この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
デフォルトのセキュリティは、次の自動セキュリティ機能を Cisco Unified IP Phone に提供します。
Cisco Unified Communications Manager Release 8.0 以降では、CTL クライアントを実行せずに、これらのセキュリティ機能をデフォルトで使用できます。
信頼検証サービス(TVS)は、デフォルトのセキュリティの主要コンポーネントです。 TVS を使用すると、HTTPS を確立しているときに、 Cisco Unified IP Phone で EM サービス、ディレクトリ、および MIDlet などのアプリケーション サーバを認証できます。
柔軟性:信頼証明書の追加または削除が、システム内で自動的に反映されます。
デフォルトのセキュリティ:メディアおよびシグナリングのセキュリティ以外の機能はデフォルトのインストールに含まれており、ユーザ操作は必要ありません。
(注) |
セキュアなシグナリングおよびメディアを有効にするには、CTL とクラスタを混合モードに設定する必要があります。 CTL は、CTL クライアントまたは CLI コマンドの utils ctl update CTLFile を使用して作成できます。 |
TVS は、 Cisco Unified Communications Manager サーバで稼働して、 Cisco Unified IP Phone の代わりに証明書を認証します。
信頼できる証明書をすべてダウンロードするのではなく、 Cisco Unified IP Phone では TVS を信頼するだけで済みます。
TVS 証明書およびいくつかのキー証明書が、初期信頼リスト(ITL)ファイルという新しいファイルにまとめられます。
ITL ファイルは、ユーザ操作なしで自動的に生成されます。
ITL ファイルは、 Cisco Unified IP Phone によってダウンロードされ、ここから信頼情報が取得されます。
Cisco Unified IP Phone には、次のタスクを実行するために初期信頼リスト(ITL)が必要です。
Cisco Unified IP Phone に既存の CTL ファイルがない場合、最初の ITL ファイルが(CTL ファイルの場合と同様に)自動的に信頼されます。 後続の ITL ファイルが TFTP サーバの CallManager 証明書に関連付けられている同じ秘密キーで署名されているか、または TVS で署名者に応じた証明書を返すことができる必要があります。
Cisco Unified IP Phone に既存の CTL ファイルがある場合は、その CTL ファイルを使用して ITL ファイルの署名を認証します。
ITL ファイルには、初期信頼リストが格納されます。 ITL ファイルは CTL ファイルと同じ形式で、基本的には CTL ファイルの小型版または縮小版です。 ITL ファイルに適用される属性は、次のとおりです。
TFTP サーバの CallManager 証明書。 この証明書を使用すると、ITL ファイルの署名および電話機設定ファイルの署名を認証できます。
クラスタ内のすべての TVS 証明書。 この証明書を使用すると、電話機は TVS と安全に通信して証明書認証を要求できます。
CAPF 証明書。 この証明書を使用すると、設定ファイルの暗号化をサポートできます。 ITL ファイルに必須というわけではありませんが(TVS で認証できる)、CAPF 証明書によって CAPF への接続が簡易化されます。
CTL ファイルと同様に、ITL ファイルには証明書ごとに 1 つのレコードが格納されます。 各レコードの内容は次のとおりです。
TFTP サーバの CallManager 証明書は、次の 2 つの異なる権限を持つ 2 つの ITL レコードに含まれています。
Cisco Unified IP Phone では、クラスタのセキュリティ モード(非セキュアまたは混合モード)を確認するのに依然として CTL ファイルを使用します。 CTL ファイルは、 Cisco Unified Communications Manager 証明書を Cisco Unified Communications Manager レコードに格納することによって、クラスタ セキュリティ モードを追跡します。
ITL ファイルが電話機にインストールされている、[デフォルトのセキュリティ(Security By Default)] を使用する Cisco Unified CM Release 8.0 以降での集中 TFTP では、TFTP 設定ファイルを検証しません。 次の手順は、リモート クラスタの電話機を集中 TFTP 構成に追加する前に完了する必要があります。
クラスタが非セキュア モードの場合、システムによって自動登録がサポートされます。 また、デフォルトの設定ファイルに対する署名も行われます。 デフォルトのセキュリティをサポートしていない Cisco Unified IP Phone には、署名されていないデフォルトの設定ファイルが提供されます。
(注) |
混合モードでは、自動登録はサポートされません。 |
Cisco Unified Reporting を使用することによってデフォルトでセキュリティをサポートする Cisco Unified IP Phone の一覧を取得できます。 Cisco Unified Reporting を使用するには、次の手順を実行します。
Cisco Unified Reporting の使用方法の詳細については、 『Cisco Unified Reporting Administration Guide』を参照してください。
