証明書の概要
アイデンティティを保護し、IM and Presence Serviceと別のシステム間の信頼関係を構築するために証明書が使用されます。証明書を使用すると、IM and Presence Service を Cisco Jabber クライアント、または任意の外部サーバに接続することが可能です。証明書がなければ、不正な DNS サーバが使用されていないか、または別のサーバにルーティングされていないかを判断することはできません。
IM and Presence Service が使用できる証明書には、以下の 2 つの主要なクラスがあります。
-
自己署名証明書:自己署名証明書は、証明書を発行したサーバと同じサーバによって署名されます。企業内では、セキュアでないネットワークに接続している接続がない場合は、自己署名付きの証明書を使用して、別の内部システムに接続することができます。たとえば、IM and Presence Service は、Cisco Unified Communications Manager への内部接続に、自己署名証明書を生成する場合があります。
-
CA 署名付き証明書:CA 署名付き証明書は、サードパーティ認証局 (CA) によって署名された証明書です。CA 署名付き証明書は、サーバあるいはサービス証明書の有効性を制御するパブリック CA(Verisign、Entrust、または Digicert)あるいはサーバ(Windows 2003、Linux、Unix、IOS など)によって署名されている場合があります。CA 署名付き証明書は、自己署名証明書よりも安全であり、通常、WAN 接続に使用されます。たとえば、別の企業または WAN 接続を使用したクラスタ間ピア構成では、外部システムとの信頼関係を構築するために CA 署名付きの証明書が必要となります。
CA 署名付き証明書は、自己署名証明書よりも安全です。通常、自己署名付き証明書は内部接続では十分であると見なされますが、パブリック インターネット経由あるいは WAN 経由で接続する場合は、CA 署名付き証明書を使用する必要があります。
マルチサーバ証明書
IM and Presence Service は、いくつかのシステム サービスのマルチサーバ SAN 証明書もサポートしています。複数のサーバ証明書の証明書署名要求(CSR)を生成すると、証明書がアップロードされる際、結果として得られるマルチサーバ証明書とその証明書のチェーンは、すべてのクラスタ ノードに自動的に配布されます。
IM and Presence Services の証明書タイプ
IM and Presence Service 内のさまざまなシステム コンポーネントには、さまざまな種類の証明書が必要です。以下のテーブルでは、IM and Presence Service のクライアントおよびサービスで必要とされるさまざまな証明書について説明します。
(注) |
証明書名が -ECDSA で終わる場合、その 証明書/キー タイプは楕円曲線(EC)です。それ以外の場合は、RSA です。 |
証明書タイプ |
サービス |
証明書信頼ストア |
マルチサーバ サポート |
注記 |
---|---|---|---|---|
tomcat tomcat-ECDSA |
Cisco Client Profile Agent Cisco AXL Web Service Cisco Tomcat |
tomcat- trust |
はい |
IM and Presence Service のクライアント認証の一部として Cisco Jabber クライアントに提示されます。 Cisco Unified CM IM およびプレゼンス管理ユーザ インターフェイスを移動するときに、Web ブラウザに表示されます。 関連する信頼ストアを使用し、ユーザのクレデンシャルを認証するために、IM and Presence Service が確立した設定済みの LDAP サーバとの 接続を確認します。 |
IPSec |
ipsec-trust |
非対応 |
IPSec ポリシーが有効になっている場合に使用します。 |
|
CUP cup-ECDSA |
Cisco SIP Proxy Cisco Presence Engine |
cup-trust |
非対応 |
Expressway-C に証明書を提示して、SIP フェデレーションユーザ用の IM and Presence を取得します。IM and Presence プロキシは、クライアントとサーバの両方として動作します。 プレゼンスエンジンは、これらの証明書を Exchange/Office 365 との通信に使用してカレンダープレゼンスを取得します。プレゼンスエンジンは、クライアントとしてのみ動作します。 |
cup-xmpp cup-xmpp-ECDSA |
Cisco XCP Connection Manager Cisco XCP Web Connection Manager Cisco XCP Directory サービス Cisco XCP Router サービス |
cup-xmpp-trust |
はい |
XMPP セッションの作成中に、Cisco Jabber クライアント、サードパーティ製 XMPP クライアント、または CAXL ベースのアプリケーションに提示されます。 関連する信頼ストアを使用して、サードパーティ製 XMPP クライアントの LDAP 検索操作を実行中に Cisco XCP Directory サービスが確立した接続を確認します。 ルーティング通信タイプがルータ間に設定されている場合に、IM and Presence Service サーバ間にセキュアな接続を確立するときに Cisco XCP Router によって関連する信頼ストアが使用されます。 |
cup-xmpp-s2s cup-xmpp-s2s-ECDSA |
Cisco XCP XMPP Federation Connection Manager |
cup-xmpp-trust |
はい |
外部フェデレーション XMPP への接続時に XMPP ドメイン間フェデレーションを行うために提示されます。 |