CUCM 14でのCallManager用のTomcat証明書再利用の設定

概要

このドキュメントでは、Cisco Unified Communications Manager(CUCM)サーバ上のCallManagerでマルチSAN Tomcat証明書を再利用する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• CUCM証明書
• リアルタイム監視ツール(RTMT)
• ID信頼リスト(ITL)

使用するコンポーネント

このドキュメントの情報は、CUCM 14.0.1.13900-155に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

CUCMの2つの主要なサービスは、TomcatとCallManagerです。以前のバージョンでは、クラスタ全体に対してサービスごとに異なる証明書が必要でした。CUCMバージョン14では、CallManagerサービスでもマルチSAN Tomcat証明書を再利用する新機能が追加されました。この機能を使用する利点は次のとおりです。

• CA署名付き証明書の1つのクラスタに対してパブリック認証局(CA)によって署名された2つの証明書を取得するコストを削減します。
• この機能により、ITLファイルのサイズが小さくなり、オーバーヘッドが減少します。

設定

1. Tomcat証明書をマルチSANとして設定する

CUCM 14では、TomcatマルチSAN証明書は自己署名またはCA署名が可能です。Tomcat証明書がすでにマルチSANである場合は、このセクションを省略します。

自己署名

ステップ 1： ログイン先 Publisher > Operating System (OS) Administration 次の場所に移動します Security > Certificate Management > Generate Self-Signedを参照。

ステップ 2：選択 Certificate Purpose: tomcat > Distribution: Multi-Server SANを参照。 SANドメインと親ドメインに自動入力される 

自己署名マルチSAN Tomcat証明書の生成画面

ステップ 3：クリック Generateをクリックし、すべてのノードが Certificate upload operation successful メッセージに応答します。クリック Closeを参照。

自己署名マルチSAN Tomcat生成の成功メッセージ

ステップ 4：Tomcatサービスを再起動し、クラスタのすべてのノードに対してCLIセッションを開き、 utils service restart Cisco Tomcat  コマンドを使用して、アップグレードを実行します。

ステップ 5： 次に移動します。 Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services を再起動し、 Cisco DRF Master Service と Cisco DRF Local Serviceを参照。

手順 6：各ページに移動する Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services 再起動する Cisco DRF Local Serviceを参照。

CA署名付き

ステップ 1： ログイン先 Publisher > Operating System (OS) Administration 次の場所に移動します Security > Certificate Management > Generate CSRを参照。

ステップ 2：選択 Certificate Purpose: tomcat > Distribution: Multi-Server SANを参照。 SANドメインと親ドメインに自動入力される

Tomcat証明書用マルチSAN CSRの生成画面

ステップ 3：クリック Generateをクリックし、すべてのノードが CSR export operation successful メッセージに応答します。クリック Closeを参照。

マルチSAN CSR Tomcat生成の成功メッセージ

ステップ 4：クリック Download CSR > Certificate Purpose: tomcat > Downloadを参照。

Tomcat CSRのダウンロード画面

ステップ 5：署名のためにCSRをCAに送信します。

手順 6：CA信頼チェーンをアップロードするには、次の順に移動します Certificate Management > Upload certificate > Certificate Purpose: tomcat-trustを参照。 証明書の説明を設定し、トラストチェーンファイルを参照します。

手順 7：CA署名付き証明書をアップロードし、 Certificate Management > Upload certificate > Certificate Purpose: tomcatを参照。証明書の説明を設定し、CA署名付き証明書ファイルを参照します。

ステップ 8：Tomcatサービスを再起動し、クラスタのすべてのノードに対してCLIセッションを開き、 utils service restart Cisco Tomcat コマンドを使用して、アップグレードを実行します。

ステップ 9： 次に移動します。 Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services を再起動し、 Cisco DRF Master Service と Cisco DRF Local Serviceを参照。

ステップ 10：各ページに移動する Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services 再起動する Cisco DRF Local Serviceを参照。

2. CallManager用のTomcat証明書の再使用

ステップ 1：CUCMパブリッシャに移動し、 Cisco Unified OS Administration > Security > Certificate Managementを参照。

ステップ 2：クリック Reuse Certificateを参照。

ステップ 3：  choose Tomcat type ドロップダウンリストから、 tomcatを参照。

ステップ 4：  Replace Certificate for the following purpose ペインで、 CallManager チェックボックスをオンにします。

「Tomcat証明書を他のサービスに再利用」画面

ステップ 5：クリック Finish CallManager証明書をTomcat Multi-SAN証明書に置き換えます。

Tomcat証明書の再利用に成功したことを示すメッセージ

手順 6： Cisco HAProxyサービスを再起動し、クラスタのすべてのノードに対してCLIセッションを開き、 utils service restart Cisco HAProxy コマンドを使用して、アップグレードを実行します。

手順 7：クラスタが混合モードの場合は、パブリッシャノードへのCLIセッションを開き、  utils ctl update CTLFile  コマンドを実行し、CTLファイルの更新を有効にするためにクラスタのすべての電話機をリセットします。

確認

ステップ 1：CUCMパブリッシャに移動し、 Cisco Unified OS Administration > Security > Certificate Managementを参照。

ステップ 2：フィルタ条件 Find Certificate List where: Usage > begins with: identity をクリックして Findを参照。

ステップ 3：CallManagerとTomcatの証明書は同じ証明書で終わる必要があります Common Name_Serial Number 値。

CallManagerでのTomcat証明書の再利用の確認

関連情報

• Cisco Unified Communications Managerセキュリティガイド14
• シスコテクニカルサポートおよびダウンロード