Cisco CallManager セキュリティ ガイド Release 4.1(2)

• 「Cisco CallManager Serviceability での CAPF の設定」

• 「4.0サブスクライバサーバから 4.0 パブリッシャデータベースサーバへの CAPF 1.0(1) データのコピー」

• 「Certificate Authority Proxy Function サービスのアクティブ化」

• 「CAPF エンタープライズパラメータの更新」

• 「CAPF サービスパラメータ」

• 「ローカルで有効な証明書のインストールおよびアップグレード」

• 「LSC Status の選択による電話機の検索」

• 「CAPF レポートの生成」

Certificate Authority Proxy Function の概要

Certificate Authority Proxy Function （CAPF）は Cisco CallManager と共に自動的にインストールされ、設定に応じて次のタスクを実行します。

• ローカルで有効な証明書を、サポートされている Cisco IP Phone モデルに対して発行する。

• SCEP を使用して、サポートされる Cisco IP Phone モデルに代わって、サードパーティの認証局による証明書を要求する。

• 電話機にある既存のローカルで有効な証明書をアップグレードする。

• 電話機の証明書を表示およびトラブルシューティングするために取得する。

• 電話機にあるローカルで有効な証明書を削除する。

• 製造元でインストールされる証明書によって認証する。

Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有なキーペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、各サーバの C:\Program Files\Cisco\Certificates を参照して次のファイルを検索します。

• DER 符号化形式の場合：CAPF.cer

• PEM 符号化形式の場合：CAPF.cer と同じ通常名文字列が含まれる .0 拡張子ファイル

関連項目

Cisco IP Phone と CAPF の対話

電話機が CAPF と対話するときに、電話機はその公開キーと秘密キーのペアを生成し、署名付きメッセージで公開キーを CAPF サーバへ転送します。秘密キーはそのまま電話機に残り、外部に公開されることはありません。Cisco CallManager Administration での設定に応じて、CAPF は電話機の証明書に署名するか、またはサードパーティのシスコ認定 CA サーバに対する SCEP プロトコルプロキシとして動作し、電話機の証明書に署名する場合があります。その後で CAPF は署名付きメッセージで証明書を電話機に戻します。

次の情報は、通信または電源の障害が発生した場合に適用されます。

電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。これらの値は設定することができません。

電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合に当たります。証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。

ヒント 電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。

関連項目

–「4.0サブスクライバサーバから 4.0 パブリッシャデータベースサーバへの CAPF 1.0(1) データのコピー」

• Cisco IP Phone Administration Guide for Cisco CallManager

CAPF システムの対話および要件

CAPF には、次の要件があります。

• Cisco CallManager 4.1 にアップグレードする前に、次の項を確認します。

–「既存の CAPF データの移行」

• CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF を使用するには、パブリッシャデータベースサーバで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。

• スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。

• Cisco CallManager 4.1 クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。

• 証明書操作の間、パブリッシャデータベースサーバが実行中で正しく機能していることを確認します。

• 証明書操作の間、電話機が正しく機能していることを確認します。

• Microsoft Certificate Services ソフトウェアが Windows 2003 サーバで実行されている場合は、Microsoft Certificate Services を CAPF で使用することもできます。このソフトウェアの使用方法、またはトラブルシューティングのサポートについては、認証局のベンダーに直接連絡してください。

CAPF が Microsoft Certificate Services による証明書を要求する場合は、IP アドレスまたはホスト名など、この認証局の必要な設定情報を該当する CAPF サービスパラメータに入力する必要があります。

Microsoft Certificate Services を使用する場合は、Microsoft Certificate Services をインストールしたサーバに SCEP アドオンをインストールする必要があります。SCEP アドオンを入手するには、認証局のベンダーに直接連絡してください。

ヒント サードパーティの Certificate Authority （CA; 認証局）を CAPF で使用する前に、認証局のベンダーによる資料を参照して、証明書の発行に影響を及ぼす可能性のある制限事項がないことを確認してください。