Cisco Unified Communications Manager の証明書の 1 つを再生成する場合には、この項の手順を実行する必要があります。
注意 |
証明書を再生成すると、システムの動作に影響する場合があります。 また、証明書がアップロードされている場合に証明書を再生成すると、サードパーティが署名した証明書を含む既存の証明書が上書されます。 詳細については、『Cisco Unified Communications Operating System Administration Guide』を参照してください。 |
(注) |
CAPF 証明書がパブリッシャ上にある場合は、ITL ファイルを更新するために自動的に再起動する電話機を監視できます。 |
(注) |
TVS 証明書と TFTP 証明書の両方を再生成する場合は、TVS 証明書を再生成し、再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。 |
(注) |
複数の証明書を再生成する場合は、TFTP 証明書を最後に再生成する必要があります。 再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。 この手順に従わないと、すべての Cisco Unified IP Phone から手動で ITL ファイルを削除することが必要になる場合があります。 |
ITL ファイルの信頼アンカーは、TFTP 秘密キーというソフトウェア エンティティです。 サーバがクラッシュするとキーが失われ、電話機は新しい ITL ファイルを検証できなくなります。
Cisco Unified Communications Manager リリース 8.0 では、TFTP 証明書と秘密キーの両方がディザスタ リカバリ システムによってバックアップされます。 秘密キーを保護するために、バックアップ パッケージは暗号化されます。 サーバがクラッシュすると、以前の証明書およびキーが復元されます。
TFTP 証明書が再生成された場合は、常に新しいシステム バックアップを作成する必要があります。 バックアップ手順については、『 Disaster Recovery System Administration Guide』を参照してください。
クラスタをリリース 7.x からリリース 8.6 以降にアップグレードするには、次の手順に従います。
手順
アップグレード後にパブリッシャがアップしたら、CAR 移行が完了するまでリブートしないでください。 このフェーズでは、旧バージョンへの切り替えおよび DRS バックアップの実行は許可されていません。
に移動して CAR 移行ステータスをモニタできます。クラスタを 8.0 よりも前の Cisco Unified Communications Manager のリリースにロールバックする前に、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを使用して、クラスタをロールバックするための準備を行う必要があります。
ステップ 1 |
Cisco Unified Communications Manager の管理ページで、 の順に選択します。 [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。 Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを True に設定します。
|
||
ステップ 2 | Cisco Unified IP Phone が自動的に再起動され、 Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。 | ||
ステップ 3 |
クラスタ内の各サーバを以前のリリースに戻します。 クラスタを以前のバージョンに戻す方法の詳細については、『Cisco Unified Communications Operating System Administration Guide』の第 7 章「Software Upgrades」を参照してください。 |
||
ステップ 4 | クラスタが以前のバージョンに切り替わるまで待ちます。 | ||
ステップ 5 | 次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。 | ||
ステップ 6 |
[エンタープライズパラメータ(Enterprise Parameters)] で「Prepare Cluster for Rollback to pre 8.0」が [True] に設定されている場合は、社内ディレクトリが機能するようにするために次の変更を行う必要があります。 で、サービス URL を Application:Cisco/CorporateDirectory から http://<ipaddr>:8080/ccmcip/xmldirectoryinput.jsp に変更する必要があります。 |
||
ステップ 7 |
[エンタープライズパラメータ(Enterprise Parameters)] で [クラスタを 8.0 よりも前にロールバックする準備を行う(Prepare Cluster for Rollback to pre 8.0)] が [True] に設定されている場合は、パーソナル ディレクトリが機能するようにするために次の変更を行う必要があります。 で、サービス URL を Application:Cisco/PersonalDirectory から「http://<ipaddr>>:8080/ccmpd/pdCheckLogin.do?name=undefined」に変更する必要があります。 |
ステップ 1 | クラスタを非アクティブのパーティションに切り替えるための手順に従います。 詳細については、 『Cisco Unified Communications Operating System Administration Guide』を参照してください。 |
