認証局(CA)署名付き証明書を使用したUCCE Diagnostic Framework Portico ToolのHTTPSアクセスの設定
内容
はじめに
このドキュメントでは、Unified Contact Center Enterprise(UCCE)Diagnostic Framework PorticoツールのCA署名付き証明書(CA)をインストールする方法の設定プロセスについて説明します。
前提条件
要件
- Active Directory
- ドメイン ネーム システム(DNS)サーバ
- すべてのサーバとクライアントに導入され、動作しているCAインフラストラクチャ
- 診断フレームワークPortico
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco UCCE 11.0.1
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012 R2証明機関
- Microsoft Windows 7 SP1 OS
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
設定
証明書署名要求の生成
インターネットインフォメーションサービス(IIS)マネージャを開き、サイト、この例のペリフェラルゲートウェイA(PGA)、およびサーバ証明書を選択します。
操作パネルでCreate Certificate Requestを選択します。
共通名(CN)、組織(O)、組織単位(OU)、地域(L)、都道府県(ST)、国(C)の各フィールドに入力します。共通名は、完全修飾ドメイン名(FQDN)ホスト名+ドメイン名と同じである必要があります。
暗号化サービスプロバイダの既定の設定を残し、ビット長2048を指定します。
保存先のパスを選択してください。たとえば、デスクトップでpga.csrという名前を使用します。
新しく作成した要求をメモ帳で開きます。
Ctrl+Cを使用して証明書をバッファにコピーします。
認証局での証明書の署名
CAサーバの証明書登録ページにサインインします。
https://<CAサーバアドレス>/certsrv
Request Certificate, Advanced Certificate Requestの順に選択し、証明書署名要求(CSR)の内容をバッファに貼り付けます。次に、Certificate Template as Web Serverを選択します。
Base 64でエンコードされた証明書をダウンロードします。
証明書を開き、後で使用できるように拇印フィールドの内容をコピーします。拇印からスペースを削除します。
証明書のインストール
証明書のコピー
新しく生成された証明書ファイルを、Porticoツールが配置されているUCCE VMにコピーします。
証明書をローカルコンピュータストアにインポートする
同じUCCEサーバで、スタートメニューを選択してMicrosoft Management Console(MMC)を起動し、runとmmcと入力します。
Add/Remove snap-inをクリックし、ダイアログボックスで Addをクリックします。次に、Certificatesメニューを選択して、追加します。
Certificatesスナップインのダイアログボックスで、Computer Account > Local Computer > Finishの順にクリックします。
個人証明書フォルダに移動します。
操作ペインで、More Actions > All Tasks > Importの順に選択します。
Next、Browseの順にクリックし、以前に生成した証明書を選択します。次のメニューで、証明書ストアがpersonalに設定されていることを確認します。最後の画面で、Certificate StoreとCertificate Fileが選択されていることを確認し、Finishをクリックします。
IIS証明書のバインド
Diagnostic Porticoホームフォルダに移動します。
cd c:\icm\serviceability\diagnostics\bin
Porticoツールの現在の証明書バインドを削除します。
DiagFwCertMgr /task:UnbindCert
CA署名付き証明書をバインドします。
スペースを削除して、前に保存したハッシュを使用します。
DiagFwCertMgr /task:BindCertFromStore /certhash:bc6bbe23b8b3a26d8446c252400f9264c5c30a29
次のコマンドを使用して、証明書のバインドが正常に行われたことを確認します。
DiagFwCertMgr /task:ValidateCertBinding
Diagnostic Frameworkサービスを再起動します。
sc stop "diagfwsvc" sc start "diagfwsvc"
tasklist /v
確認
FQDNを使用して[診断フレームワーク]ページを開くと、証明書の警告メッセージは表示されません。
バックアウト計画
Porticoツールへのアクセスが失われた場合は、自己署名証明書を再生成し、例外を追加できます。
これは、次のコマンドを使用して実行できます。
DiagFwCertMgr /task:CreateAndBindCert
トラブルシュート
Diagnostic Framework PorticoツールにログインするときにIPアドレスを使用しないでください。ただし、FQDNは証明書のCNフィールドで指定された値と一致する必要があるため、証明書警告が表示されます。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
28-Oct-2016 |
初版 |
フィードバック