• Keon Utility を使用して CAPF の証明書を生成することもできます。IP アドレスまたはホスト名など、この認証局の必要な設定情報を該当する CAPF サービスパラメータに入力する必要があります。また、該当するサービスパラメータフィールドに Keon Jurisdiction ID を入力する必要もあります。

Keon ソフトウェアの使用方法、またはトラブルシューティングのサポートについては、認証局のベンダーに直接連絡してください。

• Keon Utility または Microsoft Certificate Services を CAPF で使用するには、次の Object ID を定義する必要があります。次の設定の使用方法については、認証局のベンダーによる資料を参照してください。

–(1.3.6.1.5.5.7.3.1) Server SSL/TLS authentication

–(1.3.5.1.5.5.7.3.2) Client SSL/TLS authentication

–(1.3.6.1.5.5.7.3.5) IPSec end system authentication

ヒント Cisco IP Telephony Backup and Restore System （BARS）を使用して、CAPF データおよびレポートをバックアップすることができます。これは、Cisco CallManager によって情報が Cisco CallManager データベースに格納されるためです。

Cisco CallManager Serviceability での CAPF の設定

次の作業を Cisco CallManager Serviceability で実行します。

• Cisco Certificate Authority Proxy Function サービスをアクティブにする。

• CAPF 用のトレース設定を行う。

関連項目

• Cisco CallManager Serviceability アドミニストレーションガイド

• Cisco CallManager Serviceability System Guide

既存の CAPF データの移行

注意ここで説明する作業の実行に失敗すると、CAPF データが失われる可能性があります。

ローカルで有効な証明書をインストールまたは上書きする前に、次の詳細を確認してください。

• Cisco CallManager 4.0 パブリッシャデータベースサーバに CAPF がインストールされていた Cisco CallManager 4.0 からのアップグレード：Cisco CallManager 4.0 で証明書の操作を実行し、CAPF 1.0(1) をパブリッシャデータベースサーバ上で実行していた場合は、最新の操作ステータスが Cisco CallManager 4.1 データベースに移行されます。

• Cisco CallManager 4.0 サブスクライバサーバに CAPF がインストールされていた Cisco CallManager からのアップグレード：Cisco CallManager 4.0 で証明書の操作を実行し、CAPF 1.0(1) をサブスクライバサーバ上で実行していた場合は、CAPF データを 4.0 パブリッシャデータベースサーバにコピーしてから、クラスタを Cisco CallManager 4.1 にアップグレードする必要があります。

注意 Cisco CallManager 4.1 へアップグレードする前にデータをコピーできなかった場合、Cisco CallManager 4.0 サブスクライバサーバ上の CAPF データは Cisco CallManager 4.1 データベースに移行されず、データは失われる可能性があります。データが失われた場合、CAPF utility 1.0(1) を使用して発行したローカルで有効な証明書は電話機に残ります。CAPF 4.1(2) は証明書を再発行しますが、証明書は有効ではありません。

• Cisco CallManager 4.1(x) のいずれかのリリースから、以降のリリースの Cisco CallManager 4.1(x) へのアップグレード：アップグレードによって CAPF データは自動的に移行されます。

• 「4.0サブスクライバサーバから 4.0 パブリッシャデータベースサーバへの CAPF 1.0(1) データのコピー」

CAPF の設定用チェックリスト

表 4-1 に、ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングする場合に実行する作業のリストを示します。

