Cisco Unified Communications Operating System アドミニストレーション ガイド for Cisco Unity Connection リリース 10.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: セキュリティ
セキュリティ
この章では証明書の管理と IPSec の管理について説明し、次の作業を実行する手順を説明します。
Internet Explorer のセキュリティ オプションの設定
サーバから証明書をダウンロードするには、Internet Explorer のセキュリティ設定が次のように設定されていることを確認します。
ステップ 1
Internet Explorer を起動します。
ステップ 2 [ツール(Tools)] > [インターネット オプション(Internet Options)] を選択します。
ステップ 3 [詳細設定(Advanced)] タブをクリックします。
ステップ 4 [詳細設定(Advanced)] タブの [セキュリティ(Security)] セクションまでスクロールします。
ステップ 5 必要に応じて、[暗号化されたページをディスクに保存しない(Do not save encrypted pages to disk)] チェックボックスをオフにします。
証明書と証明書信頼リストの管理
次の各項では、[証明書の管理(Certificate Management)] メニューから実行できる機能を説明します。
• 証明書の表示
• 証明書または Certificate Trust List のアップロード
(注) [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified Communications オペレーティング システムの管理に再ログインする必要があります。
証明書の表示
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
ステップ 3 証明書または信頼ストアの詳細を表示するには、そのファイル名をクリックします。
[証明書の設定(Certificate Configuration)] ウィンドウに該当の証明書の情報が表示されます。
ステップ 4 [証明書の一覧(Certificate List)] ウィンドウに戻るには、[関連リンク(Related Links)] リストの [検索/リストに戻る(Back To Find/List)] を選択し、[移動(Go)] をクリックします。
証明書のダウンロード
証明書を Cisco Unified Communications オペレーティング システム から PC にダウンロードするには、次の手順を実行します。
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
[証明書の設定(Certificate Configuration)] ウィンドウが表示されます。
ステップ 4 [ダウンロード(Download)] をクリックします。
ステップ 5 [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。
証明書の削除と再作成
• 証明書の削除
• 証明書の再生成
証明書の削除
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
ステップ 3 証明書または CTL のファイル名をクリックします。
[証明書の設定(Certificate Configuration)] ウィンドウが表示されます。
証明書の再生成
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [新規作成(Generate New)] をクリックします。
[証明書の作成(Generate Certificate)] ダイアログボックスが表示されます。
ステップ 3 [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。表示される証明書の名前の説明については、 表 6-1 を参照してください。
ステップ 4 [新規作成(Generate New)] をクリックします。
(注) Cisco Unified Communications オペレーティング システム で証明書を再作成したら、バックアップを実行して、最新のバックアップに再作成した証明書が含まれるようにします。バックアップに再作成した証明書が含まれず、何らかの理由で回復タスクを実行する必要がでた場合は、システム上の電話をそれぞれ手動でロック解除して、Cisco Unified Communications Manager に登録できるようにします。バックアップの実行に関する詳細については、『Disaster Recovery System Administration Guide』を参照してください。
証明書または Certificate Trust List のアップロード
(注) 信頼証明書は他のクラスタ ノードに自動的には配信されません。複数のノードで同じ証明書が必要な場合は、証明書を各ノードに個別にアップロードする必要があります。
次の各項では、CA ルート証明書、アプリケーション証明書、または CTL ファイルをサーバにアップロードする方法について説明します。
証明書のアップロード
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [証明書のアップロード(Upload Certificate)] をクリックします。
[証明書のアップロード(Upload Certificate)] ダイアログボックスが表示されます。
ステップ 3 [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
ステップ 4 サードパーティの CA で発行されたアプリケーション証明書をアップロードする場合は、CA ルート証明書の名前を [ルート証明書(Root Certificate)] テキストボックスに入力します。CA ルート証明書をアップロードする場合は、このテキストボックスを空白のままにします。
ステップ 5 次のいずれかの手順で、アップロードするファイルを選択します。
• [ファイルのアップロード(Upload File)] テキストボックスに、ファイルのパスを入力します。
• [参照(Browse)] ボタンをクリックしてファイルを選択し、[開く(Open)] をクリックします。
ステップ 6 ファイルをサーバにアップロードするには、[ファイルのアップロード(Upload File)] ボタンをクリックします。
Certificate Trust List のアップロード
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [証明書のアップロード(Upload Certificate)] をクリックします。
[証明書信頼リストのアップロード(Upload Certificate Trust List)] ダイアログボックスが表示されます。
