CUCM サードパーティ CA 署名済み LSC の作成およびインポートの設定例

ダウンロード オプション

  • PDF     (345.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (72.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 3 月 9 日
Document ID:118779

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

認証局プロキシ機能(CAPF)のローカルで有効な証明書(LSC)は、ローカルで署名が付けられます。ただし、電話機でサードパーティ認証局(CA)の署名付き LSC を使用しなければならない場合もあります。このドキュメントでは、その場合の手順について説明します。

前提条件

要件

このドキュメントの読者は Cisco Unified Communications Manager(CUCM)に関する知識を持っていることを推奨します。

使用するコンポーネント

このドキュメントの情報は、CUCMバージョン10.5(2)に基づいていますが、この機能はバージョン10.0以降で動作します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

この手順を構成するステップは次のとおりです。それぞれのステップについて、個別のセクションで詳しく説明します。

  1. CA ルート証明書のアップロード
  2. エンドポイントに対する証明書発行者としてのオフライン CA の設定
  3. 電話機の証明書署名要求(CSR)の生成
  4. FTP(または TFTP)サーバを介した Cisco Unified Communications Manager(CUCM)からの生成済み CSR の取得
  5. CA からの電話機の証明書の取得
  6. .cer から .der 形式への変換
  7. .tgz 形式への証明書(.der)の圧縮
  8. セキュア シェル FTP(SFTP)サーバへの .tgz ファイルの転送
  9. CUCM サーバへの .tgz ファイルのインポート
  10. Microsoft Windows 2003 認証局による CSR の署名
  11. CA からのルート証明書の取得

CA ルート証明書のアップロード

  1. Cisco Unified Operating System(OS)管理 Web GUI にログインします。

  2. [Security Certificate Management] に移動します。

  3. [Upload Certificate/Certificate chain] をクリックします。

  4. [Certificate Purpose] で [CallManager-trust] を選択します。

  5. CA のルート証明書を参照し、[Upload] をクリックします。

エンドポイントに対する証明書発行者としてのオフライン CA の設定

  1. CUCM 管理 Web GUI にログインします。

  2. [System] > [Service Parameters] に移動します。

  3. CUCM サーバを選択し、[Service] として [Cisco Certificate Authority Proxy Function] を選択します。

  4. [Certificate Issuer to Endpoint] で [Offline CA] を選択します。

電話機の証明書署名要求(CSR)の生成

  1. CUCM 管理 Web GUI にログインします。

  2. [Device Phones] に移動します。

  3. LSC に外部 CA による署名が必要な電話機を選択します。

  4. [Device security profile] で、デバイス セキュリティ プロファイルを保護されたものに変更します(保護されたデバイス セキュリティ プロファイルがない場合は、[Phone Security Profile Configuration] で新規に追加してください)。

  5. 電話機の設定ページにある [CAPF] セクションで、[Certification Operation] として [Install/Upgrade] を選択します。このステップを、LSC に外部 CA による署名が必要な電話機のすべてに対して行います。[Certificate Operation Status] には [Operation Pending] と表示されているはずです。



    以下に、電話機のセキュリティ プロファイル(7962 モデル)を示します。



    CSR が生成されるかどうかを確認するために、セキュア シェル(SSH)セッションで utils capf csr count コマンドを入力します。(次のスクリーン ショットには、3 台の電話機に対して CSR が生成されたことが示されています)。



    :電話機のCAPFセクションの下にあるCertificate Operation Statusは、Operation Pending状態のままになります。

FTP(または TFTP)サーバを介した CUCM からの生成済み CSR の取得

  1. CUCM サーバに SSH でログインします。

  2. utils capf csr dump コマンドを実行します。このスクリーン ショットには、FTP に転送中のダンプが示されています。



  3. ダンプ ファイルを開き、WinRAR を使用して CSR をローカル マシンに抽出します。

電話機の証明書の取得

  1. 電話機の CSR を CA に送信します。

  2. CA によって署名付き証明書が提供されます。

    :CAとしてMicrosoft Windows 2003サーバを使用できます。Microsft Windows 2003 CA で CSR に署名を付けるための手順は、このドキュメントの後半で説明します。

.cer から .der 形式への変換

受信した証明書が .cer 形式になっている場合は、ファイル名を .der に変更します。

.tgz 形式への証明書(.der)の圧縮

証明書を圧縮形式にするには、CUCM サーバのルート(Linux)を使用できます。この手順は、通常の Linux システムでも実行できます。

  1. SFTP サーバを使用して、すべての署名付き証明書を Linux システムに転送します。



  2. 次のコマンドを入力して、すべての .der 証明書を .tgz ファイルに圧縮します。

    tar -zcvf 
         
         
           .tgz    *.der


SFTP サーバへの .tgz ファイルの転送

次のスクリーン ショットに示すステップを実行して、.tgz ファイルを SFTP サーバに転送します。

CUCM サーバへの .tgz ファイルのインポート

  1. CUCM サーバに SSH でログインします。

  2. utils capf cert import コマンドを実行します。



    証明書が正常にインポートされると、CSR カウントの値がゼロになります。

Microsoft Windows 2003 認証局による CSR の署名

この手順は、Microsoft Windows 2003 を CA として使用する場合に実行します。

  1. [Certification Authority] を開きます。



  2. CA を右クリックし、[All Tasks] > [Submit new request...] に移動します。



  3. CSR を選択して [Open] をクリックします。すべての CSR に対して、この操作を行います。



    開いた CSR がすべて、[Pending Requests] フォルダ内に表示されます。

  4. それぞれを右クリックし、[All Tasks] > [Issue] に移動します。保留中のすべてのリクエストに対して、この操作を行います。



  5. 証明書をダウンロードするために、[Issued Certificate] を選択します。

  6. 証明書を右をクリックし、[Open] をクリックします。



  7. 証明書の詳細が表示されます。証明書をダウンロードするには、[Details] タブを選択し、[Copy to File...] を選択します。



  8. [Certificate Export Wizard] で、[DER encoded binary X.509 (.CER)] を選択します。



  9. ファイルに適切な名前を付けます。この例では、<MAC>.cer 形式を使用します。



  10. 以上の手順を使用して、[Issued Certificate] セクションに表示されている他の電話機の証明書を取得します。

CA からのルート証明書の取得

  1. [Certification Authority] を開きます。

  2. 次のスクリーン ショットに示すステップを実行して、ルート CA をダウンロードします。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

  1. 電話機の設定ページに移動します。

  2. [CAPF] セクションで、[Certificate Operation Status] に [Upgrade Success] と表示されていることを確認します。

注:詳細については、『サードパーティCA署名付きLSCの生成とインポート』を参照してください。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

更新履歴

改定 発行日 コメント
1.0
09-Mar-2015
初版
TAC Authored

シスコ エンジニア提供

  • Ramesh Balakrishnan
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