表 4-1 CAPF の設定用チェックリスト
設定手順		関連手順および関連項目
ステップ 1	ローカルで有効な証明書が電話機に存在するかどうかを判別します。 CAP 1.0(1) データを Cisco CallManager 4.1(2) パブリッシャデータベースサーバにコピーする必要があるかどうかを判別します。	• 「Manufactured-Installed Certificate（MIC）が IP Phone 内に存在することの確認」 • 「ローカルで有効な証明書が IP Phone 上に存在することの確認」 • 「既存の CAPF データの移行」 • 「4.0サブスクライバサーバから 4.0 パブリッシャデータベースサーバへの CAPF 1.0(1) データのコピー」
ステップ 2	Cisco CallManager 4.0 で CAPF utility を使用していて、CAPF データが Cisco CallManager 4.1 データベースに存在することを確認した場合は、Cisco CallManager 4.0 で使用していた CAPF utility を削除します。	Settings > Control Panel を選択します。 Add/Remove Programs をダブルクリックして、ユーティリティを探します。ユーティリティを削除します。
ステップ 3	Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。ヒントこのサービスは、すべての CAPF 操作時に実行されている必要があります。またこのサービスは、CTL ファイルに CAPF 証明書を組み込むために、Cisco CTL クライアントでも実行されている必要があります。	「Certificate Authority Proxy Function サービスのアクティブ化」
ステップ 4	Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。	「CiscoCTL クライアントの設定」
ステップ 5	必要に応じて、CAPF サービスパラメータを更新します。	• 「CAPF サービスパラメータの更新」 • 「CAPF サービスパラメータ」
ステップ 6	電話機のローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングするには、Cisco CallManager Administration または BAT を使用します。	• 「ローカルで有効な証明書のインストールおよびアップグレード」 • 「Phone Configuration ウィンドウの CAPF 設定」 • 「Bulk Administration Tool による CAPF の使用方法」
ステップ 7	CAPF を使用するデバイスのリストを表示するには、Cisco CallManager Administration で CAPF レポートを生成します。	「CAPF レポートの生成」
ステップ 8	証明書の操作に必要な場合は、電話機に認証文字列を入力します。	「電話機での認証文字列の入力」
ステップ 9	証明書の操作が予定したとおりに正常終了したことを確認します。	• 「ローカルで有効な証明書が IP Phone 上に存在することの確認」 • 「Manufactured-Installed Certificate（MIC）が IP Phone 内に存在することの確認」

4.0サブスクライバサーバから 4.0 パブリッシャデータベースサーバへの CAPF 1.0(1) データのコピー

注意 CAPF utility 1.0(1) を Cisco CallManager 4.0 サブスクライバサーバにインストールした場合、CAPF データを 4.0 パブリッシャデータベースサーバにコピーしてから、Cisco CallManager 4.1 にアップグレードする必要があります。この作業を実行しないと、CAPF データが失われることがあります。たとえば、C:\Program Files\Cisco\CAPF\CAPF.phone にある電話機レコードファイルが失われる可能性があります。データが失われると、CAPF utility 1.0(1) を使用して発行したローカルで有効な証明書は電話機に残ります。CAPF 4.1(2) は証明書を再発行しますが、証明書は有効ではありません。

次に示す手順は、「既存の CAPF データの移行」と併せて使用してください。ファイルをコピーするには、次の手順を実行します。

手順

ステップ 1 CAPF 1.0 がインストールされているマシンから Cisco CallManager 4.0 がインストールされているパブリッシャデータベースサーバに、表 4-2 のファイルをコピーします。

表 4-2 サーバからサーバへのコピー
コピー対象ファイル	CAPF 1.0 がインストールされているコピー元マシン内の場所	Cisco CallManager 4.0 がインストールされているコピー先パブリッシャデータベースサーバ内の場所
*.0	C:\Program Files\Cisco\CAPF	C:\Program Files\Cisco\Certificates
CAPF.phone	C:\Program Files\Cisco\CAPF	C:\Program Files\Cisco\CAPF
CAPF.cfg ファイル	C:\Program Files\Cisco\CAPF	C:\Program Files\Cisco\CAPF

ステップ 2 クラスタ内のすべてのサーバを Cisco CallManager 4.1 にアップグレードします。

ステップ 3 クラスタを Cisco CallManager 4.1 にアップグレードしたら、Cisco CTL クライアントをアップグレードし、電話機を使用する前にクライアントを実行します。Cisco CTL クライアントによって、CAPF 証明書がクラスタ内のすべてのサーバにコピーされます。

ステップ 4 Cisco CallManager 4.0 で使用していた CAPF utility を削除します。表 4-1 を参照してください。

Certificate Authority Proxy Function サービスのアクティブ化

Cisco CallManager 4.1 では、Cisco CallManager Serviceability で Certificate Authority Proxy Function サービスが自動的にアクティブになりません。

