この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
• 「Certificate Authority Proxy Function の概要」
• 「Cisco CallManager Serviceability での CAPF の設定」
• 「4.0サブスクライバ サーバから 4.0 パブリッシャ データベース サーバへの CAPF 1.0(1) データのコピー」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「ローカルで有効な証明書のインストールおよびアップグレード」
• 「Phone Configuration ウィンドウの CAPF 設定」
Certificate Authority Proxy Function (CAPF)は Cisco CallManager と共に自動的にインストールされ、設定に応じて次のタスクを実行します。
• ローカルで有効な証明書を、サポートされている Cisco IP Phone モデルに対して発行する。
• SCEP を使用して、サポートされる Cisco IP Phone モデルに代わって、サードパーティの認証局による証明書を要求する。
• 電話機にある既存のローカルで有効な証明書をアップグレードする。
• 電話機の証明書を表示およびトラブルシューティングするために取得する。
Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有なキー ペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、各サーバの C:\Program Files\Cisco\Certificates を参照して次のファイルを検索します。
電話機が CAPF と対話するときに、電話機はその公開キーと秘密キーのペアを生成し、署名付きの暗号化メッセージで公開キーを CAPF サーバへ転送します。秘密キーはそのまま電話機に残り、外部に公開されることはありません。Cisco CallManager Administration での設定に応じて、CAPF は電話機の証明書に署名するか、またはサードパーティのシスコ認定 CA サーバに対する SCEP プロトコル プロキシとして動作し、電話機の証明書に署名する場合があります。その後で CAPF は署名付きの暗号化メッセージで証明書を電話機に戻します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
• 電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。これらの値は設定することができません。
• 電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合に当たります。証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。
ヒント 電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。
ヒント キー生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。キー生成の完了には 30 分以上かかります。
証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。
証明書用に 2048 ビットのキーを選択すると、電話機の起動およびフェールオーバー中に電話機、Cisco CallManager、および保護された SRST 対応ゲートウェイとの間で接続を確立するのに 60 秒以上かかる場合があります。最高のセキュリティ レベルを必要としている場合を除き、2048 ビットのキーは設定しないでください。
次に、ユーザまたは Cisco CallManager によって電話機がリセットされたときに CAPF が Cisco IP Phone 7960 および 7940 とどのように相互対話するかについて説明します。
次の例では、LSC が電話機内にまだ存在しない場合や、CAPF Authentication Mode に By Existing Certificate が選択されている場合に、CAPF 証明書操作が失敗します。
例:ノンセキュアの Device Security Mode
この例では、Device Security Mode をノンセキュアに、CAPF Authentication Mode を By Null String または By Existing Certificate (Precedence...) に設定した後に電話機がリセットされます。電話機は、リセット後すぐにプライマリ Cisco CallManager に登録し、設定ファイルを受け取ります。次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。LSC のインストール後、電話機は Device Support Mode を Authenticated または Encrypted に設定します。
例:認証済みまたは暗号化済みの Device Security Mode
この例では、Device Security Mode を認証済みまたは暗号化済みに、CAPF Authentication Mode を By Null String または By Existing Certificate (Precedence...) に設定した後に電話機がリセットされます。CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco CallManager に登録しません。セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。
この例では、電話機は CAPF サーバに自動的に接続しないので、By Authentication String を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。
• Cisco CallManager 4.1 にアップグレードする前に、次の項を確認します。
–「4.0サブスクライバ サーバから 4.0 パブリッシャ データベース サーバへの CAPF 1.0(1) データのコピー」
• CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF を使用するには、パブリッシャ データベース サーバで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
• スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。
• Cisco CallManager 4.1 クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。
• 証明書操作の間、パブリッシャ データベース サーバが実行中で正しく機能していることを確認します。
• 証明書操作の間、電話機が正しく機能していることを確認します。
