストに、IM およびプレゼンス サービス サーバで設定されている チャット ノード エイリアス を含める必要があります。 XMPPAddress または DNS 形式のいずれかを使用します。


    (注)  

    Expressway-C は、IM およびプレゼンス サービス サーバのセットを検出すると、証明書署名要求 (CSR) にチャット ノード エイリアスを自動的に含めます。 Expressway-E の CSR を生成する場合は、Expressway-C の同等の [CSR の作成(Generate CSR)] ページからチャット ノード エイリアスをコピーして貼り付けることを推奨します。

詳細な構成情報

IM and Presence Service によって管理される XMPP フェデレーションの設定については、 『Cisco Unified Communications Manager の IM and Presence Service でのドメイン間フェデレーション』を参照してください。

Expressway によって管理される XMPP フェデレーションの設定については、『Expressway コンフィギュレーション ガイド』ページの「Expressway または IM and Presence Service を使用した XMPP フェデレーション」を参照してください。

Cisco XCP Router の遅延再起動

遅延 Cisco XCP Router の再起動機能は、Cisco Hosted Collaboration Solution (HCS) の一部であり、Expressway-E がマルチテナントモードの場合にのみ使用できます。 新しい SIP ドメインを持つ 2 番目の Unified CM トラバーサル ゾーンを追加すると、Expressway-E はマルチテナント モードになります。


(注)  

マルチテナント モードでは、Cisco Expressway-E の[システム] > [DNS] ページでシステム ホスト名を、DNS で設定されているホスト名と一致するように設定する必要があります (X8.10.1 より前は大文字と小文字が区別されますが、X8.10.1 以降は大文字と小文字は区別されません)。 そうしないと、Cisco Jabber クライアントは MRA に正常に登録できません。

マルチテナントにより、サービス プロバイダーは Expressway-E クラスターを複数のテナント間で共有できます。 各テナントには、共有 Expressway-E クラスタに接続する専用の Expressway-C クラスタがあります。

Expressway-E クラスタまたは顧客の Expressway-C クラスタの特定の構成変更では、共有クラスタ内の各 Expressway-E 上の Cisco XCP Router を再起動する必要があります。 Cisco XCP Router 設定の変更をマルチテナント Expressway-E クラスタ内のすべてのノードに反映させるには、再起動が必要です。 再起動はすべての顧客のすべてのユーザに影響します。

この再起動の頻度を減らし、ユーザーへの影響を軽減するために、Cisco XCP Router の遅延再起動機能を使用できます。


(注)  

遅延再起動機能が有効になっていない場合、再起動は自動的に行われ、Cisco XCP Router に影響する設定変更を保存するたびに実行されます。 複数の設定変更が必要になり、Cisco XCP Router を複数回再起動する必要がある場合、ユーザーに悪影響を与える可能性があります。 マルチテナントの顧客には、Cisco XCP Router の遅延再起動機能を有効にすることを強くお勧めします。

詳細については、IM and Presence Service または Expressway を使用した Cisco Unified Communications XMPP フェデレーションについては、Expressway コンフィギュレーション ガイドページを参照してください。

Jabber ゲスト サービスの概要

Cisco Jabber Guest は、Cisco Unified Communications Manager に登録された電話を持たない企業のファイアウォール外の人々に Cisco のエンタープライズ テレフォニーのアクセスを拡張するコンシューマー対ビジネス (C2B) ソリューションです。

これにより、外部ユーザはハイパーリンク (電子メールまたは Web ページ内) をクリックして、H.264 プラグインを (初回使用時に) ユーザのブラウザーにダウンロードしてインストールできるようになります。 次に、HTTP ベースの通話制御を使用して URL を"ダイヤル"し、企業内の事前定義された宛先に通話を発信します。 ユーザはアカウントを開設したり、パスワードを作成したり、その他の認証を行う必要はありません。

通話を可能にするために、Expressway ソリューション (Expressway-C と Expressway-E 間の安全なトラバーサル ゾーン) を Unified Communications ゲートウェイとして使用し、インターネットの Jabber Guest クライアントと企業内の Jabber Guest サーバー間のファイアウォールを通過して宛先ユーザーエージェント (エンドポイント) に到達します。

図 6. Jabber Guest コンポーネント

情報範囲

バージョン X8.7 以前では、Jabber Guest を使用した展開に必要なすべての Expressway 構成が管理者ガイドに含まれていました。 X8.8 以降では、その情報は別の展開ガイドに保存されます。 Jabber Guest の詳細については、次のドキュメントを参照してください。

Expressway 上の Meeting Server ウェブプロキシ

このオプションにより、外部ユーザはブラウザを使用して Meeting Server スペースに参加したり、スペースを管理したりできるようになります。 外部ユーザに必要なのは、スペースへの URL と、ミーティング サーバにアクセスするための資格情報だけです。

図 7. Expressway 上の Meeting Server Web プロキシ

「Expressway コンフィギュレーション ガイド」ページ(旧称「Cisco Expressway トラフィック分類導入ガイド」)の「Cisco Meeting Server with Cisco Expressway 導入ガイド」を参照してください。