証明書の概要
証明書とは、証明書保持者名、公開キー、および証明書を発行する認証局のデジタル署名を含むファイルです。証明書は、証明書の所有者の身元を証明します。
ユニファイドコミュニケーションマネージャーは、公開キー基盤 (PKI) を使用する証明書を使用して、サーバとクライアントのアイデンティティを検証し、暗号化を有効化します。別のシステム (たとえば、電話機や media server) がユニファイドコミュニケーションマネージャーに接続しようとすると、そのシステム自身の身元を確認するために、その証明書がユニファイドコミュニケーションマネージャーに提示されます。適切なトラストストアに一致する証明書がある場合を除き、ユニファイドコミュニケーションマネージャーは他のシステムを信頼せず、アクセスが拒否されます。
ユニファイドコミュニケーションマネージャーは、次の 2 つの広範なクラスの証明書を使用します。
-
自己署名付き証明書: デフォルトでは、ユニファイドコミュニケーションマネージャーは自己署名付き証明書を使用します。これらは、サーバまたはクライアントの身元を確認するために、ユニファイドコミュニケーションマネージャーが証明書に署名する証明書です。ユニファイドコミュニケーションマネージャーは、自身の自己署名証明書を発行することも、または認証局のプロキシ機能を使用して、電話機の代理証明書を発行することもできます。
-
CA 署名付き証明書: サードパーティ認証局 (CA) によって署名された証明書を使用するようにユニファイドコミュニケーションマネージャーを設定することもできます。認証署名要求 (CSR) は、ユニファイドコミュニケーションに代わって CA が証明書に署名するようにする必要があります。CA は要求を受信し、CA 署名された証明書を発行します。CA 署名付きの証明書を使用するには、最初に、ユニファイドコミュニケーションマネージャーに CA ルート証明書チェーンをインストールする必要があります。
(注) |
通常、自己署名付き証明書は、社内のファイアウォールを通過しない内部接続に対して受け入れられます。ただし、WAN 接続の場合、またはパブリックインターネットを使用する接続の場合は、CA 署名付き証明書を使用する必要があります。 |
(注) |
X.509 の一般的な時間値。PKI 証明書は、グリニッジ標準時 (GMT) で表記されている必要があり、秒 (YYYYMMDDHHMMSSZ) を含める必要があります。秒の端数は許可されていません。このルールに違反する証明書は、ピアエンティティから提供されているか、またはトラストストアに読み込まれているかに関係なく、証明書の検証プロセスを失敗させる可能性があります。 |
CTL ファイル
Cisco Certificate Trust List は、Cisco CTL クライアントで混合モードを有効にするか、またはユーティリティ ctl CLI コマンドの 1 つを実行することによって作成されるファイルです (たとえば、ユーティリティ ctl update CTLFile)。混在モードが有効になっている場合、CTL ファイルは、TFTP サーバを経由して Cisco IP Phone にインストールされます。CTL ファイルには、認証局プロキシ機能のシステム証明書やその他の証明書など、信頼できる電話機の証明書のリストが含まれています。
CTL ファイルの設定方法の詳細については、「CTL Client セットアップ」の章を参照してください。
TLS
トランスポート回線シグナリング (TLS) は CA 署名された証明書を使用します。TLS が設定されている場合、もう一方のシステムは、最初の connection セットアップの一部として、その証明書をユニファイドコミュニケーションマネージャーに提示します。他のシステムの証明書がインストールされている場合は、他のシステムを信頼し、通信が行われます。他のシステムの証明書が存在しない場合、もう一方のシステムは信頼されず、通信は失敗します。
サードパーティー CA 署名付き証明書
デフォルトでは、ユニファイドコミュニケーションマネージャーはすべての接続に自己署名入りの証明書を使用します。ただし、証明書に署名するようにサードパーティ CA を設定することによって、セキュリティを追加できます。サードパーティ CA を使用するには、Cisco 統一 OS の管理に CA ルート証明書チェーンをインストールする必要があります。
一般に、自己署名付き証明書を使用した証明書をアップロード、ダウンロード、および表示するための同じタスクを使用できます。ただし、CA で署名された証明書を発行するには、CA が証明書を発行して署名できるように証明書署名要求 (CSR) を提出する必要があります。
設定
別のシステムで、ユニファイドコミュニケーションマネージャーに接続されている CA 署名済みの証明書を使用する場合は、Cisco 統一 OS の管理で次の手順を実行してください。
-
証明書を署名した CA のルート証明書をアップロードします。
-
他のシステムから CA 署名付き証明書をアップロードします。
ユニファイドコミュニケーションマネージャーの CA 署名証明書を使用する場合は、次のようにします。
-
Cisco 統一 OS の管理では、CSR が、ユニファイドコミュニケーションマネージャーの CA 署名証明書を要求するようにします。
-
Cisco 統一 OS 管理では、CA ルート証明書チェーンと CA 署名証明書の両方をダウンロードします。
-
もう一方のシステムで、CA ルート証明書チェーンと CA 署名証明書の両方をアップロードします。
CSR キーの用途拡張
次の表には、Unified Communications Manager と IM and Presence Service の CA 証明書の証明書署名要求(CSR)のキーの用途拡張が表示されています。
マルチサーバ |
キーの拡張用途 |
キーの用途 |
|||||||
---|---|---|---|---|---|---|---|---|---|
サーバ認証 (1.3.6.1.5.5.7.3.1) |
クライアント認証 (1.3.6.1.5.5.7.3.2) |
IP セキュリティ末端システム (1.3.6.1.5.5.7.3.5) |
デジタル署名 |
鍵の暗号化 |
データの暗号化 |
キー証明書署名 |
鍵共有 |
||
CallManager CallManager-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
|||
CAPF(パブリッシャのみ) |
N |
Y |
Y |
Y |
Y |
||||