ステップ 2 | 次のいずれかのリリースを混合モードで使用していた場合、CTL クライアントを実行する必要があります。 |
ステップ 3 |
Cisco Unified Communications Manager の管理ページで、 の順に選択します。 [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。 Prepare Cluster for Rollback to pre-8.6 エンタープライズ パラメータを [False] に設定します。 |
ステップ 4 | Cisco Unified IP Phone が自動的に再起動され、 Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。 |
Cisco Unified Communications Manager 8.0(1) 以降では、新しい機能であるデフォルトのセキュリティと、初期信頼リスト(ITL)ファイルの使用が導入されました。 この新機能を使用する場合は、異なる Unified CM クラスタ間での電話機の移行時に注意して、移行のための適切な手順に従っていることを確認してください。
注意 |
正しい手順に従わないと、数千台の電話機の ITL ファイルを手動で削除しなければならない状況が発生することがあります。 |
新しい ITL ファイルをサポートする Cisco Unified IP Phone では、その Unified CM TFTP サーバからこの特殊なファイルをダウンロードする必要があります。 ITL ファイルを電話機にインストールしたらすぐに、以降のすべての設定ファイルおよび ITL ファイルのアップデートを、以下のいずれかによって署名する必要があります。
この新しいセキュリティ機能を念頭に置きながら、1 つのクラスタから別のクラスタに電話機を移動する際に発生する可能性のある 3 つの問題について考慮します。
新しいクラスタの ITL ファイルは現在の ITL ファイルの署名者によって署名されていないため、電話機は新しい ITL ファイルまたは設定ファイルを受け入れできません。
電話機の既存の ITL にリストされている TVS サーバは、電話機が新しいクラスタに移動されると、到達不能になる場合があります。
TVS サーバが証明書の確認のために到達可能であるとしても、古いクラスタ サーバには新しいサーバの証明書がない場合があります。
これら 3 つの問題のうち 1 つ以上が発生する場合に考えられる解決策の 1 つは、クラスタ間で移動しているすべての電話機から ITL ファイルを手動で削除することです。 ただし、これは電話機の台数が増えるにつれて大変な労力を必要とするため、解決策としては望ましくありません。
最も推奨されるオプションは、Cisco Unified CM のエンタープライズ パラメータの Prepare Cluster for Rollback to pre-8.0 を使用することです。 このパラメータを True に設定すると、電話機は、空の TVS および TFTP の証明書セクションを含む特殊な ITL ファイルをダウンロードします。
電話機に空の ITL ファイルがある場合、電話機は、(Unified CM 8.x よりも前のクラスタへの移行の場合)署名されていない設定ファイルを受け入れ、(別の Unified CM 8.x クラスタへの移行の場合)新しい ITL ファイルも受け入れます。
空の ITL ファイルは、 の順に選択して ITL をオンにすることにより、電話機で確認できます。 古い TVS サーバおよび TFTP サーバが以前存在していた場所には空のエントリが表示されます。
電話機は、新しい空の ITL ファイルをダウンロードするまでの間に限り、古い Unified CM サーバにアクセスできる必要があります。
古いクラスタをオンラインにしておく場合は、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを無効にして、デフォルトのセキュリティを元に戻します。
新旧両方のクラスタが同時にオンラインである場合、証明書の一括移行の方法を使用できます。
Cisco Unified IP Phone は、ITL ファイルまたは ITL ファイル内に存在する TVS サーバと照合して、ダウンロードされるすべてのファイルを確認することに留意してください。 電話機を新しいクラスタに移動する必要がある場合、新しいクラスタが提示する ITL ファイルは、古いクラスタの TVS 証明書ストアによって信頼されている必要があります。
(注) |
証明書の一括エクスポートの方法は、電話機を移行している間、ネットワーク接続を保ちながら両方のクラスタがオンラインである場合にだけ有効です。 |
ステップ 1 | [Cisco Unifiedオペレーティングシステムの管理(Cisco Unified Operating System Administration)] で、 の順に選択します。 |
ステップ 2 | 証明書を新しい宛先クラスタ(TFTP のみ)から中央の SFTP サーバにエクスポートします。 |
ステップ 3 | 証明書の一括インターフェイスを使用して、SFTP サーバで証明書(TFTP のみ)を統合します。 |
ステップ 4 | 元のクラスタでは、証明書の一括機能を使用して、中央の SFTP サーバから TFTP 証明書をインポートします。 |
ステップ 5 |