• Microsoft Certificate Services ソフトウェアが Windows 2003 サーバで実行されている場合は、Microsoft Certificate Services を CAPF で使用することもできます。このソフトウェアの使用方法、またはトラブルシューティングのサポートについては、認証局のベンダーに直接連絡してください。
CAPF が Microsoft Certificate Services による証明書を要求する場合は、IP アドレスまたはホスト名など、この認証局の必要な設定情報を該当する CAPF サービス パラメータに入力する必要があります。
Microsoft Certificate Services を使用する場合は、Microsoft Certificate Services をインストールしたサーバに SCEP アドオンをインストールする必要があります。SCEP アドオンを入手するには、認証局のベンダーに直接連絡してください。
ヒント サードパーティの認証局は、ユーザが Cisco CallManager Administration で設定した CAPF 設定を上書きする証明書発行ポリシーを強制する場合があります。サードパーティの Certificate Authority (CA; 認証局)を CAPF で使用する前に、認証局のベンダーによる資料を参照して、証明書の発行に影響を及ぼす可能性のある制限事項がないことを確認してください。
• Keon Utility を使用して CAPF の証明書を生成することもできます。IP アドレスまたはホスト名など、この認証局の必要な設定情報を該当する CAPF サービス パラメータに入力する必要があります。また、該当するサービス パラメータ フィールドに Keon Jurisdiction ID を入力する必要もあります。
Keon ソフトウェアの使用方法、またはトラブルシューティングのサポートについては、認証局のベンダーに直接連絡してください。
• Keon Utility または Microsoft Certificate Services を CAPF で使用するには、次の Object ID を定義する必要があります。次の設定の使用方法については、認証局のベンダーによる資料を参照してください。
–(1.3.6.1.5.5.7.3.1) Server SSL/TLS authentication
–(1.3.5.1.5.5.7.3.2) Client SSL/TLS authentication
–(1.3.6.1.5.5.7.3.5) IPSec end system authentication
ヒント Cisco IP Telephony Backup and Restore System (BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは、Cisco CallManager によって情報が Cisco CallManager データベースに格納されるためです。
次の作業を Cisco CallManager Serviceability で実行します。
• Cisco Certificate Authority Proxy Function サービスをアクティブにする。
ローカルで有効な証明書をインストールまたは上書きする前に、次の詳細を確認してください。
• Cisco CallManager 4.0 パブリッシャ データベース サーバに CAPF がインストールされていた Cisco CallManager 4.0 からのアップグレード:Cisco CallManager 4.0 で証明書の操作を実行し、CAPF 1.0(1) をパブリッシャ データベース サーバ上で実行していた場合は、最新の操作ステータスが Cisco CallManager 4.1 データベースに移行されます。
• Cisco CallManager 4.0 サブスクライバ サーバに CAPF がインストールされていた Cisco CallManager からのアップグレード:Cisco CallManager 4.0 で証明書の操作を実行し、CAPF 1.0(1) をサブスクライバ サーバ上で実行していた場合は、CAPF データを 4.0 パブリッシャ データベース サーバにコピーしてから、クラスタを Cisco CallManager 4.1 にアップグレードする必要があります。
• Cisco CallManager 4.1(x) のいずれかのリリースから、以降のリリースの Cisco CallManager 4.1(x) へのアップグレード:アップグレードによって CAPF データは自動的に移行されます。
• 「Certificate Authority Proxy Function の概要」
• 「4.0サブスクライバ サーバから 4.0 パブリッシャ データベース サーバへの CAPF 1.0(1) データのコピー」
表4-1 に、ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングする場合に実行する作業のリストを示します。
|
|
|
---|---|---|
ローカルで有効な証明書が電話機に存在するかどうかを判別します。 CAP 1.0(1) データを Cisco CallManager 4.1(3) パブリッシャ データベース サーバにコピーする必要があるかどうかを判別します。 |
• 「Manufacture-Installed Certificate (MIC)が IP Phone 内に存在することの確認」 • 「ローカルで有効な証明書が IP Phone 上に存在することの確認」 • 「4.0サブスクライバ サーバから 4.0 パブリッシャ データベース サーバへの CAPF 1.0(1) データのコピー」 |
|
Cisco CallManager 4.0 で CAPF utility を使用していて、CAPF データが Cisco CallManager 4.1 データベースに存在することを確認した場合は、Cisco CallManager 4.0 で使用していた CAPF utility を削除します。 |
Settings > Control Panel を選択します。 Add/Remove Programs をダブルクリックして、ユーティリティを探します。ユーティリティを削除します。 |
|
Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。 |
||
Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。 |
||
電話機のローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングするには、Cisco CallManager Administration または BAT を使用します。 |
• 「ローカルで有効な証明書のインストールおよびアップグレード」 |
|
CAPF を使用するデバイスのリストを表示するには、Cisco CallManager Administration で CAPF レポートを生成します。 |
||
• 「ローカルで有効な証明書が IP Phone 上に存在することの確認」 • 「Manufacture-Installed Certificate (MIC)が IP Phone 内に存在することの確認」 |
