概要
このドキュメントでは、Cisco Authority Proxy Function(CAPF)サービスがCisco Unified Communications Manager(CUCM)パブリッシャで実行されている場合に、Cisco IP Phoneから証明書を取得する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 電話機のSSL証明書
- CUCM の管理
- CUCMでのコマンドラインインターフェイス(CLI)管理
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Unified Communications Manager(CUCM)バージョン11.5.1.11900-26
- Cisco IP Phone 8811 - sip88xx.12-5-1SR1-4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
CUCMパブリッシャでCAPFサービスがアクティブであり、Cisco Unified OS AdministrationのCAPF証明書が最新である必要があります。
Cisco IP Phoneには、次の2種類の証明書がインストールされています。
- MIC(製造元でインストールされる証明書)
- MICおよびLSC(ローカルで有効な証明書)
電話機にはMIC証明書がプリインストールされており、削除も再生成もできません。また、有効期限が切れるとMICを使用できません。MICは、Cisco Certificate Authorityによって署名された2048ビットキー証明書です。
LSCは、CUCM CAPF秘密キーによって署名されたCisco IP Phoneの公開キーを所有します。これはデフォルトでは電話機にインストールされておらず、セキュアモードで動作するには、この証明書が電話機に必要です
設定
ステップ1:CUCMで、[Cisco Unified CM Administration] > [Device] > [Phone]に移動します。
ステップ2:取得する証明書を含む電話機を検索して選択します。
ステップ3:電話の設定ページで、[Certification Authority Proxy Function (CAPF) Information]セクションに移動します。
ステップ4:図に示すように、次のパラメータを適用します。
証明書の操作:トラブルシュート
認証モード:Null文字列
キーサイズ(ビット):1024
操作の完了方法:将来の日付
ステップ5:[Save]をクリックし、電話を[Reset]をクリックします。
ステップ6:そのデバイスがCUCMクラスタに再登録されたら、電話機の設定ページで、次の図に示すようにトラブルシューティング操作が完了したことを確認します。
ステップ7:CUCMパブリッシャサーバのSSHセッションを開き、次の図に示すように、電話機に関連付けられている証明書を一覧表示するコマンドを実行します。
file list activelog /cm/trace/capf/sdi/SEP<MAC_Address>*
リストされるファイルには2つのオプションがあります。
MICのみ:SEP<MAC_Address>-M1.cer
MICおよびLSC:SEP<MAC_Address>-M1.cerおよびSEP<MAC_Address>-L1.cer
ステップ8:証明書をダウンロードするには、次のコマンドを実行します。file get activelog /cm/trace/capf/sdi/SEP<MAC_Address>*
図に示すように、ファイルを保存するには、Secure File Transfer Protocol(SFTP)サーバが必要です
関連情報