認証局プロキシ機能の概要
認証局プロキシ機能(CAPF)は、ローカルで重要な証明書(LSC)を発行し、エンドポイントを認証します。
CAPF サービスは Unified Communications Manager 上で実行 され、次のタスクを実行します。
-
サポートされる Cisco Unified IP Phone に LSC を発行 します。
-
混合モード中に電話機を認証します。
-
電話機用の既存の LSC をアップグレードする。
-
表示とトラブルシューティングのために電話機証明書を取得する。
CAPF サービス証明書
CAPF サービスは Unified Communications Manager のインストールで自動的にインストール され、CAPF 固有のシステム証明書が生成されます。
次のモードで動作するように CAPF を設定することができます。
モード |
説明 |
||
---|---|---|---|
Cisco Authority Proxy Function |
デフォルトでは、Unified Communications Manager 上の CAPF サービスが、CAPF サービスで署名された LSC を発行します。 |
||
オンライン CA |
外部オンライン CA が「電話用 LSC」として署名している場合は、このオプションを使用します。CAPF サービスは、自動的に外部 CA に接続されます。CA 署名 LSC は、証明書署名要求(CSR)が送信されると自動的に返されます。 |
||
オフライン CA |
外部オンライン CA が「電話用 LSC」として署名している場合は、このオプションを使用します。SC を手動でダウンロードして CA に提出し、CA 署名の証明書の準備ができてからそれらをアップロードします。
|
LSC を生成する前に、次のものを用意していることを確認してください。
-
Unified Communications Manager リリース 12.5 以降。
-
証明書に CAPF を使用するエンドポイント(Cisco Unified IP Phone および Jabber を含む)。
-
CA が設定された Microsoft Windows Server 2012 および 2016。
-
ドメインネームサービス(DNS)
前提条件として、電話機を認証する方法も決定します。
LSC を生成する前に、CA ルート証明書と HTTPS 証明書を必要な信頼ストアにアップロードします。インターネットインフォメーションサービス (IIS) は、HTTPS 証明書をホストします。セキュア SIP 接続では、HTTPS 証明書は CAPF-トラストを通過し、CA ルート証明書は CAPF 信頼と Unified Communications Manager 信頼の両方を通過します。CA ルート証明書は、証明書署名要求 (CSR) への署名に使用されます。
次に、さまざまな証明書をアップロードするシナリオを示します。
シナリオ |
アクション |
---|---|
CA ルート証明書と HTTPS 証明書が同じ。 |
CA ルート証明書をアップロードする。 |
CA ルート証明書と HTTPS の証明書は異なり、HTTPS 証明書は同じ CA ルート証明書によって発行されます。 |
CA ルート証明書をアップロードする。 |
CA ルート証明書は、異なる中間 CA 証明書と HTTPS 証明書を発行します。 |
CA ルート証明書をアップロードする。 |
同じ CA ルート証明書が、異なる CA ルート証明書と HTTPS 証明書を発行します。 |
CA ルートおよび HTTPS 証明書をアップロードする。 |
(注) |
複数の証明書を同時に生成すると、コールプロセスが中断される可能性があるため、スケジュールされたメンテナンス期間中に CAPF を使用することをお勧めします。 |