この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
自己署名証明書およびサードパーティ証明書のセキュアな交換を設定する手順の概要を次の表に示します。
ステップ 1: | [Cisco Unity Connection の管理(Cisco Unity Connection Administration)] から を選択し、トレース可能な最大デバイス数を設定する。 [デバイス レベル トレースの最大数(Max Number of Device Level Trace)] フィールドに値を入力します。 デフォルトは 12 です。 |
|
ステップ 2: | ||
ステップ 3: | 自己署名証明書 |
|
ステップ 4: | 自己署名証明書 サードパーティ証明書 |
|
ステップ 5: | 自己署名証明書 サードパーティ証明書 |
|
ステップ 6: | 自己署名証明書 署名付き証明書の Exchange IIS へのアップロード サードパーティ証明書 |
|
ステップ 7 | 自己署名証明書 サードパーティ証明書 |
|
ステップ 8: | 自己署名証明書 ルート証明書の IM and Presence サーバへのアップロード サードパーティ証明書 サードパーティの CA 署名付きの Exchange サーバ証明書がある場合は、証明書チェーン内のすべての CA 証明書を IM and Presence の信頼証明書(cup-trust)として IM and Presence にアップロードする必要があります。 |
CA は Exchange サーバ上で実行することもできますが、サードパーティの証明書交換のセキュリティを強化するために、別の Windows サーバを認証局(別名 CA)として使用することをお勧めします。
Exchange の IIS で証明書の署名要求(CSR)を作成する必要があります。作成した CSR は CA サーバによって署名されます。 証明書の [サブジェクトの別名(Subject Alternative Name (SAN))] フィールドに値が入力されている場合、その値は証明書の共通名(CN)と一致している必要があります。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット インフォメーション サービス(Internet Information Services)] を開きます。 | ||
ステップ 2 | [既定の Web サイト(Default Web Site)] を右クリックし、[プロパティ(Properties)] を選択します。 | ||
ステップ 3 | [ディレクトリ セキュリティ(Directory Security)] タブを選択します。 | ||
ステップ 4 | [サーバ証明書(Server Certificate)] を選択し、[次へ(Next)] を選択します。 | ||
ステップ 5 | [新しい証明書の作成(Create a new certificate)] を [サーバ証明書(Server Certificate)] ウィンドウから選択し、[次へ(Next)] を選択します。 | ||
ステップ 6 | [証明書の要求の送信方法(Delayed or Immediate Request)] ウィンドウで [証明書の要求を作成して後で送信する(Prepare the request now, but send it later)] を選択し、[次へ(Next)] を選択します。 | ||
ステップ 7 | デフォルトの Web サイト証明書名を受け入れ、[名前およびセキュリティの設定(Name and Security Settings)] でビット長として [2048] を選択し、[次へ(Next)] を選択します。 | ||
ステップ 8 | [組織情報(Organization Information)] ウィンドウの [組織(Organization)] フィールドに会社名、[組織単位(Organizational Unit)] フィールドに部署名をそれぞれ入力し、[次へ(Next)] を選択します。 | ||
ステップ 9 |
Exchange サーバのホスト名と IP アドレスを [サイトの一般名(Your Site's Common Name)] ウィンドウの [共通名(Common Name)] フィールドに入力し、[次へ(Next)] を選択します。
|
||
ステップ 10 | [地理情報(Geographical Information)] ウィンドウに地理情報を入力し、[次へ(Next)] を選択します。 | ||
ステップ 11 |
[証明書要求ファイル名(Certificate Request File Name)] ウィンドウに、証明書要求の適切なファイル名を入力し、CSR を保存するパスとファイル名を指定して [次へ(Next)] を選択します。
|
||
ステップ 12 | [要求ファイルの概要(Request File Summary)] ウィンドウに表示されている情報に誤りがないことを確認し、[次へ(Next)] を選択します。 | ||
ステップ 13 | [完了(Finish)] を選択します。 |
Exchange の IIS で証明書の署名要求(CSR)を作成する必要があります。作成した CSR は CA サーバによって署名されます。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット インフォメーション サービス(IIS)マネージャ(Internet Information Services (IIS) Manager)] を開きます。 | ||
