証明書の概要
証明書とは、証明書保持者名、公開キー、および証明書を発行する認証局のデジタル署名を含むファイルです。証明書は、証明書の所有者の身元を証明します。
ユニファイドコミュニケーションマネージャーは、公開キー基盤 (PKI) を使用する証明書を使用して、サーバとクライアントのアイデンティティを検証し、暗号化を有効化します。別のシステム (たとえば、電話機や media server) がユニファイドコミュニケーションマネージャーに接続しようとすると、そのシステム自身の身元を確認するために、その証明書がユニファイドコミュニケーションマネージャーに提示されます。適切なトラストストアに一致する証明書がある場合を除き、ユニファイドコミュニケーションマネージャーは他のシステムを信頼せず、アクセスが拒否されます。
ユニファイドコミュニケーションマネージャーは、次の 2 つの広範なクラスの証明書を使用します。
-
自己署名付き証明書: デフォルトでは、ユニファイドコミュニケーションマネージャーは自己署名付き証明書を使用します。これらは、サーバまたはクライアントの身元を確認するために、ユニファイドコミュニケーションマネージャーが証明書に署名する証明書です。ユニファイドコミュニケーションマネージャーは、自身の自己署名証明書を発行することも、または認証局のプロキシ機能を使用して、電話機の代理証明書を発行することもできます。
-
CA 署名付き証明書: サードパーティ認証局 (CA) によって署名された証明書を使用するようにユニファイドコミュニケーションマネージャーを設定することもできます。認証署名要求 (CSR) は、ユニファイドコミュニケーションに代わって CA が証明書に署名するようにする必要があります。CA は要求を受信し、CA 署名された証明書を発行します。CA 署名付きの証明書を使用するには、最初に、ユニファイドコミュニケーションマネージャーに CA ルート証明書チェーンをインストールする必要があります。
(注) |
通常、自己署名付き証明書は、社内のファイアウォールを通過しない内部接続に対して受け入れられます。ただし、WAN 接続の場合、またはパブリックインターネットを使用する接続の場合は、CA 署名付き証明書を使用する必要があります。 |
(注) |
X.509 の一般的な時間値。PKI 証明書は、グリニッジ標準時 (GMT) で表記されている必要があり、秒 (YYYYMMDDHHMMSSZ) を含める必要があります。秒の端数は許可されていません。このルールに違反する証明書は、ピアエンティティから提供されているか、またはトラストストアに読み込まれているかに関係なく、証明書の検証プロセスを失敗させる可能性があります。 |
CTL ファイル
Cisco Certificate Trust List は、Cisco CTL クライアントで混合モードを有効にするか、またはユーティリティ ctl CLI コマンドの 1 つを実行することによって作成されるファイルです (たとえば、ユーティリティ ctl update CTLFile)。混在モードが有効になっている場合、CTL ファイルは、TFTP サーバを経由して Cisco IP 電話 にインストールされます。CTL ファイルには、認証局プロキシ機能のシステム証明書やその他の証明書など、信頼できる電話機の証明書のリストが含まれています。
CTL ファイルの設定方法の詳細については、「CTL Client セットアップ」の章を参照してください。
TLS
トランスポート回線シグナリング (TLS) は CA 署名された証明書を使用します。TLS が設定されている場合、もう一方のシステムは、最初の connection セットアップの一部として、その証明書をユニファイドコミュニケーションマネージャーに提示します。他のシステムの証明書がインストールされている場合は、他のシステムを信頼し、通信が行われます。他のシステムの証明書が存在しない場合、もう一方のシステムは信頼されず、通信は失敗します。
サードパーティー CA 署名付き証明書
CA で署名された証明書は、デジタル証明書に署名および発行する信頼できるサードパーティ証明書です。
デフォルトでは、Unified Communications Manager はすべての接続に自己署名証明書を使用します。ただし、証明書に署名するようにサードパーティ CA を設定することによって、セキュリティを追加できます。サードパーティ CA を使用するには、CA ルート証明書チェーンを Cisco Unified Communications Manager Administration にインストールします。
CA で署名された証明書を発行するには、CA が証明書を発行して署名できるように証明書署名要求(CSR)を提出する必要があります。証明書をアップロード、ダウンロード、および表示する方法の詳細については、「自己署名証明書」セクションを参照してください。
構成
Unified Communications Manager に接続している別のシステムからの CA で署名された証明書を使用する場合は、 Cisco Unified Communications Manager Administration で次の手順を実行します。
-
証明書を署名した CA のルート証明書をアップロードします。
-
他のシステムから CA 署名付き証明書をアップロードします。
CA で署名された証明書を Unified Communications Manager で使用する場合は、次の手順に従います。
-
Cisco Unified Communications Manager Administration で CA で署名された証明書を要求するには、CSR を完了します。
-