DHCP オプション 150 またはその他の方法を使用して、電話機が新しい宛先クラスタを指すようにします。 電話機は、新しい宛先クラスタの ITL ファイルをダウンロードし、既存の ITL ファイルと照合して確認を行います。 証明書は既存の ITL ファイル内に存在しないため、電話機は、新しい ITL ファイルの署名を確認するように古い TVS サーバに要求します。 電話機は、この要求を行うために、TCP ポート 2445 の古い元のクラスタに TVS クエリーを送信します。 証明書のエクスポート、統合、およびインポートのプロセスが正常に処理されると、TVS は成功したことを返し、電話機はメモリ内の ITL ファイルを新しくダウンロードした ITL ファイルで置き換えます。 これで電話機は、新しいクラスタから署名済みの設定ファイルをダウンロードおよび確認できます。 |
Unified Communications Manager クラスタのデバイスがロックされ、信頼済みステータスを失った場合は、CLI コマンドの utils itl reset でアイデンティティ信頼リスト(ITL)の一括リセットを実行します。 このコマンドは、新しい ITL リカバリ ファイルを生成します。
ヒント |
Unified Communications Manager の新規インストールを実行する場合はいつでも、できるだけ早く ITL キーをエクスポートし、 Disaster Recovery System を通じてバックアップを実行します。 ITL リカバリ ペアをエクスポートする CLI コマンドは次のとおりです。 file get tftp ITLRecovery.p12SFTP サーバ(キーがエクスポートされる場所)とパスワードを入力するプロンプトが表示されます。 |
この手順は Cisco Unified Communications Manager パブリッシャで実行してください。
必要に応じて、パブリッシャからキーをエクスポートします。
ステップ 1 |
次のいずれかの手順を実行します。
utils itl reset localkey については、ローカル キーがパブリッシャにあります。 この手順により、システム上の既存のファイルが取得され、そのファイルの署名がリカバリ キー署名に置き換えられて、新しい ITL ファイルが生成されます。 その後、キーがクラスタの TFTP サーバにコピーされます。 |
ステップ 2 |
show itl を実行してリセットが正常に行われたことを確認します。 |
ステップ 3 | Cisco Unified Communications Manager の管理ページから、 を選択します。 |
ステップ 4 |
[リセット(Reset)] を選択します。 デバイスが再起動されます。 ITLRecovery キーによって署名されている ITL ファイルをダウンロードして設定ファイルを受け入れる準備が完了します。 |
ステップ 5 |
TFTP サービスを再起動し、すべてのデバイスを再起動します。 デバイスにより、TFTP キーを使用して署名されている ITL ファイルがダウンロードされ、もう一度 Unified Communications Manager に正しく登録されます。 |
目次
- デフォルトのセキュリティ設定
- デフォルトのセキュリティ機能
- 信頼検証サービス
- TVS の説明
- 初期信頼リスト
- ITL ファイル
- ITL ファイルの内容
- ITL ファイルと CTL ファイルのインタラクション
- IP Phone の ITL ファイルの更新
- 自動登録
- Cisco Unified IP Phone サポート一覧の入手
- 証明書の再生成
- CAPF 証明書の再生成
- TVS 証明書の再生成
- TFTP 証明書の再生成
- Tomcat 証明書の再生成
- TFTP 証明書の再生成後のシステム バックアップ手順
- Cisco Unified Communications Manager リリース 7.x からリリース 8.6 以降へのリフレッシュ アップグレード
- 8.0 よりも前のリリースへのクラスタのロールバック
- 戻した後のリリース 8.6 以降への再切り替え
- Cisco Unified Communications Manager および ITL ファイルによるクラスタ間での IP Phone の移行
- 証明書の一括エクスポート
- ITL ファイルの一括リセットの実行
- デフォルトのセキュリティ機能
- 信頼検証サービス
- 初期信頼リスト
- IP Phone の ITL ファイルの更新
- 自動登録
- Cisco Unified IP Phone サポート一覧の入手
- 証明書の再生成
- Tomcat 証明書の再生成
- TFTP 証明書の再生成後のシステム バックアップ手順
- Cisco Unified Communications Manager リリース 7.x からリリース 8.6 以降へのリフレッシュ アップグレード
- 8.0 よりも前のリリースへのクラスタのロールバック
- Cisco Unified Communications Manager および ITL ファイルによるクラスタ間での IP Phone の移行
- ITL ファイルの一括リセットの実行
信頼検証サービス
信頼検証サービス(TVS)は、デフォルトのセキュリティの主要コンポーネントです。 TVS を使用すると、HTTPS を確立しているときに、 Cisco Unified IP Phone で EM サービス、ディレクトリ、および MIDlet などのアプリケーション サーバを認証できます。
柔軟性:信頼証明書の追加または削除が、システム内で自動的に反映されます。
デフォルトのセキュリティ:メディアおよびシグナリングのセキュリティ以外の機能はデフォルトのインストールに含まれており、ユーザ操作は必要ありません。
(注)
セキュアなシグナリングおよびメディアを有効にするには、CTL とクラスタを混合モードに設定する必要があります。 CTL は、CTL クライアントまたは CLI コマンドの utils ctl update CTLFile を使用して作成できます。
