ユニファイドコミュニケーションクラスタの設定

ダウンロード オプション

  • PDF     (1.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (794.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 6 月 21 日
Document ID:118731

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、認証局(CA)署名付きマルチサーバSAN証明書を使用してユニファイドコミュニケーションクラスタを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Unified Communications Manager(CUCM)
    • CUCM IM and Presenceバージョン10.5

    この設定を開始する前に、次のサービスが稼働していることを確認してください。

    • Cisco Platform Administrative Webサービス
    • Cisco Tomcat サービス

    Webインターフェイスでこれらのサービスを確認するには、Cisco Unified Serviceability Page Services > Network Service > Select a serverに移動します。CLIで確認するため、utils service listコマンドを入力します。

    CUCMクラスタでSSOが有効になっている場合は、再度無効にして有効にする必要があります。

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    CUCMバージョン10.5以降では、この信頼ストア証明書署名要求(CSR)にサブジェクト代替名(SAN)と代替ドメインを含めることができます。

    1. Tomcat:CUCMおよびIM&P
    2. Cisco CallManager:CUCMのみ
    3. Cisco Unified Presence-Extensible Messaging and Presence Protocol(CUP-XMPP):IM&Pのみ
    4. CUP-XMPP Server-to-Server(S2S):IM&Pのみ

    このバージョンでは、CA署名付き証明書を取得する方が簡単です。CAが署名する必要があるCSRは1つだけです。各サーバノードからCSRを取得し、CSRごとにCA署名付き証明書を取得して個別に管理する必要はありません。

    設定

    ステップ 1:

    パブリッシャのオペレーティングシステム(OS)管理にログインし、セキュリティ>証明書管理> CSRの生成に移動します。

    パブリッシャのオペレーティング・システム管理およびナビゲーションにログインします。

    ステップ 2:
    Multi-Server SAN in Distributionの順に選択します。

    ディストリビューション内のマルチサーバSANの選択



    SANドメインと親ドメインに自動入力される 

    クラスタのすべてのノードがTomcat用に一覧表示されていることを確認します。CallManager用のすべてのCUCMおよびIM&Pノードデータベース:CUCMノードのみが一覧表示されています。

    SANドメインと親ドメインが自動入力される

    ステップ 3:
    generateをクリックし、CSRが生成されたら、CSRにリストされているすべてのノードがSuccessful CSR exportedリストにも表示されていることを確認します。

    Generateをクリックし、CSRにリストされているノードがSuccessful CSR Exported Listにも表示されていることを確認します

    証明書管理では、SAN要求が生成されます。
    SAN要求が生成される

    ステップ 4:

    Download CSRをクリックし、証明書の目的を選択して、Download CSRをクリックします。

    CSRのダウンロードと証明書の目的の選択

    証明書のダウンロード

    ローカルCAまたはVeriSignなどの外部CAを使用して、CSR(前の手順でダウンロードしたファイル)を署名させることができます。

    この例では、Microsoft Windows ServerベースのCAの設定手順を示します。別のCAまたは外部CAを使用している場合は、ステップ5に進みます。

    https://<windowsserveripaddress>/certsrv/にログインします。
    Request a Certificate > Advanced Certificate Requestの順に選択します。
    CSRファイルの内容をBase 64エンコードの証明書要求フィールドにコピーして、Submitをクリックします。

    ローカルCAまたは外部CAを使用可能


    次に示すように、CSR要求を送信します。

    CSRの送信



    証明書の保留中

    ステップ 5:

    :Tomcat証明書をアップロードする前に、SSOが無効になっていることを確認してください。SSOが有効になっている場合は、すべてのTomcat証明書の再生成プロセスが完了したら、SSOを無効にして再度有効にする必要があります。

    証明書が署名された状態で、CA証明書をtomcat-trustとしてアップロードします。最初にルート証明書、次に中間証明書(存在する場合)です。

    CAのアップロード

    証明書のアップロード

    手順 6:

    ここでCUCM署名付き証明書をTomcatとしてアップロードし、図に示すように、クラスタのすべてのノードが「証明書のアップロード操作が正常に」に表示されていることを確認します。

    CUCM署名付き証明書のアップロード


    図に示すように、マルチサーバSANが証明書管理にリストされます。

    マルチサーバSANの設定

    手順 7:

    コマンドutils service restart Cisco Tomcatを使用して、CLIからSANリスト内のすべてのノード(最初のパブリッシャとサブスクライバ)でTomcatサービスを再起動します。

    Tomcatサービスの再起動

    確認

    http://<fqdnofccm>:8443/ccmadminにログインして、新しい証明書が使用されていることを確認します。

    確認

    CallManagerマルチサーバSAN証明書

    CallManager証明書についても同様の手順を実行できます。この場合、自動入力されたドメインはCallManagerノードのみです。Cisco CallManagerサービスが実行されていない場合は、SANリストに保持するか、削除するかを選択できます。

    警告:このプロセスは、電話機の登録とコール処理に影響します。CUCM/TVS/ITL/CAPF証明書を使用する作業では、必ずメンテナンス時間帯をスケジュールしてください。

    CUCMのCA署名付きSAN証明書の前に、次のことを確認します。

    • IP Phoneは、Trust Verification Service(TVS)を信頼できる。これは、電話機から任意のHTTPSサービスにアクセスして確認できます。たとえば、社内ディレクトリアクセスが機能する場合、電話機はTVSサービスを信頼します。
    • クラスタが非セキュアモードか混合モードかを確認します。 

    混合モードクラスタであるかどうかを確認するには、Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == Non-Secure; 1 == Mixed Mode)の順に選択します。  

    警告:サービスを再起動する前に混合モードクラスタを使用している場合は、CTLを更新する必要があります(トークンまたはトークンレス)。

    CAによって発行された証明書をインストールした後、有効になっているノードで次のサービスのリストを再起動する必要があります。

    • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
    • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
    • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
    • Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service

    トラブルシュート

    これらのログは、Cisco Technical Assistance Center(TAC)がマルチサーバSAN CSRの生成とCA署名付き証明書のアップロードに関連する問題を特定するのに役立ちます。

    既知の警告

    ・ Cisco Bug ID CSCur97909:マルチサーバ証明書をアップロードしてもDB内の自己署名証明書が削除されない
    ・ Cisco Bug ID CSCus47235:CSRでCUCM 10.5.2 CNがSANに複製されない
    ・ Cisco Bug ID CSCup28852:マルチサーバ証明書を使用する場合に証明書の更新が原因で7分おきに電話機がリセットされる

    既存のマルチサーバ証明書が存在する場合は、次のシナリオで再生成することをお勧めします。

    • ホスト名またはドメインの変更。ホスト名またはドメインの変更が実行されると、証明書は自己署名として自動的に再生成されます。これをCA署名付きに変更するには、前の手順に従う必要があります。
    • 新しいノードをクラスタに追加した場合は、新しいノードを含めるために新しいCSRを生成する必要があります。
    • サブスクライバが復元され、バックアップが使用されなかった場合、ノードは新しい自己署名証明書を持つことができます。サブスクライバを含めるには、クラスタ全体の新しいCSRが必要になる場合があります。(この機能を追加するための機能拡張要求がCisco Bug ID CSCuv75957 で示されています)。

    更新履歴

    改定 発行日 コメント
    3.0
    21-Jun-2024
    再認定
    2.0
    23-Nov-2022
    タイトルと概要、機械翻訳、SEO、スタイル要件、胚、フォーマットを更新。 代替テキストが追加されました。
    1.0
    09-Mar-2015
    初版
    TAC Authored

    シスコ エンジニア提供

    • バサントクマールK
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています