この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。 セキュアな接続の確立を試みるときに、サービスが Cisco Jabber に証明書を提示します。 Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。 証明書が証明書ストア内に存在しない場合は、信頼できないものとみなされ、Jabber からその証明書を受け入れるか拒否するかが尋ねられます。
ユーザが証明書を受け入れた場合は、Jabber がサービスに接続して、証明書を証明書ストアまたはデバイスのキーチェーンに保存します。 ユーザが証明書を拒否した場合は、Jabber がサービスに接続せず、証明書は証明書ストアまたはデバイスのキーチェーンに保存されません。
証明書がデバイスのローカル証明書ストア内に存在する場合は、Jabber が証明書を信頼します。 Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。
Jabber が Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。 サービス名は Cisco Tomcat と XMPP です。 サービスごとに証明書署名要求(CSR)を生成する必要があります。 一部のパブリック認証局は 1 つの FQDN に対する複数の CSR を受け入れません。 そのため、サービスごとに CSR を別々のパブリック認証局に送信する必要があります。
IP アドレスまたはホスト名の代わりに、各サービスのサービス プロファイル内で FQDN が指定されていることを確認します。
サーバ |
証明書 |
---|---|
Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service |
HTTP(Tomcat) XMPP |
Cisco Unified Communications Manager |
HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュアな SIP コール シグナリングと CTI 接続検証) |
Cisco Unity Connection |
HTTP(Tomcat) |
Cisco WebEx Meetings Server |
HTTP(Tomcat) |
Cisco VCS Expressway Cisco Expressway-E |
サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用) |
SAML SSO と IdP には X.509 証明書が必要です。
証明書署名プロセスを開始する前に、Cisco Unified Presence またはCisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。
必要な証明書は、すべてのサーバ バージョンに適用されます。
クラスタ、サブスクライバ、およびパブリッシャのノードごとに、Tomcat サービスが実行され、クライアントに HTTP 証明書が提示されます。
クラスタ内の各ノードの証明書に署名する必要があります。
クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。
CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。
FQDN あたり証明書 1 つ:いくつかのパブリック CA は、完全修飾ドメイン名(FQDN)あたり 1 つの証明書にのみ署名します。
たとえば、単一の Cisco Unified Communications Manager IM and Presence Service ノードの HTTP 証明書と XMPP 証明書に署名するには、それぞれの CSR を別々のパブリック CA に送信する必要があります。
証明書を検証するには、失効情報を提供できる到達可能なサーバの [CDP] または [AIA] フィールドに HTTP URL が証明書に含まれている必要があります。 CA が証明書を取り消した場合は、クライアントがユーザにそのサーバへの接続を許可しません。
(注) |
パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。 |
ヒント |
[件名 CN(Subject CN)] フィールドには、左端の文字(たとえば、*.cisco.com)としてワイルドカード(*)を含めることができます。 |
ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。
サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。
Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。 Cisco Jabber がこれらの証明書を検証し、クラウドベース サービスとのセキュアな接続を確立します。
中間認証局に保存されている証明書によって WebEx Messenger サーバ ID が検証されます。
Cisco Jabber for Windows 9.7.2 以降の場合は、http://www.identrust.co.uk/certificates/trustid/install-nes36.html でルート証明書の詳細情報とインストール手順を確認できます。
Cisco Jabber for Mac 9.6.1 以降の場合は、http://support.apple.com の Apple サポート Web サイトでルート証明書の詳細情報を確認できます。
証明書の検証
証明書検証プロセス
Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。 セキュアな接続の確立を試みるときに、サービスが Cisco Jabber に証明書を提示します。 Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。 証明書が証明書ストア内に存在しない場合は、信頼できないものとみなされ、Jabber からその証明書を受け入れるか拒否するかが尋ねられます。
ユーザが証明書を受け入れた場合は、Jabber がサービスに接続して、証明書を証明書ストアまたはデバイスのキーチェーンに保存します。 ユーザが証明書を拒否した場合は、Jabber がサービスに接続せず、証明書は証明書ストアまたはデバイスのキーチェーンに保存されません。
証明書がデバイスのローカル証明書ストア内に存在する場合は、Jabber が証明書を信頼します。 Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。
Jabber が Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。 サービス名は Cisco Tomcat と XMPP です。 サービスごとに証明書署名要求(CSR)を生成する必要があります。 一部のパブリック認証局は 1 つの FQDN に対する複数の CSR を受け入れません。 そのため、サービスごとに CSR を別々のパブリック認証局に送信する必要があります。
IP アドレスまたはホスト名の代わりに、各サービスのサービス プロファイル内で FQDN が指定されていることを確認します。
オンプレミス サーバに必要な証明書
オンプレミス サーバは、 Cisco Jabber とのセキュアな接続を確立するために、次の証明書を提示します。
サーバ
証明書
Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service
HTTP(Tomcat)
XMPP
Cisco Unified Communications Manager
HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュアな SIP コール シグナリングと CTI 接続検証)
Cisco Unity Connection
HTTP(Tomcat)
Cisco WebEx Meetings Server
HTTP(Tomcat)
Cisco VCS Expressway
Cisco Expressway-E
サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用)
特記事項
SAML SSO と IdP には X.509 証明書が必要です。
証明書署名プロセスを開始する前に、Cisco Unified Presence またはCisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。
必要な証明書は、すべてのサーバ バージョンに適用されます。
クラスタ、サブスクライバ、およびパブリッシャのノードごとに、Tomcat サービスが実行され、クライアントに HTTP 証明書が提示されます。
クラスタ内の各ノードの証明書に署名する必要があります。
クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。
証明書署名要求の形式と要件
失効サーバ
クラウドベースのサーバの証明書要件
Cisco WebEx Messenger と Cisco WebEx Meeting Center はクライアントに次の証明書を提示します。重要:Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。 Cisco Jabber がこれらの証明書を検証し、クラウドベース サービスとのセキュアな接続を確立します。
Cisco Jabber for Windows 9.7.2 と Cisco Jabber for Mac 9.6.1 以降では、 Cisco Jabber が Cisco WebEx Messenger から受信した XMPP 証明書を検証します。 オペレーティング システムに Cisco WebEx Messenger 用の次の証明書が含まれていない場合は、それらを入力する必要があります。中間認証局に保存されている証明書によって WebEx Messenger サーバ ID が検証されます。
Cisco Jabber for Windows 9.7.2 以降の場合は、http://www.identrust.co.uk/certificates/trustid/install-nes36.html でルート証明書の詳細情報とインストール手順を確認できます。
Cisco Jabber for Mac 9.6.1 以降の場合は、http://support.apple.com の Apple サポート Web サイトでルート証明書の詳細情報を確認できます。