TVS の説明
TVS は、 Cisco Unified Communications Manager サーバで稼働して、 Cisco Unified IP Phone の代わりに証明書を認証します。
信頼できる証明書をすべてダウンロードするのではなく、 Cisco Unified IP Phone では TVS を信頼するだけで済みます。
TVS 証明書およびいくつかのキー証明書が、初期信頼リスト(ITL)ファイルという新しいファイルにまとめられます。
ITL ファイルは、ユーザ操作なしで自動的に生成されます。
ITL ファイルは、 Cisco Unified IP Phone によってダウンロードされ、ここから信頼情報が取得されます。
初期信頼リスト
Cisco Unified IP Phone には、次のタスクを実行するために初期信頼リスト(ITL)が必要です。
Cisco Unified IP Phone に既存の CTL ファイルがない場合、最初の ITL ファイルが(CTL ファイルの場合と同様に)自動的に信頼されます。 後続の ITL ファイルが TFTP サーバの CallManager 証明書に関連付けられている同じ秘密キーで署名されているか、または TVS で署名者に応じた証明書を返すことができる必要があります。
Cisco Unified IP Phone に既存の CTL ファイルがある場合は、その CTL ファイルを使用して ITL ファイルの署名を認証します。
ITL ファイル
ITL ファイルの内容
TFTP サーバの CallManager 証明書。 この証明書を使用すると、ITL ファイルの署名および電話機設定ファイルの署名を認証できます。
クラスタ内のすべての TVS 証明書。 この証明書を使用すると、電話機は TVS と安全に通信して証明書認証を要求できます。
CAPF 証明書。 この証明書を使用すると、設定ファイルの暗号化をサポートできます。 ITL ファイルに必須というわけではありませんが(TVS で認証できる)、CAPF 証明書によって CAPF への接続が簡易化されます。
CTL ファイルと同様に、ITL ファイルには証明書ごとに 1 つのレコードが格納されます。 各レコードの内容は次のとおりです。
TFTP サーバの CallManager 証明書は、次の 2 つの異なる権限を持つ 2 つの ITL レコードに含まれています。
IP Phone の ITL ファイルの更新
手順ITL ファイルが電話機にインストールされている、[デフォルトのセキュリティ(Security By Default)] を使用する Cisco Unified CM Release 8.0 以降での集中 TFTP では、TFTP 設定ファイルを検証しません。 次の手順は、リモート クラスタの電話機を集中 TFTP 構成に追加する前に完了する必要があります。
ステップ 1 集中 TFTP サーバで、エンタープライズ パラメータ Prepare cluster for pre CM-8.0 rollback を有効にします。 ステップ 2 TVS および TFTP を再起動します。 ステップ 3 すべての電話機をリセットし、ITL 署名検証を使用不可にする新規 ITL ファイルをダウンロードすることを検証します。 ステップ 4 https の代わりに http を使用するように、エンタープライズ パラメータ Secure https URLs を設定します。
Cisco Unified IP Phone サポート一覧の入手
手順Cisco Unified Reporting を使用することによってデフォルトでセキュリティをサポートする Cisco Unified IP Phone の一覧を取得できます。 Cisco Unified Reporting を使用するには、次の手順を実行します。
ステップ 1 Cisco Unified Reporting のメイン ウィンドウで、[System Reports] をクリックします。 ステップ 2 [System Reports] リストから、[Unified CM Phone Feature List] をクリックします。 ステップ 3 [Feature] プルダウン メニューから、適切な機能を選択します。 ステップ 4 [Submit] をクリックします。
次の作業Cisco Unified Reporting の使用方法の詳細については、 『Cisco Unified Reporting Administration Guide』を参照してください。
証明書の再生成
Cisco Unified Communications Manager の証明書の 1 つを再生成する場合には、この項の手順を実行する必要があります。
注意
証明書を再生成すると、システムの動作に影響する場合があります。 また、証明書がアップロードされている場合に証明書を再生成すると、サードパーティが署名した証明書を含む既存の証明書が上書されます。 詳細については、『Cisco Unified Communications Operating System Administration Guide』を参照してください。
CAPF 証明書の再生成
手順
ステップ 1 CAPF 証明書を再生成します。 『Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。
ステップ 2 CTL ファイルを使用している場合は、CTL クライアントを再実行する必要があります。 『Cisco Unified Communications Operating System Administration Guide』の第 4 章「Configuring the Cisco CTL Client」を参照してください。
