CTI、JTAPI、および TAPI アプリケーションの認証
Unified Communications Manager を使用すれば、CTIManager と CTI/JTAPI/TAPI の各アプリケーションとの間のシグナリング接続およびメディア ストリームを保護できます。
(注) |
次の情報は、Cisco JTAPI/TSP プラグインのインストール時にセキュリティ設定を定義したことを前提としています。また、Cisco CTL クライアント、または CLI コマンド セットの utils ctl で、クラスタ セキュリティ モードが混合モードに設定されていることも前提としています。この章で説明する作業を実行する際に、これらの設定が定義されていない場合、CTIManager とアプリケーションは非セキュア ポートのポート 2748 で接続されます。 |
CTIManager およびアプリケーションでは、相互に認証される TLS ハンドシェイク(証明書交換)によって他方のアイデンティティを確認します。TLS 接続が確立されると、CTIManager およびアプリケーションでは、TLS ポートのポート 2749 を介して QBE メッセージを交換します。
CTIManager では、アプリケーションとの認証を行うために、Unified Communications Manager の証明書(インストール時に Unified Communications Manager サーバに自動的にインストールされる自己署名証明書、またはプラットフォームにアップロードしたサードパーティの CA 署名付き証明書のいずれか)を使用します。
CLI コマンド セットの utils ctl または Cisco CTL クライアントによって CTL ファイルを生成した後、この証明書は CTL ファイルに自動的に追加されます。アプリケーションでは、CTL ファイルを TFTP サーバからダウンロードした後で、CTIManager への接続を試みます。
JTAPI/TSP クライアントでは、初めて CTL ファイルを TFTP サーバからダウンロードする際に CTL ファイルを信頼します。JTAPI/TSP クライアントでは CTL ファイルを検証しないため、このダウンロードはセキュアな環境で実行することを強く推奨します。JTAPI/TSP クライアントでは、後続の CTL ファイルのダウンロードを検証します。たとえば、CTL ファイルを更新すると、JTAPI/TSP クライアントでは、CTL ファイル内のセキュリティ トークンを使用して、ダウンロードした新しい CTL ファイルのデジタル署名の真正性を認証(確認)します。このファイルの内容には、Unified Communications Manager の証明書と CAPF サーバの証明書が含まれます。
JTAPI/TSP クライアントでは、CTL ファイルが改ざんされていると判断した場合、ダウンロードした CTL ファイルを取り替えません。つまり、クライアントでは、エラーをログに記録し、既存の CTL ファイル内の古い証明書を使用して TLS 接続の確立を試みます。CTL ファイルが変更または改ざんされている場合、正常に接続できないことがあります。CTL ファイルのダウンロードに失敗し、複数の TFTP サーバが存在する場合、このファイルをダウンロードするために別の TFTP サーバを設定できます。JTAPI/TAPI クライアントでは、次の場合、どのポートにも接続しません。
-
何らかの理由(CTL ファイルが存在しないなど)によって、クライアントで CTL ファイルをダウンロードできない場合。
-
クライアントに既存の CTL ファイルがない場合。
-
アプリケーション ユーザをセキュア CTI ユーザとして設定した場合。
アプリケーションでは、CTIManager との認証を行うために、Certificate Authority Proxy Function(CAPF)で発行する証明書を使用します。アプリケーションと CTIManager との間のすべての接続で TLS を使用するには、アプリケーションの PC で実行されているインスタンスごとに一意の証明書が必要です。1 つの証明書ですべてのインスタンスがカバーされるわけではありません。Cisco IP Manager Assistant サービスが実行されているノードに証明書がインストールされるようにするには、表 1の説明に従って、[Unified Communications Manager Administration] で、それぞれの [Application User CAPF Profile Configuration] または [End User CAPF Profile Configuration] に一意のインスタンス ID を設定します。
ヒント |
アプリケーションをある PC からアンインストールして別の PC にインストールする場合、新しい PC のインスタンスごとに新しい証明書をインストールする必要があります。 |
アプリケーションで TLS を有効にするには、[Unified Communications Manager Administration] で、アプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加する必要もあります。ユーザをこのグループに追加し、証明書をインストールすると、アプリケーションではユーザが TLS ポートを介して接続するようになります。