サードパーティ CA 署名付き証明書の有効化
セキュアなデータ転送のために、自分の会社の署名付き証明書をインポートすることができます。この証明書を使用するブラウザで、SSL を有効にする必要があります。
CA 署名付き証明書のインストール
セキュアなデータ転送のための CA 署名付き証明書のインストール:
始める前に
セキュリティを強化し、管理を容易にし、証明書管理を実践するために、情報資産を保護する目的で、次の要素が検証されます。
Cisco Prime Collaboration リリース 12.1 SP3 以降の場合
CA の署名付き証明書は、次の要件のリストを満たしている必要があります。要件:
-
"Primecollab" エイリアスを含む。
-
正しいパスワードを使用してインポートできる。
-
30 年以上にわたって有効な状態を維持する。
-
有効期限が設定されている。有効期限が
-
切れていないこと
例:現在の日付が 20/9/2019 の場合、有効期間(20/8/1970-20/8/2000)は無効です。
-
将来の日付に設定されていないこと
例:現在の日付が 20/9/2019 の場合、有効期間(20/12/2020-20/12/2025)は無効です。
-
「有効なサンプル」有効期間
例:現在の日付が 20/9/2019 の場合、有効期間(20/9/2019-20/9/2025)は有効です。
-
-
証明書に指定する CN(共通名)または SAN(サブジェクトの別名)が、PCA サーバの FQDN(完全修飾ドメイン名)と一致する必要があります。
-
PCA サーバの FQDN が CN と一致しない場合は、SAN のリストと照合されます。
-
ユーザは、CN に FQDN を使用して CSR(証明書署名要求)を生成するか、または SAN のリストに FQDN を含める必要があります。例:pcatest.cisco.com(FQDN)。
-
-
署名アルゴリズムが、TBSCertificate シーケンスに存在する署名アルゴリズム ID と一致する必要があります。
-
拡張を重複させることはできません。
-
サポート対象外の重要な拡張は使用できません。
-
チェックは、重要としてマークされている拡張のみに適用されます。
-
サポート対される拡張は、BC(BasicConstraints)、KU(KeyUsage)、EKU(ExtendedkeyUsage)、SAN(SubjectAlternativeName)、IAN(IssuerAlternativeName)、SIA(SubjectInfoAccess)、AIA(AuthorityInfoAccess)です。
-
-
重要な KeyUsage(KU)があり、有効であること
-
KU 拡張が重要としてマークされていれば、チェックが適用されます。
-
有効な KU は keyCertSign、cRLSign、digitalSignature です。
-
-
重要な ExtendedKeyUsage(EKU)があり、有効であること。
-
EKU 拡張が重要としてマークされていれば、チェックが適用されます。
-
有効な EKU は serverAuth、clientAuth、OCSPSigning です。
-
上記の要件を 1 つでも満たしていない場合、証明書は拒否され、該当するエラーメッセージによってユーザにアラートが送られます。
Cisco Prime Collaboration リリース 11.5 以降の場合
-
ルート証明書が、署名付き証明書に含まれている。
-
SSL がブラウザで有効であり、CA 署名付き証明書を使用できる。
手順
ステップ 1 |
選択 . |
||||||||||||||||
ステップ 2 |
ローカル システムから、(PKCS12 形式の)CA 署名付き証明書を参照します。 |
||||||||||||||||
ステップ 3 |
(任意)証明書の生成中にパスワードを設定した場合は、PKCS#12 ファイルの証明書のパスワードを入力して確認します。設定していない場合は、入力する必要はありません。 |
||||||||||||||||
ステップ 4 |
[インポート(Import)] をクリックします。 「サービスが再起動されます」という内容の警告メッセージが表示されます。 |
||||||||||||||||
ステップ 5 |
警告メッセージが表示されたら、[Continue] をクリックします。
サービス再起動後、ログイン ページが表示されます。セキュリティ警告ページ(ログイン ページが表示されるよう選択を行うページ)は、これ以降表示されません。
Cisco Prime Collaboration リリース 11.6 以降の場合
Cisco Prime Collaboration リリース 12.1 以降の場合 PKCS7 または PKCS12 の証明書を適用したバージョン 11.x の Cisco Prime Collaboration Assurance を、バージョン 12.1 に移行すると、証明書が復元されません。Cisco Prime Collaboration Assurance 12.1 用に証明書を再生成する必要があります。
プライマリ/中間/セカンダリの証明書をブラウザへインポートするには、次の表を参照してください。
|