このサービスは、パブリッシャデータベースサーバ上だけでアクティブにします。Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、「CTL ファイルの更新」の説明に従って CTL ファイルを更新する必要があります。

サービスをアクティブにするには、次の手順を実行します。

手順

ステップ 1 Cisco CallManager Serviceability で Tools > Service Activation の順に選択します。

ステップ 2 ウィンドウの左側のペインで、パブリッシャデータベースサーバを選択します。

ステップ 3 Certificate Authority Proxy Function サービスのチェックボックスをオンにします。

ステップ 4 Update をクリックします。

関連項目

• Cisco CallManager Serviceability アドミニストレーションガイド

• Cisco CallManager Serviceability Service Guide

CAPF サービスパラメータの更新

証明書の生成に Microsoft Certificate Services または Keon Utility を使用している場合、Cisco CallManager Administration で一部の CAPF サービスパラメータを更新する必要があります。

CAPF Service Parameter ウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数、キーサイズなどの情報も表示されます。

Cisco CallManager Administration で CAPF サービスパラメータを表示する前に、「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って Certificate Authority Proxy Function サービスをアクティブにする必要があります。

CAPF サービスパラメータを更新するには、次の手順を実行します。

手順

ステップ 1 Cisco CallManager Administration で Service > Service Parameter の順に選択します。

ステップ 2 Server ドロップダウンリストボックスから、パブリッシャデータベースサーバを選択します。

ステップ 3 Service ドロップダウンリストボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。

ステップ 4 表 4-3 の説明に従って、CAPF サービスパラメータを更新します。

ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。

• 「Certificate Authority Proxy Function サービスのアクティブ化」

• 「CAPF サービスパラメータ」

CAPF サービスパラメータ

表 4-3 は、「CAPF サービスパラメータの更新」と併せて使用してください。

表 4-3 CAPF サービスパラメータ
パラメータ	説明
Certificate Issuer	ドロップダウンリストボックスから、ローカルで有効な証明書を発行するエントリを選択します。ヒントこのフィールドを更新した場合は、Cisco CTL クライアントを使用して CTL ファイルを更新する必要があります。
Duration of Certificate Validity (years)	このフィールドには、ローカルで有効な証明書の有効年数を指定します。 Keon や Microsoft Certificate Services など、サードパーティの証明書発行者の場合、このフィールドには別の値が作成されている場合もあります。こうした発行者が作成する値は、このフィールドに表示されません。証明書の有効年数の詳細については、証明書の発行者にお問い合せください。
Key Size (bits)	このフィールドには、CAPF 公開キーおよび秘密キーの生成に CAPF が使用するキーサイズを指定します。
Maximum Allowable Time for Key Generation (minutes)	このフィールドには、CAPF が CAPF キーの生成を試みる時間を秒数で指定します。また、このパラメータでは電話機でキー生成プロセスが完了するのを CAPF が待つ最大分数も指定します。
Maximum Allowable Attempts for Key Generation	このフィールドには、CAPF が CAPF キーを生成しようとする最大試行回数を指定します。また、このパラメータでは電話機で対応するキーを生成できる最大試行回数も指定します。
Keon Jurisdiction ID	このフィールドには、Keon Utility で使用する Jurisdiction ID を指定します。
SCEP Port Number	このフィールドには、CAPF サーバの SCEP ポート番号を指定します。
Certificate Authority Address	Microsoft Certificate Services または Keon Utility をインストールしたサーバの IP アドレスを入力します。 Certificate Generation Method ドロップダウンリストボックスから Cisco Certificate Authority Proxy Server を選択した場合、CAPF サーバの IP アドレスを入力する必要はありません。

• 「Certificate Authority Proxy Function サービスのアクティブ化」

CAPF エンタープライズパラメータの更新

表 4-4 に示すエンタープライズパラメータは CAPF をサポートしています。Cisco CallManager Administration のパラメータにアクセスするには、 System > Enterprise Parameters の順に選択します。