ステップ 3 CAPF サービスを再起動します。 『Cisco Unified Communications Manager セキュリティ ガイド』の「Certificate Authority Proxy Function サービスのアクティブ化」を参照してください。
TFTP 証明書の再生成
手順
(注)
複数の証明書を再生成する場合は、TFTP 証明書を最後に再生成する必要があります。 再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。 この手順に従わないと、すべての Cisco Unified IP Phone から手動で ITL ファイルを削除することが必要になる場合があります。
ステップ 1 TFTP 証明書を再生成します。 『Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。
ステップ 2 TFTP サービスがアクティブ化されていた場合は、すべての電話機の自動による再起動が完了するまで待ちます。 ステップ 3 クラスタが混合モードの場合は、CTL クライアントを実行します。 ステップ 4 クラスタが EMCC 構成の一部の場合は、一括証明書プロビジョニングの手順を繰り返します。 『Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。
Tomcat 証明書の再生成
手順
ステップ 1 Tomcat 証明書を再作成します。 『Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。
ステップ 2 Tomcat サービスを再起動します。 『Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。
ステップ 3 クラスタが EMCC 構成の一部の場合は、一括証明書プロビジョニングの手順を繰り返します。 『Cisco Unified Communications Operating System Administration Guide』の第 6 章「Security」を参照してください。
TFTP 証明書の再生成後のシステム バックアップ手順
ITL ファイルの信頼アンカーは、TFTP 秘密キーというソフトウェア エンティティです。 サーバがクラッシュするとキーが失われ、電話機は新しい ITL ファイルを検証できなくなります。
Cisco Unified Communications Manager リリース 8.0 では、TFTP 証明書と秘密キーの両方がディザスタ リカバリ システムによってバックアップされます。 秘密キーを保護するために、バックアップ パッケージは暗号化されます。 サーバがクラッシュすると、以前の証明書およびキーが復元されます。
TFTP 証明書が再生成された場合は、常に新しいシステム バックアップを作成する必要があります。 バックアップ手順については、『 Disaster Recovery System Administration Guide』を参照してください。
Cisco Unified Communications Manager リリース 7.x からリリース 8.6 以降へのリフレッシュ アップグレード
手順
ステップ 1 通常のクラスタ アップグレード手順に従います。 詳細については、『 Cisco Unified Communications Operating System Administration Guide』の第 7 章「"Software Upgrades"」を参照してください。
ヒント クラスタ内のすべてのノードを Cisco Unified Communications Manager のリリース 8.6 以降にアップグレードした後、さらに、ここに示すすべての手順に従って Cisco Unified IP Phone をシステムに登録する必要があります。
ステップ 2 次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。 ステップ 3 Cisco Unified IP Phone が自動的に再起動され、 Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。
注意 クラスタを回復できるようにするには、 Disaster Recovery System(DRS)を使用してクラスタをバックアップしておく必要があります。
ステップ 4 クラスタをバックアップします。 DRS を使用してクラスタをバックアップするには、 『Disaster Recovery System Administration Guide』を参照してください。
次の作業
アップグレード後にパブリッシャがアップしたら、CAR 移行が完了するまでリブートしないでください。 このフェーズでは、旧バージョンへの切り替えおよび DRS バックアップの実行は許可されていません。
に移動して CAR 移行ステータスをモニタできます。8.0 よりも前のリリースへのクラスタのロールバック
手順クラスタを 8.0 よりも前の Cisco Unified Communications Manager のリリースにロールバックする前に、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを使用して、クラスタをロールバックするための準備を行う必要があります。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 の順に選択します。 [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。
Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを True に設定します。
(注) クラスタを 8.0 よりも前のリリースの Cisco Unified Communications Manager にロールバックする準備を行っている場合に限り、このパラメータを有効にします。 https を使用する電話機サービス(エクステンション モビリティなど)は、このパラメータが有効になっている間は動作しません。 ただし、このパラメータが有効になっていても、基本的な電話コールの発信および受信は引き続き実行できます。
ステップ 2 Cisco Unified IP Phone が自動的に再起動され、 Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。 ステップ 3 クラスタ内の各サーバを以前のリリースに戻します。 クラスタを以前のバージョンに戻す方法の詳細については、『Cisco Unified Communications Operating System Administration Guide』の第 7 章「Software Upgrades」を参照してください。
ステップ 4 クラスタが以前のバージョンに切り替わるまで待ちます。 ステップ 5 次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。 ステップ 6 [エンタープライズパラメータ(Enterprise Parameters)] で「Prepare Cluster for Rollback to pre 8.0」が [True] に設定されている場合は、社内ディレクトリが機能するようにするために次の変更を行う必要があります。 で、サービス URL を Application:Cisco/CorporateDirectory から http://<ipaddr>:8080/ccmcip/xmldirectoryinput.jsp に変更する必要があります。
ステップ 7 [エンタープライズパラメータ(Enterprise Parameters)] で [クラスタを 8.0 よりも前にロールバックする準備を行う(Prepare Cluster for Rollback to pre 8.0)] が [True] に設定されている場合は、パーソナル ディレクトリが機能するようにするために次の変更を行う必要があります。 で、サービス URL を Application:Cisco/PersonalDirectory から「http://<ipaddr>>:8080/ccmpd/pdCheckLogin.do?name=undefined」に変更する必要があります。
戻した後のリリース 8.6 以降への再切り替え
手順
ステップ 1 クラスタを非アクティブのパーティションに切り替えるための手順に従います。 詳細については、 『Cisco Unified Communications Operating System Administration Guide』を参照してください。 ステップ 2 次のいずれかのリリースを混合モードで使用していた場合、CTL クライアントを実行する必要があります。 ステップ 3 Cisco Unified Communications Manager の管理ページで、 の順に選択します。 [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。
Prepare Cluster for Rollback to pre-8.6 エンタープライズ パラメータを [False] に設定します。
ステップ 4 Cisco Unified IP Phone が自動的に再起動され、 Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。
Cisco Unified Communications Manager および ITL ファイルによるクラスタ間での IP Phone の移行
Cisco Unified Communications Manager 8.0(1) 以降では、新しい機能であるデフォルトのセキュリティと、初期信頼リスト(ITL)ファイルの使用が導入されました。 この新機能を使用する場合は、異なる Unified CM クラスタ間での電話機の移行時に注意して、移行のための適切な手順に従っていることを確認してください。
注意
正しい手順に従わないと、数千台の電話機の ITL ファイルを手動で削除しなければならない状況が発生することがあります。
新しい ITL ファイルをサポートする Cisco Unified IP Phone では、その Unified CM TFTP サーバからこの特殊なファイルをダウンロードする必要があります。 ITL ファイルを電話機にインストールしたらすぐに、以降のすべての設定ファイルおよび ITL ファイルのアップデートを、以下のいずれかによって署名する必要があります。
この新しいセキュリティ機能を念頭に置きながら、1 つのクラスタから別のクラスタに電話機を移動する際に発生する可能性のある 3 つの問題について考慮します。
新しいクラスタの ITL ファイルは現在の ITL ファイルの署名者によって署名されていないため、電話機は新しい ITL ファイルまたは設定ファイルを受け入れできません。
電話機の既存の ITL にリストされている TVS サーバは、電話機が新しいクラスタに移動されると、到達不能になる場合があります。
TVS サーバが証明書の確認のために到達可能であるとしても、古いクラスタ サーバには新しいサーバの証明書がない場合があります。
これら 3 つの問題のうち 1 つ以上が発生する場合に考えられる解決策の 1 つは、クラスタ間で移動しているすべての電話機から ITL ファイルを手動で削除することです。 ただし、これは電話機の台数が増えるにつれて大変な労力を必要とするため、解決策としては望ましくありません。