ステップ 2 | IIS マネージャの左側のフレームにある [接続(Connections)] ウィンドウで [Exchange Server] を選択します。 | ||
ステップ 3 | [サーバ証明書(Server Certificates)] をダブルクリックします。 | ||
ステップ 4 | IIS マネージャの右側のフレームにある [操作(Actions)] ウィンドウで [証明書の要求の作成(Create Certificate Request)] を選択します。 | ||
ステップ 5 |
[識別名プロパティ(Distinguished Name Properties)] ウィンドウに関連情報を入力し、[次へ(Next)] を選択します。
|
||
ステップ 6 | デフォルトの暗号化サービス プロバイダーを受け入れ、[暗号化サービス プロバイダのプロパティ(Cryptographic Service Provider Properties)] ウィンドウでビット長を [2048] に設定し、[次へ(Next)] を選択します。 | ||
ステップ 7 |
[証明書要求ファイル名(Certificate Request File Name)] ウィンドウで証明書要求の適切なファイル名を入力し、[次へ(Next)] を選択します。
|
||
ステップ 8 | [要求ファイルの概要(Request File Summary)] ウィンドウに表示されている情報に誤りがないことを確認し、[次へ(Next)] を選択します。 | ||
ステップ 9 | [完了(Finish)] を選択します。 |
IIS で Exchange 用に作成されるデフォルトの SSL 証明書には、Exchange サーバの完全修飾ドメイン名(FQDN)を使用し、IM and Presence が信頼している認証局の署名を付けることを推奨します。 この手順により、CA が Exchange IIS からの CSR に署名できます。 次の手順を CA サーバで実行し、次の場所にある Exchange サーバの FQDN を設定してください。
ステップ 1 | 証明書要求ファイルを CA サーバにコピーします。 |
ステップ 2 |
次のいずれかの URL にアクセスします。
または |
ステップ 3 | [証明書の要求(Request a certificate)] を選択します。 |
ステップ 4 | [詳細証明書要求(advanced certificate request)] を選択します。 |
ステップ 5 | [ベース 64 エンコード CMC または PKCS #10 ファイルを使用して証明書要求を送信するか、ベース 64 エンコード PKCS #7 ファイルを使用して更新要求を送信する(Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file)] を選択します。 |
ステップ 6 | メモ帳などのテキスト エディタを使用して、作成した CSR を開きます。 |
ステップ 7 |
次の行から、 -----BEGIN CERTIFICATE REQUEST 次の行までの情報をすべてコピーします。 END CERTIFICATE REQUEST----- |
ステップ 8 | CSR の内容を [証明書要求(Certificate Request)] テキストボックスに貼り付けます。 |
ステップ 9 | (任意)[証明書テンプレート(Certificate Template)] ドロップダウン リストのデフォルト値は [管理者(Administrator)] テンプレートです。このテンプレートでは、サーバの認証に適した有効な署名付き証明書が作成されることもあれば、作成されないこともあります。 エンタープライズのルート CA がある場合は、[証明書テンプレート(Certificate Template)] ドロップダウン リストから [Web サーバ(Web Server)] 証明書テンプレートを選択してください。 [Web サーバ(Web Server)] 証明書テンプレートは表示されないことがあるため、CA 設定をすでに変更している場合、この手順は不要となることがあります。 |
ステップ 10 | [送信(Submit)] を選択します。 |
ステップ 11 | [管理ツール(Administrative Tools)] で を選択し、認証局を開きます。 [認証局(Certificate Authority)] ウィンドウの [保留中の要求(Pending Requests)] の下に、送信したばかりの要求が表示されます。 |
ステップ 12 | 要求を右クリックし、次の操作を実行します。 |
ステップ 13 | [発行済み証明書(Issued certificates)] を選択し、証明書が発行されていることを確認します。 |
ステップ 1 | [管理ツール(Administrative Tools)] から [認証局(Certification Authority)] を開きます。 先ほど発行した証明書の要求が [発行済み要求(Issued Requests)] に表示されます。 | ||||||||
ステップ 2 | その要求を右クリックし、[開く(Open)] を選択します。 | ||||||||
ステップ 3 | [詳細(Details)] タブを選択します。 | ||||||||
ステップ 4 | [ファイルのコピー(Copy to File)] を選択します。 | ||||||||
ステップ 5 | [証明書のエクスポート ウィザード(Certificate Export Wizard)] が表示されたら、[次へ(Next)] を選択します。 | ||||||||