ヒント 変更内容を有効にするには、パラメータの更新後に電話機をリセットする必要があります。

表 4-4 CAPF エンタープライズパラメータ
パラメータ	説明
CAPF Phone Port	このパラメータには、電話機から証明書を要求するために Cisco Authority Proxy Function サービスが使用するポートを指定します。変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
CAPF Operation Expires in (days)	このパラメータは、CAPF を使用するすべての電話機に影響します。ここには、証明書のトラブルシューティング、インストール、アップグレード、削除など、任意の CAPF 操作を完了する必要がある日数を指定します。

• 「Certificate Authority Proxy Function サービスのアクティブ化」

ローカルで有効な証明書のインストールおよびアップグレード

CAPF を使用するときに、表 4-5 を参照してください。

Certificate Authority Proxy Function を使用するには、次の手順を実行します。

手順

ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。

ステップ 2 証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を検索します。電話機の検索については、『 Cisco CallManager アドミニストレーションガイド 』を参照してください。

ステップ 3 表 4-5 の説明に従って、設定内容を入力します。

ステップ 4 Update をクリックします。

ステップ 5 Reset Phone をクリックします。

ステップ 6 Install/Upgrade Certificate Operation オプションと By Authentication String モードオプションを選択した場合は、電話機に認証文字列を入力する必要があります。この作業を実行する方法については、「電話機での認証文字列の入力」を参照してください。

ローカルで有効な証明書の削除

CAPF では、シスコの製造過程で電話機にインストールされた証明書は削除しません。CAPF で削除するのは、CAPF またはシスコ認定のサードパーティ認証局が発行した証明書だけです。

注意電話機に Manufacture Installed Certificate （MIC; 製造元でインストールされる証明書）が含まれない場合は、Locally Significant Certificate （LSC; ローカルで有効な証明書）を削除する前に、電話機のデバイスセキュリティモードをノンセキュアに変更する必要があります。デバイスセキュリティモードを変更する前に証明書を削除すると、電話機を Cisco CallManager に登録できません。デバイスセキュリティモードの変更については、「電話機のセキュリティ設定」を参照してください。

電話機ではなく Cisco CallManager Administration から証明書を削除するには、次の手順を実行します。

手順

ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。

ステップ 2 ローカルで有効な証明書を削除する電話機を検索します。CAPF を使用する電話機の検索方法については、『 Cisco CallManager アドミニストレーションガイド 』を参照してください。

ステップ 3 Certificate Operation ドロップダウンリストボックスから、 Delete オプションを選択します。

ステップ 4 Update をクリックします。

ステップ 5 Reset Phone をクリックします。

ステップ 6 By Authentication String モードを選択した場合は、証明書を取り消す文字列を入力する必要があります。

ステップ 7 証明書の発行にシスコ認定のサードパーティ認証局を使用していた場合、その認証局が証明書を取り消したことを確認します。この作業を実行する方法については、サードパーティの認証局ベンダーにお問い合せください。

証明書が認証局によって電話機から削除されると、Phone Configuration ウィンドウの Operation Status フィールドに Delete Success と表示されます。

• 「Certificate Authority Proxy Function サービスのアクティブ化」

• 「ローカルで有効な証明書のインストールおよびアップグレード」

• 「CAPF サービスパラメータ」

Phone Configuration ウィンドウの CAPF 設定

表 4-5 は、Cisco CallManager Administration の Phone Configuration ウィンドウにある CAPF 設定について説明しています。