最も推奨されるオプションは、Cisco Unified CM のエンタープライズ パラメータの Prepare Cluster for Rollback to pre-8.0 を使用することです。 このパラメータを True に設定すると、電話機は、空の TVS および TFTP の証明書セクションを含む特殊な ITL ファイルをダウンロードします。
電話機に空の ITL ファイルがある場合、電話機は、(Unified CM 8.x よりも前のクラスタへの移行の場合)署名されていない設定ファイルを受け入れ、(別の Unified CM 8.x クラスタへの移行の場合)新しい ITL ファイルも受け入れます。
空の ITL ファイルは、 の順に選択して ITL をオンにすることにより、電話機で確認できます。 古い TVS サーバおよび TFTP サーバが以前存在していた場所には空のエントリが表示されます。
電話機は、新しい空の ITL ファイルをダウンロードするまでの間に限り、古い Unified CM サーバにアクセスできる必要があります。
古いクラスタをオンラインにしておく場合は、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを無効にして、デフォルトのセキュリティを元に戻します。
証明書の一括エクスポート
手順新旧両方のクラスタが同時にオンラインである場合、証明書の一括移行の方法を使用できます。
Cisco Unified IP Phone は、ITL ファイルまたは ITL ファイル内に存在する TVS サーバと照合して、ダウンロードされるすべてのファイルを確認することに留意してください。 電話機を新しいクラスタに移動する必要がある場合、新しいクラスタが提示する ITL ファイルは、古いクラスタの TVS 証明書ストアによって信頼されている必要があります。
(注)
証明書の一括エクスポートの方法は、電話機を移行している間、ネットワーク接続を保ちながら両方のクラスタがオンラインである場合にだけ有効です。
ステップ 1 [Cisco Unifiedオペレーティングシステムの管理(Cisco Unified Operating System Administration)] で、 の順に選択します。 ステップ 2 証明書を新しい宛先クラスタ(TFTP のみ)から中央の SFTP サーバにエクスポートします。 ステップ 3 証明書の一括インターフェイスを使用して、SFTP サーバで証明書(TFTP のみ)を統合します。 ステップ 4 元のクラスタでは、証明書の一括機能を使用して、中央の SFTP サーバから TFTP 証明書をインポートします。 ステップ 5 DHCP オプション 150 またはその他の方法を使用して、電話機が新しい宛先クラスタを指すようにします。 電話機は、新しい宛先クラスタの ITL ファイルをダウンロードし、既存の ITL ファイルと照合して確認を行います。 証明書は既存の ITL ファイル内に存在しないため、電話機は、新しい ITL ファイルの署名を確認するように古い TVS サーバに要求します。 電話機は、この要求を行うために、TCP ポート 2445 の古い元のクラスタに TVS クエリーを送信します。
証明書のエクスポート、統合、およびインポートのプロセスが正常に処理されると、TVS は成功したことを返し、電話機はメモリ内の ITL ファイルを新しくダウンロードした ITL ファイルで置き換えます。
これで電話機は、新しいクラスタから署名済みの設定ファイルをダウンロードおよび確認できます。
ITL ファイルの一括リセットの実行
手順Unified Communications Manager クラスタのデバイスがロックされ、信頼済みステータスを失った場合は、CLI コマンドの utils itl reset でアイデンティティ信頼リスト(ITL)の一括リセットを実行します。 このコマンドは、新しい ITL リカバリ ファイルを生成します。
ヒント
Unified Communications Manager の新規インストールを実行する場合はいつでも、できるだけ早く ITL キーをエクスポートし、 Disaster Recovery System を通じてバックアップを実行します。
ITL リカバリ ペアをエクスポートする CLI コマンドは次のとおりです。
file get tftp ITLRecovery.p12SFTP サーバ(キーがエクスポートされる場所)とパスワードを入力するプロンプトが表示されます。
ステップ 1 次のいずれかの手順を実行します。 utils itl reset localkey については、ローカル キーがパブリッシャにあります。 この手順により、システム上の既存のファイルが取得され、そのファイルの署名がリカバリ キー署名に置き換えられて、新しい ITL ファイルが生成されます。 その後、キーがクラスタの TFTP サーバにコピーされます。
ステップ 2 show itl を実行してリセットが正常に行われたことを確認します。 ステップ 3 Cisco Unified Communications Manager の管理ページから、 を選択します。 ステップ 4 [リセット(Reset)] を選択します。 デバイスが再起動されます。 ITLRecovery キーによって署名されている ITL ファイルをダウンロードして設定ファイルを受け入れる準備が完了します。
ステップ 5 TFTP サービスを再起動し、すべてのデバイスを再起動します。 デバイスにより、TFTP キーを使用して署名されている ITL ファイルがダウンロードされ、もう一度 Unified Communications Manager に正しく登録されます。