次に示す手順は、「既存の CAPF データの移行」と併せて使用してください。ファイルをコピーするには、次の手順を実行します。
ステップ 1 CAPF 1.0 がインストールされているマシンから Cisco CallManager 4.0 がインストールされているパブリッシャ データベース サーバに、 表4-2 のファイルをコピーします。
|
コピー元マシン内の場所 |
データベース サーバ内の場所 |
---|---|---|
ステップ 2 クラスタ内のすべてのサーバを Cisco CallManager 4.1 にアップグレードします。
ステップ 3 クラスタを Cisco CallManager 4.1 にアップグレードしたら、Cisco CTL クライアントをアップグレードし、電話機を使用する前にクライアントを実行します。Cisco CTL クライアントによって、CAPF 証明書がクラスタ内のすべてのサーバにコピーされます。
ステップ 4 Cisco CallManager 4.0 で使用していた CAPF utility をアンインストールします。 表4-1 を参照してください。
ステップ 5 詳細については、「新規 CAPF 証明書の生成」を参照してください。
Cisco CallManager 4.1 では、Cisco CallManager Serviceability で Certificate Authority Proxy Function サービスが自動的にアクティブになりません。
このサービスは、パブリッシャ データベース サーバ上だけでアクティブにします。Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、「CTL ファイルの更新」の説明に従って CTL ファイルを更新する必要があります。
ステップ 1 Cisco CallManager Serviceability で Tools > Service Activation の順に選択します。
ステップ 2 ウィンドウの左側のペインで、パブリッシャ データベース サーバを選択します。
ステップ 3 Certificate Authority Proxy Function サービスのチェックボックスをオンにします。
証明書の生成に Microsoft Certificate Services または Keon Utility を使用している場合、Cisco CallManager Administration で一部の CAPF サービス パラメータを更新する必要があります。
CAPF Service Parameter ウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数、キー サイズなどの情報も表示されます。
Cisco CallManager Administration で CAPF サービス パラメータを表示する前に、「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って Certificate Authority Proxy Function サービスをアクティブにする必要があります。
CAPF サービス パラメータを更新するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で Service > Service Parameter の順に選択します。
ステップ 2 Server ドロップダウン リスト ボックスから、パブリッシャ データベース サーバを選択します。
ステップ 3 Service ドロップダウン リスト ボックスから、 Cisco Certificate Authority Proxy Function サービスを選択します。
ステップ 4 CAPF サービス パラメータを更新します。Service Parameter ウィンドウで i ボタンをクリックし、次のサービス パラメータに関する説明を表示します。
• Duration of Certificate Validity (years)
• Maximum Allowable Time for Key Generation (minutes)
• Maximum Allowable Attempts for Key Generation
• Certificate Authority Address
ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
次のエンタープライズ パラメータは CAPF をサポートしています。
• CAPF Operation Expires in (days)
ヒント Cisco CallManager Administration のパラメータにアクセスするには、System > Enterprise Parameters の順に選択します。パラメータの説明を表示するには、Enterprise Parameters ウィンドウに表示される i ボタンをクリックします。変更内容を有効にするには、パラメータの更新後に電話機をリセットする必要があります。
• 「Certificate Authority Proxy Function の概要」
CAPF を使用するときに、 表4-3 を参照してください。
Certificate Authority Proxy Function を使用するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を検索します。電話機の検索については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
ステップ 3 表4-3 の説明に従って、設定内容を入力します。
ステップ 6 Install/Upgrade Certificate Operation オプションと By Authentication String モード オプションを選択した場合は、電話機に認証文字列を入力する必要があります。この作業を実行する方法については、「電話機での認証文字列の入力」を参照してください。
• 「Certificate Authority Proxy Function の概要」
• 「Phone Configuration ウィンドウの CAPF 設定」
CAPF では、シスコの製造過程で電話機にインストールされた証明書は削除しません。CAPF で削除するのは、CAPF またはシスコ認定のサードパーティ認証局が発行した証明書だけです。
電話機ではなく Cisco CallManager Administration から証明書を削除するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 ローカルで有効な証明書を削除する電話機を検索します。CAPF を使用する電話機の検索方法については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
ステップ 3 Certificate Operation ドロップダウン リスト ボックスから、 Delete オプションを選択します。
ステップ 6 By Authentication String モードを選択した場合は、証明書を取り消す文字列を入力する必要があります。