表 4-5 CAPF 設定
設定	説明
Certificate Operation	ドロップダウンボックスから、次のオプションのいずれか 1 つを選択します。 • No Pending Operation ：証明書の操作が行われていないときに表示されます（デフォルトの設定）。 • Install/Upgrade ：電話機にローカルで有効な証明書を新しくインストールするか、あるいは既存の証明書をアップグレードします。 • Delete ：電話機に存在するローカルで有効な証明書を削除します。 • Troubleshoot ：ローカルで有効な証明書（LSC）または製造元でインストールされる証明書（MIC）を取得します。取得することで、CAPF トレースファイルで証明書のクレデンシャルを確認できます。電話機に両方の種類の証明書が存在する場合、Cisco CallManager は証明書の種類ごとに 1 つずつ、2 つのトレースファイルを作成します。 Troubleshoot オプションを選択すると、LSC または MIC が電話機に存在することを確認できます。
Authentication Mode	このフィールドによって、電話機で CAPF を認証する方法を選択することができます。ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングする場合、あるいは製造元でインストールされる証明書によって認証する場合に、このフィールドを使用します。ドロップダウンボックスから、次のオプションのいずれか 1 つを選択します。 • By Authentication String ：ユーザが電話機に CAPF 認証文字列を入力した場合だけ、ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングします。 • By Null String ：ユーザが介入することなく、自動的にローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングします。このオプションではセキュリティを一切提供しません。したがって、このオプションは安全な閉じた環境の場合にだけ選択することを強く推奨します。
	• By Existing Certificate (Precedence to LSC) ：製造元でインストールされる証明書（MIC）またはローカルで有効な証明書（LSC）が電話機に存在する場合、自動的にローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングします。LSC が電話機に存在する場合、MIC が電話機に存在するかどうかに関係なく、認証は LSC を介して行われます。MIC と LSC が電話機に存在する場合、認証は LSC を介して行われます。電話機に LSC が存在せず、MIC が存在する場合、認証は MIC を介して行われます。このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。 MIC と LSC は電話機で同時に存在できるものの、電話機は常に 1 つの証明書だけを使用して CAPF を認証します。優先されるプライマリ証明書が何らかの理由で侵害された場合、あるいはほかの証明書を介して認証する場合には、認証モードを更新する必要があります。 • By Existing Certificate (Precedence to MIC) ：LSC または MIC が電話機に存在する場合、自動的にローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングします。MIC が電話機に存在する場合、LSC が電話機に存在するかどうかに関係なく、認証は MIC を介して行われます。電話機に LSC だけが存在し MIC が存在しない場合、認証は LSC を介して行われます。このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。
Authentication String	By Authentication String オプションを選択した場合に、このフィールドは適用されます。文字列を手動で入力するか、あるいは Generate String ボタンをクリックして文字列を生成します。文字列は 4 ～ 10 桁にしてください。ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングするには、電話機ユーザまたは管理者が電話機に認証文字列を入力する必要があります。
Generate String	CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。4 ～ 10 桁の認証文字列が Authentication String フィールドに表示されます。
Key Size (bits)	ドロップダウンリストボックスから、証明書のキーサイズを選択します。デフォルト設定値は 1024 です。これ以外のオプションには、512 と 2048 があります。デフォルト設定値よりも大きなキーサイズを選択すると、電話機でキー生成に必要なエントロピーを生成するためにさらに時間がかかります。
Operation Completes by	このフィールドは Certificate Operation の Install/Upgrade、Delete、および Troubleshoot オプションをサポートしており、操作の完了が必要な期限として日付と時刻を指定します。表示される値は、パブリッシャデータベースサーバに適用されます。
Operation Status	このフィールドは証明書操作の進行状況を表示します。たとえば、<operation type> pending、failed、successful などで、operating type には Certificate Operation オプションの Install/Upgrade、Delete、または Troubleshoot が表示されます。このフィールドに表示される情報は変更できません。

• 「ローカルで有効な証明書のインストールおよびアップグレード」

Bulk Administration Tool による CAPF の使用方法

多数のローカルで有効な証明書を同時にインストール、アップグレード、削除、またはトラブルシューティングする場合には、クラスタで実行されているバージョンの Cisco CallManager と互換性のある Cisco Bulk Administration Tool を使用する必要があります。

BAT を使用して証明書をインストールまたは削除する前に、Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。

証明書のインストールは、スケジューリングされたメンテナンス画面で行うことを強く推奨します。これは、証明書の生成によってコール処理が中断される可能性があるためです。