ステップ 3 [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
ステップ 4 サードパーティの CA で発行されたアプリケーション証明書をアップロードする場合は、CA ルート証明書の名前を [ルート証明書(Root Certificate)] テキストボックスに入力します。CA ルート証明書をアップロードする場合は、このテキストボックスを空白のままにします。
ステップ 5 次のいずれかの手順で、アップロードするファイルを選択します。
• [ファイルのアップロード(Upload File)] テキストボックスに、ファイルのパスを入力します。
• [参照(Browse)] ボタンをクリックしてファイルを選択し、[開く(Open)] をクリックします。
ステップ 6 ファイルをサーバにアップロードするには、[ファイルのアップロード(Upload File)] ボタンをクリックします。
ディレクトリの信頼証明書のアップロード
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [証明書のアップロード(Upload Certificate)] をクリックします。
[証明書信頼リストのアップロード(Upload Certificate Trust List)] ダイアログボックスが表示されます。
ステップ 3 [証明書の名前(Certificate Name)] リストから、[ディレクトリの信頼性(directory-trust)] を選択します。
ステップ 4 アップロードするファイルを [ファイルのアップロード(Upload File)] フィールドに入力します。
ステップ 5 ファイルをアップロードするには、[ファイルのアップロード(Upload File)] ボタンをクリックします。
ステップ 6 Cisco Unified Serviceability にログインします。
ステップ 7 [Tools(ツール)] > [コントロール センターの機能サービス(Control Center - Feature Services)] の順に選択します。
ステップ 8 Cisco Dirsync サービスを再起動します。
ステップ 9 Cisco Unified Communications オペレーティング システム の CLI に管理者としてログインします。
ステップ 10 Tomcat サービスを再起動するには、コマンド utils service restart Cisco Tomcat と入力します。
ステップ 11 サービスの再起動後、SSL のディレクトリ契約を追加することができます。
サードパーティ製の CA 証明書の使用法
Cisco Unified Communications オペレーティング システム は、サード パーティの認証局(CA)が PKCS # 10 証明書署名要求(CSR)を使用して発行した証明書をサポートしています。次の表に、このプロセスの概要および参考となる文書を示します。
|
|
|
|
|---|---|---|
「証明書署名要求の生成」を参照してください。 |
||
「証明書署名要求のダウンロード」を参照してください。 |
||
アプリケーション証明書の取得に関する情報は、CA から入手してください。その他の注意事項については、「サードパーティ製の CA 証明書の取得」を参照してください。 |
||
ルート証明書の取得に関する情報は、CA から入手してください。その他の注意事項については、「サードパーティ製の CA 証明書の取得」を参照してください。 |
||
「証明書のアップロード」を参照してください。 |
||
「証明書のアップロード」を参照してください。 |
||
CAPF または Cisco Unified Communications Manager の証明書を更新した場合は、新しい CTL ファイルを作成する。 |
『 Cisco Unified Communications Manager Security Guide 』を参照してください。 |
|
すべての証明書タイプで、対応するサービスを再起動します(たとえば、Tomcat の証明書を更新した場合は Tomcat サービスを再起動します)。さらに、CAPF または Cisco Unified Communications Manager の証明書を更新した場合は、TFTP サービスも再起動します。 (注) Tomcat の証明書を更新した場合は、Cisco Unity Connection サービスアビリティで接続 IMAP サーバ サービスも再起動してください。サービスの再起動の詳細については、『Cisco Unified Communications Manager Serviceability Administration Guide 』を参照してください。 |
証明書署名要求の生成
証明書署名要求(CSR)を作成するには、次の手順を実行します。
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [CSR の作成(Generate CSR)] をクリックします。
[証明書署名要求の作成(Generate Certificate Signing Request)] ダイアログボックスが表示されます。
ステップ 3 [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
(注) Cisco Unified オペレーティング システムの現行リリースでは、[証明書の名前(Certificate Name)] リストの [ディレクトリ(Directory)] オプションは使用できなくなりました。ただし、DirSync サービスをセキュア モードで実行する場合に必要となるディレクトリの信頼証明書は、以前のリリースからアップロードできます。
ステップ 4 [CSR の作成(Generate CSR)] をクリックします。
証明書署名要求のダウンロード
証明書署名要求をダウンロードするには、次の手順を実行します。
ステップ 1 [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
[証明書の一覧(Certificate List)] ウィンドウが表示されます。
ステップ 2 [CSR のダウンロード(Download CSR)] をクリックします。
[証明書署名要求のダウンロード(Download Certificate Signing Request)] ダイアログボックスが表示されます。
ステップ 3 [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
ステップ 4 [CSR のダウンロード(Download CSR)] をクリックします。
ステップ 5 [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。
サードパーティ製の CA 証明書の取得