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
|||
信頼検証サービス(TVS) |
N |
Y |
Y |
Y |
Y |
Y |
マルチサーバ |
キーの拡張用途 |
キーの用途 |
|||||||
---|---|---|---|---|---|---|---|---|---|
サーバ認証 (1.3.6.1.5.5.7.3.1) |
クライアント認証 (1.3.6.1.5.5.7.3.2) |
IP セキュリティ末端システム (1.3.6.1.5.5.7.3.5) |
デジタル署名 |
鍵の暗号化 |
データの暗号化 |
キー証明書署名 |
鍵共有 |
||
cup cup-ECDSA |
N |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
cup-xmpp cup-xmpp-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
cup-xmpp-s2s cup-xmpp-s2s-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
|
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
サーバ証明書のタイプ
Unified Communications Manager サーバでは次の自己署名(所有)証明書タイプが使用されます。
-
HTTPS 証明書(Tomcat):自己署名ルート証明書は、HTTPS サーバの Unified Communications Manager インストール時に生成されます。Cisco Unity Connection は、SMTP および IMAP サービスにこの証明書を使用します。
-
CallManager 証明書:自己署名ルート証明書は Unified Communications Manager サーバに Unified Communications Manager をインストールするときに、自動的にインストールされます。
-
CAPF 証明書:Cisco CTL クライアント設定を完了すると、Unified Communications Manager のインストール時に生成されるこのルート証明書が、ご使用のサーバまたはクラスタ内のすべてのサーバにコピーされます。
-
IPSec 証明書(ipsec_cert):自己署名ルート証明書は、Unified Communications Manager のインストール時に、MGCP および H.323 ゲートウェイとの IPSec 接続用に生成されます。
-
SRST 対応ゲートウェイの証明書:[Unified Communications Manager Administration] でのセキュアな SRST リファレンスの設定時に、Unified Communications Manager は SRST 対応ゲートウェイの証明書をゲートウェイから取得し Unified Communications Manager データベースに保存します。デバイスをリセットすると、証明書は電話の設定ファイルに追加されます。証明書はデータベースに格納されているため、証明書の管理ツールでこの証明書を管理することはできません。
-
TVS 証明書:信頼検証サービス(TVS)をサポートする自己署名証明書です。
-
Phone-SAST-trust 証明書:このカテゴリでは、システムが Cisco Unified IP Phone の VPN 証明書をインポートできます。これらの証明書は Midlet 信頼ストアに保存されます。
-
電話証明書信頼ストア(Phone-trust):Unified Communications Manager はこの証明書タイプを使用して電話での HTTPS アクセスをサポートします。Cisco Unified Communications Operating System GUI を使用して証明書を Phone-trust ストアにアップロードできます。Cisco Unified IP Phone からの安全な Web アクセス(HTTPS)をサポートするため、Phone-CTL-trust にある証明書は CTL ファイルのメカニズムによって電話にダウンロードされます。電話の信頼証明書はサーバに残り、電話は TVS 経由でリクエスト可能です。
Unified Communications Manager は次のタイプの証明書を CallManager 信頼ストアにインポートします。
-
Cisco Unity サーバまたは Cisco Unity Connection 証明書:Cisco Unity および Cisco Unity Connection はこの自己署名ルート証明書を使用して Cisco Unity SCCP および Cisco Unity Connection SCCP のデバイス証明書に署名します。Cisco Unity では、Cisco Unity Telephony Integration Manager(UTIM)がこの証明書を管理します。Cisco Unity Connection では、Cisco Unity Connection Administration がこの証明書を管理します。
-
Cisco Unity および Cisco Unity Connection SCCP デバイス証明書:Cisco Unity および Cisco Unity Connection SCCP デバイスはこの署名付き証明書を使用して Unified Communications Manager との TLS 接続を確立します。
-
証明書の名前はボイス メール サーバ名に基づく証明書のサブジェクト名のハッシュを表しています。すべてのデバイス(またはポート)が、ルート証明書をルートとする証明書を発行します。
-
SIP プロキシ サーバの証明書:CallManager 信頼ストアに SIP ユーザ エージェントの証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれる場合、SIP トランク経由で接続する SIP ユーザ エージェントは Unified Communications Manager に対して認証されます。
次の信頼ストアがあります。
-
Tomcat および Web アプリケーション用の共通信頼ストア
-
IPSec-trust
-
CAPF-trust
-
Userlicensing-trust
-
TVS-trust
-
Phone-SAST-trust
-
Phone-CTL-trust