関連項目

• 「Certificate Authority Proxy Function サービスのアクティブ化」

• Bulk Administration Tool ユーザガイド

CAPF レポートの生成

Cisco CallManager Administration では、CAPF レポートを生成して証明書の操作ステータス、認証文字列、またはリストされたデバイスの認証モードを確認することができます。CAPF レポートを生成したら、レポートを CSV ファイルで表示することができます。

CAPF レポートを生成するには、次の手順を実行します。

手順

ステップ 1 Cisco CallManager Administration で Device > Device Settings > CAPF Report の順に選択します。

ステップ 2 レポートに表示するデバイスを検索するには、Find/List ドロップダウンリストボックスから検索対象を選択します。

ステップ 3 Find をクリックします。

デバイスリストが表示されます。

ステップ 4 CAPF レポートを CSV ファイルで表示するには、ウィンドウの右上隅にある View the Report in File リンクをクリックします。

ステップ 5 必要に応じて、CSV ファイルを安全な場所に保存して修正することもできます。

LSC Status の選択による電話機の検索

LSC Status を選択して電話機を検索およびリストする方法については、「認証、暗号化、LSC ステータスによる電話機の検索」を参照してください。

関連項目

• 「トラブルシューティング」

電話機での認証文字列の入力

By Authentication String モードを選択して Cisco CallManager で認証文字列を生成した場合、ローカルで有効な証明書をインストールする前に、電話機に認証文字列を入力する必要があります。

ヒント 電話機ユーザは次の手順を実行して、証明書をインストールすることができます。認証文字列は 1 回の使用に限って適用されます。

始める前に

• CAPF 証明書が CiscoCTL ファイル内に存在することを確認します。

• CAPF 証明書が Cisco CallManager サーバの証明書フォルダに存在することを確認します。それには、サーバで C:\Program Files\Cisco\Certificates を参照します。

• 「Certificate Authority Proxy Function サービスのアクティブ化」で説明されているように、Cisco Certificate Authority Proxy Function サービスをアクティブにしたことを確認します。

• パブリッシャデータベースサーバが実行中で正しく機能していることを確認します。証明書のインストールごとにサーバが実行していることを確認します。

• 署名付きイメージが電話機に存在することを確認します。使用している電話機モデルをサポートする Cisco IP Phone の管理マニュアルを参照してください。

• Phone Configuration ウィンドウまたは CAPF Report ウィンドウに表示される認証文字列を入手します。

手順

ステップ 1 Phone Configuration ウィンドウまたは CAPF Report ウィンドウから、デバイスの CAPF 認証文字列を入手します。

ステップ 2 デバイスが Cisco CallManager に登録されていることを確認します。

ステップ 3 デバイスセキュリティモードが Nonsecure であることを確認します。

ステップ 4 ノンセキュアの Cisco IP Phone model 7970、7960、または 7940 で Settings ボタンを押します。

ステップ 5 Settings メニューで Security Configuration オプションまでスクロールし、 Select ソフトキーを押します。

ヒント 電話メニューがロックされている場合は、**# を押すとメニューをロック解除できます。

ステップ 6 LSC オプションまでスクロールして、 Update ソフトキーを押します。

ステップ 7 電話機の 4 ～ 10 桁の認証文字列を入力して、 Submit を押します。

ヒント Submit を押す前に認証文字列を変更する必要がある場合は、<< を押します。

電話機は現在の CAPF 設定に応じて、証明書をインストール、更新、削除、または取り出します。

電話機に表示されるメッセージを確認することで、証明書操作の進行状況を監視します。Submit を押すと、Pending というメッセージが LSC オプションの下に表示されます。電話機は公開キーと秘密キーのペアを生成し、電話機に関する情報を表示します。電話機がプロセスを正常に完了すると、成功を示すメッセージが表示されます。失敗を示すメッセージが電話機に表示された場合は、間違った認証文字列を入力したか、電話機でアップグレードを有効にしていませんでした。「トラブルシューティング」を参照してください。

Stop オプションを選択すれば、いつでもプロセスを停止することができます。

電話機に証明書がインストールされたことを確認するには、 Settings > Model Information を選択し、LSC 設定を表示します。この設定に、Installed または Not Installed と示されます。

関連項目