サード パーティの CA が発行するアプリケーション証明書を使用するには、署名付きのアプリケーション証明書と CA ルート証明書の両方を CA から取得する必要があります。これらの証明書の取得に関する情報は、CA から入手してください。入手の手順は、CA によって異なります。
CAPF および Cisco Unified Communications Manager の CSR には、CA へのアプリケーション証明書要求に含める必要のある拡張情報が含まれています。CA が拡張要求メカニズムをサポートしていない場合は、CSR 作成プロセスの最後のページに表示される X.509 拡張を有効にする必要があります。
Cisco Unified Communications オペレーティング システムでは、証明書は DER および PEM エンコーディング フォーマットで、CSR は PEM エンコーディング フォーマットで生成されます。また、PEM および DER エンコード形式の証明書を受け入れます。
CAPF 以外の証明書の場合、それぞれのノードについて CA ルート証明書およびアプリケーション証明書を取得およびアップロードしてください。
CAPF の場合、1 つ目のノードについてのみ CA ルート証明書およびアプリケーション証明書を取得してアップロードします。
CAPF および Cisco Unified Communications Manager の CSR には、CA へのアプリケーション証明書要求に含める必要のある拡張情報が含まれています。CA が拡張要求メカニズムをサポートしていない場合は、次の手順に従って X.509 拡張をイネーブルにする必要があります。
• Cisco Unified Communications Manager、Tomcat、および IPSec の CSR では、次の拡張情報を使用します。
アプリケーション証明書を署名した CA の CA ルート証明書をアップロードします。下位 CA がアプリケーション証明書を署名した場合、ルート CA ではなく、下位 CA の CA ルート証明書をアップロードします。
CA ルート証明書およびアプリケーション証明書をアップロードするには、同じ [証明書のアップロード(Upload Certificate)] ダイアログボックスを使用します。CA ルート証明書をアップロードする場合、 certificate type -trust 形式の証明書を選択します。アプリケーション証明書をアップロードする場合、証明書タイプのみが含まれる証明書の名前を選択します。たとえば、Tomcat CA ルート証明書をアップロードする場合、[Tomcat の信頼性(tomcat-trust)] を選択し、Tomcat アプリケーション証明書をアップロードする場合、[Tomcat(tomcat)] を選択します。
CAPF CA ルート証明書をアップロードすると、CallManager の信頼ストアにコピーされるため、CA ルート証明書を個別に CallManager にアップロードする必要はありません。
証明書の有効期限日のモニタ
証明書の有効期限日が近づいたときに、システムから自動的に電子メールを送信できます。証明書有効期限モニタの表示と設定をするには、次の手順を実行します。
ステップ 1 現在の証明書有効期限モニタの設定を表示するには、[セキュリティ(Security)] > [証明書モニタ(Certificate Monitor)] を選択します。
[証明書モニタ(Certificate Monitor)] ウィンドウが表示されます。
ステップ 2 必要な設定情報を入力します。[証明書の有効期限日の監視(Certificate Monitor Expiration)] フィールドの説明については、 表 6-2 を参照してください。
ステップ 3 変更を保存するには、[保存(Save)] をクリックします。
|
|
|
|---|---|
| (注) システムから通知を送信するには、SMTP ホストを設定する必要があります。 |
IPSEC 管理
次の各項では、[IPSec] のメニューで実行できる機能を説明します。
(注) IPSec は、インストール時にクラスタ内のノード間で自動的に設定されません。
新しい IPSec ポリシーの設定
新しい IPSec ポリシーとアソシエーションを設定するには、次の手順を実行します。
(注) システムのアップグレード中、IPSec ポリシーに何らかの変更を行ってもその変更は無効になります。アップグレード中は IPSec ポリシーを作成したり変更したりしないでください。
ステップ 1 [セキュリティ(Security)] > [IPSEC 設定(IPSEC Configuration)] を選択します。
[IPSEC ポリシーの一覧(IPSEC Policy List)] ウィンドウが表示されます。
ステップ 2 [新規追加(Add New)] をクリックします。
[IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウが表示されます。
ステップ 3 [IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウに適切な情報を入力します。このウィンドウの各フィールドの説明については、 表 6-3 を参照してください。
ステップ 4 新しい IPSec ポリシーを設定するには、[保存(Save)] をクリックします。
既存の IPSec ポリシーの管理
既存の IPSec ポリシーを表示、イネーブル/ディセーブル、または削除するには、次の手順を実行します。
(注) システムのアップグレード中、IPSec ポリシーに何らかの変更を行ってもその変更は無効になります。アップグレード中は IPSec ポリシーを作成したり変更したりしないでください。
ステップ 1 [セキュリティ(Security)] > [IPSEC 設定(IPSEC Configuration)] を選択します。
(注) [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して Cisco Unified Communications オペレーティング システムの管理に再ログインする必要があります。
[IPSEC ポリシーの一覧(IPSEC Policy List)] ウィンドウが表示されます。
ステップ 2 ポリシーを表示、有効、または無効にするには、次の手順を実行します。
[IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウが表示されます。
b. ポリシーをイネーブルまたはディセーブルにするには、[ポリシーの有効化(Enable Policy)] チェックボックスを使用します。
ステップ 3 1 つまたは複数のポリシーを削除するには、次の手順を実行します。
a. 削除するポリシーの横にあるチェックボックスをオンにします。
[すべてを選択(Select All)] をクリックするとすべてのポリシーを選択でき、[すべてをクリア(Clear All)] を選択するとすべてのチェックボックスをクリアできます。
b. [選択項目の削除(Delete Selected)] をクリックします。
フィードバック