CA ルート証明書チェーンと CA で署名された証明書の両方を次のページでダウンロードします。 Cisco Unified Communications Manager Administration
-
CA ルート証明書チェーンと CA で署名された証明書の両方をアップロードします。
証明書署名要求のキー用途拡張
次の表には、Unified Communications Manager と IM and Presence Service の CA 証明書の証明書署名要求(CSR)のキーの用途拡張が表示されています。
マルチサーバ |
キーの拡張用途 |
キーの用途 |
|||||||
---|---|---|---|---|---|---|---|---|---|
サーバ認証 (1.3.6.1.5.5.7.3.1) |
クライアント認証 (1.3.6.1.5.5.7.3.2) |
IP セキュリティ末端システム (1.3.6.1.5.5.7.3.5) |
デジタル署名 |
鍵の暗号化 |
データの暗号化 |
キー証明書署名 |
鍵共有 |
||
CallManager CallManager-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
|||
CAPF(パブリッシャのみ) |
N |
Y |
Y |
Y |
Y |
Y |
|||
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
|||
信頼検証サービス(TVS) |
Y |
Y |
Y |
Y |
Y |
Y |
マルチサーバ |
キーの拡張用途 |
キーの用途 |
|||||||
---|---|---|---|---|---|---|---|---|---|
サーバ認証 (1.3.6.1.5.5.7.3.1) |
クライアント認証 (1.3.6.1.5.5.7.3.2) |
IP セキュリティ末端システム (1.3.6.1.5.5.7.3.5) |
デジタル署名 |
鍵の暗号化 |
データの暗号化 |
キー証明書署名 |
鍵共有 |
||
cup cup-ECDSA |
N |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
cup-xmpp cup-xmpp-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
cup-xmpp-s2s cup-xmpp-s2s-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
サーバ証明書のタイプ
サーバ証明書は、基本的にサーバを識別するための証明書です。サーバ証明書は、コンテンツを暗号化および復号化する論拠の役目を果たします。
Unified Communications Manager サーバ内の自己署名証明書(所有)証明書タイプは次のとおりです。
Unified Communications Manager は次の証明書タイプを Unified Communications Manager 信頼ストアにインポートします。
証明書タイプ |
説明 |
---|---|
Cisco Unity サーバまたは Cisco Unity Connection 証明書 |
Cisco Unity と Cisco Unity Connection は、この自己署名ルート証明書を使用して、Cisco Unity SCCP および Cisco Unity Connection SCCP デバイス証明書に署名します。Cisco unityの場合、 Cisco Unity TELEPHONY Integration Manager (UTIM) はこの証明書を管理します。Cisco Unity Connection の場合は、Cisco Unity Connection の管理機能がこの証明書を管理します。 |
Cisco Unity および Cisco Unity Connection SCCP デバイス証明書 |
Cisco Unity および Cisco Unity Connection SCCP デバイスはこの署名証明書を使用して、Unified Communications Manager との TLS 接続を確立します。 |
SIP プロキシサーバ証明書 |
CallManager 信頼ストアに SIP ユーザエージェント証明書が含まれ、SIP ユーザエージェントの信頼ストアに Unified Communications Manager 証明書が含まれている場合、SIP トランク経由で接続する SIP ユーザエージェントは、Unified Communications Manager に対して認証されます。 |
(注) |
証明書名は、ボイスメールサーバ名に基づく証明書のサブジェクト名のハッシュを表します。すべてのデバイス (またはポート) は、ルート証明書をルートとする証明書を発行します。 |
次の追加の信頼ストアが存在します。
-
tomcat および web アプリケーションの共通信頼ストア
-
IPSec-trust
-
CAPF-trust
-
Userlicensing: 信頼
-
TVS-trust
-
Phone-SAST-trust
-
Phone-CTL-trust
Cisco Unity Connection の CA 信頼証明書の詳細については、Cisco Unified Communications Manager アドミニストレーション ガイドを参照してください。これらの信頼証明書は、電子メール、予定表情報、連絡先を取得するための Exchange または Meeting Place Express へのセキュアな接続を確保します。