ステップ 7 証明書の発行にシスコ認定のサードパーティ認証局を使用していた場合、その認証局が証明書を取り消したことを確認します。この作業を実行する方法については、サードパーティの認証局ベンダーにお問い合せください。
証明書が認証局によって電話機から削除されると、Phone Configuration ウィンドウの Operation Status フィールドに Delete Success と表示されます。
• 「Certificate Authority Proxy Function の概要」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「ローカルで有効な証明書のインストールおよびアップグレード」
• 「Phone Configuration ウィンドウの CAPF 設定」
表4-3 は、Cisco CallManager Administration の Phone Configuration ウィンドウにある CAPF 設定について説明しています。
• 「Certificate Authority Proxy Function の概要」
• 「ローカルで有効な証明書のインストールおよびアップグレード」
多数のローカルで有効な証明書を同時にインストール、アップグレード、削除、またはトラブルシューティングする場合には、クラスタで実行されているバージョンの Cisco CallManager と互換性のある Cisco Bulk Administration Tool を使用する必要があります。
BAT を使用して証明書をインストールまたは削除する前に、Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
証明書のインストールは、スケジューリングされたメンテナンス画面で行うことを強く推奨します。これは、証明書の生成によってコール処理が中断される可能性があるためです。
Cisco CallManager Administration では、CAPF レポートを生成して証明書の操作ステータス、認証文字列、またはリストされたデバイスの認証モードを確認することができます。CAPF レポートを生成したら、レポートを CSV ファイルで表示することができます。
ステップ 1 Cisco CallManager Administration で Device > Device Settings > CAPF Report の順に選択します。
ステップ 2 レポートに表示するデバイスを検索するには、Find/List ドロップダウン リスト ボックスから検索対象を選択します。
ステップ 4 CAPF レポートを CSV ファイルで表示するには、ウィンドウの右上隅にある View the Report in File リンクをクリックします。
ステップ 5 必要に応じて、CSV ファイルを安全な場所に保存して修正することもできます。
• 「Certificate Authority Proxy Function の概要」
LSC Status を選択して電話機を検索およびリストする方法については、「認証、暗号化、LSC ステータスによる電話機の検索」を参照してください。
By Authentication String モードを選択して Cisco CallManager で認証文字列を生成した場合、ローカルで有効な証明書をインストールする前に、電話機に認証文字列を入力する必要があります。
ヒント 電話機ユーザは次の手順を実行して、証明書をインストールすることができます。認証文字列は 1 回の使用に限って適用されます。
• CAPF 証明書が CiscoCTL ファイル内に存在することを確認します。
• CAPF 証明書が Cisco CallManager サーバの証明書フォルダに存在することを確認します。それには、サーバで C:\Program Files\Cisco\Certificates を参照します。
• 「Certificate Authority Proxy Function サービスのアクティブ化」で説明されているように、Cisco Certificate Authority Proxy Function サービスをアクティブにしたことを確認します。
• パブリッシャ データベース サーバが実行中で正しく機能していることを確認します。証明書のインストールごとにサーバが実行していることを確認します。
• 署名付きイメージが電話機に存在することを確認します。使用している電話機モデルをサポートする Cisco IP Phone の管理マニュアルを参照してください。
• Phone Configuration ウィンドウまたは CAPF Report ウィンドウに表示される認証文字列を入手します。
ステップ1 Phone Configuration ウィンドウまたは CAPF Report ウィンドウから、デバイスの CAPF 認証文字列を入手します。
ステップ 2 デバイスが Cisco CallManager に登録されていることを確認します。
ステップ 3 デバイス セキュリティ モードが Nonsecure であることを確認します。
ステップ 4 ノンセキュアの Cisco IP Phone model 7970、7960、または 7940 で Settings ボタンを押します。
ステップ 5 Settings メニューで Security Configuration オプションまでスクロールし、 Select ソフトキーを押します。
ヒント 電話メニューがロックされている場合は、電話機のマニュアルの説明に従ってメニューをロック解除します。
ステップ 6 LSC オプションまでスクロールして、 Update ソフトキーを押します。
ステップ 7 電話機の 4 ~ 10 桁の認証文字列を入力して、 Submit を押します。
ヒント Submit を押す前に認証文字列を変更する必要がある場合は、<< を押します。
電話機は現在の CAPF 設定に応じて、証明書をインストール、更新、削除、または取り出します。
電話機に表示されるメッセージを確認することで、証明書操作の進行状況を監視します。Submit を押すと、Pending というメッセージが LSC オプションの下に表示されます。電話機は公開キーと秘密キーのペアを生成し、電話機に関する情報を表示します。電話機がプロセスを正常に完了すると、成功を示すメッセージが表示されます。失敗を示すメッセージが電話機に表示された場合は、間違った認証文字列を入力したか、電話機でアップグレードを有効にしていませんでした。「トラブルシューティング」を参照してください。
Stop オプションを選択すれば、いつでもプロセスを停止することができます。
電話機に証明書がインストールされたことを確認するには、 Settings > Model Information を選択し、LSC 設定を表示します。この設定に、Installed または Not Installed と示されます。
• 「Phone Configuration ウィンドウの CAPF 設定」
• 「Bulk Administration Tool による CAPF の使用方法」
• Cisco IP Phone 7960G/7940G アドミニストレーション ガイド for Cisco CallManager