ステップ 6 |
証明書のエクスポート ウィザードを完了します。
|
||||||||
ステップ 7 | IM and Presence の管理に使用するコンピュータに、cert.cer をコピーするか、FTP で送信します。 |
ここでは、署名付き CSR を IIS にアップロードする手順を説明します。 署名付き証明書をアップロードするには、IM and Presence の管理に使用するコンピュータで次の手順を実行します。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット インフォメーション サービス(Internet Information Services)] を開きます。 | ||||||||||
ステップ 2 | [インターネット インフォメーション サービス(Internet Information Services)] ウィンドウで次の手順を実行します。 | ||||||||||
ステップ 3 | [既定の Web サイト(Default Web Site)] ウィンドウで次の手順を実行します。 | ||||||||||
ステップ 4 | [Web サーバ証明書ウィザード(Web Server Certificate Wizard)] ウィンドウが表示されたら、[次へ(Next)] を選択します。 | ||||||||||
ステップ 5 |
Web Server Certificate Wizard を完了します。
証明書が信頼できる証明書ストアにない場合、署名付き CSR は信頼できません。 信頼を確立するには、次の操作を実行します。 |
ここでは、署名付き CSR を IIS にアップロードする手順を説明します。 署名付き証明書をアップロードするには、IM and Presence の管理に使用するコンピュータで次の手順を実行します。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット インフォメーション サービス(IIS)マネージャ(Internet Information Services (IIS) Manager)] を開きます。 |
ステップ 2 | IIS マネージャの左側のフレームにある [接続(Connections)] ウィンドウで [Exchange Server] を選択します。 |
ステップ 3 | [サーバ証明書(Server Certificates)] をダブルクリックします。 |
ステップ 4 | IIS マネージャの右側のフレームにある [操作(Actions)] ウィンドウで [証明書要求の完了(Complete Certificate Request)] を選択します。 |
ステップ 5 | [認証局の応答の指定(Specify Certificate Authority Response)] ウィンドウで次の操作を実行します。 |
ステップ 6 | [インターネット インフォメーション サービス(Internet Information Services)] ウィンドウで次の手順を実行し、証明書をバインドします。 |
ステップ 7 | [サイト バインディング(Site Bindings)] ウィンドウで次の手順を実行します。 |
ステップ 8 | [サイト バインディングの編集(Edit Site Binding)] ウィンドウで次の手順を実行します。 |
ステップ 1 | CA サーバにサイン インし、Web ブラウザを開きます。 |
ステップ 2 | 使用している Windows プラットフォームの種類に応じ、次のいずれかの URL にアクセスします。 |
ステップ 3 | [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] を選択します。 |
ステップ 4 | [エンコード方法(Encoding Method)] で、[Base 64] を選択します。 |
ステップ 5 | [CA 証明書のダウンロード(Download CA Certificate)] を選択します。 |
ステップ 6 |
証明書(certnew.cer)をローカル ディスクに保存します。 ルート証明書のサブジェクトの共通名(CN)がわからない場合は、外部の証明書管理ツールを使用して調べることができます。 Windows オペレーティング システムで、拡張子が .CER の証明書ファイルを右クリックし、証明書のプロパティを開きます。 |
ステップ 1 |
[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] の [証明書インポート ツール(Certificate Import Tool)] を使用して、次の操作を行います。
|
||||||
ステップ 2 |
証明書のインポート ツールによって、証明書が欠落していることがわかった場合は(通常、Microsoft サーバでは CA 証明書が欠落します)、Cisco Unified OS の管理画面の [証明書の管理(Certificate Management)] ウィンドウを使用して、手動で CA 証明書をアップロードしてください。
|
||||||
ステップ 3 | 証明書のインポート ツール(ステップ 1)に戻り、すべてのステータス テストが成功したことを確認します。 | ||||||
ステップ 4 |
すべての Exchange 信頼証明書をアップロードしたら、Cisco Presence Engine と SIP プロキシ サービスを再起動します。 を選択します。
|