認証局プロキシ機能(CAPF)の概要
認証局プロキシ 機能 (CAPF) は、Locally Significant Certificates (LSC) を発行し、エンドポイントを認証します。
CAPF サービスは Unified Communications Manager で実行され、以下のタスクを実行します:
-
サポートされている Cisco Unified IP 電話 に LSC を発行します。
-
混合モード中に電話を認証します。
-
電話機用の既存の LSCs をアップグレードします。
-
表示およびトラブルシューティングを行うために電話の証明書を取得する。
CAPF サービス証明書
CAPF サービスは Unified Communications Manager のインストール時に自動的にインストールされ、CAPF 指定のシステム証明書が生成されます。
重要 |
次のメモはリリース 14SU2 以降にのみ適用されます。 |
(注) |
CAPF 証明書には、次のデフォルトの X509 拡張子が含まれている必要があります。 X509v3 の基本的制約: CA:TRUE, pathlen:0 X509v3 キーの使用法: デジタル署名、証明書署名 これらの拡張機能が CAPF 証明書に存在しない場合、TLS 接続エラーが発生します。 |
次のモードで動作するように CAPF を設定することができます。
モード |
説明 |
||
---|---|---|---|
Cisco Authority Proxy 機能 |
デフォルトでは、CAPF サービスで Unified Communications Manager CAPF サービス署名 LSC を発行します。 |
||
オンライン CA |
[オンライン CA (Online CA)]: 外部オンライン CA が「電話用 LSC」として署名している場合は、このオプションを使用します。 CAPF サービスは、自動的に外部 CA に接続されます。証明書署名リクエスト(CSR)が手動で送信された場合、CA は署名し、CA の署名済み LSC を自動的に返します。 |
||
オフライン CA |
オフライン CA: このオプションは、オフラインの外部 CA を使用して LSC for phone に署名する場合に使用します。 LSC を手動でダウンロードし、CA に提出し、準備ができたら CA 署名付き証明書をアップロードします。
|
LSC を生成する前に、以下を確認してください。
-
Unified Communications Manager リリース 12.5 以降。
-
証明書に CAPF を使用するエンドポイントを含む Cisco Unified IP 電話 および Jabber。
-
CA が設定された Microsoft Windows Server 2012 および 2016。
-
ドメイン ネーム サービス (DNS)
前提条件として、電話を認証する方法も決めてください。
LSC を必要なトラストストアに生成する前に、CA ルートおよび HTTPS 証明書をアップロードします。 インターネットインフォメーションサービス (IIS) は、HTTPS 証明書をホストします。 セキュア SIP connection では、HTTPS 証明書は CAPF-トラストを通過し、CA ルート証明書は CAPF トラストで Unified Communications Manager-トラストをたどります。 CA ルート証明書は、証明書署名要求 (CSRs) への署名に使用されます。
以下は、さまざまな証明書をアップロードするシナリオです。
シナリオ |
アクション |
---|---|
CA ルートおよび HTTPS 証明書は同じです。 |
CA ルート証明書をアップロードする。 |
CA ルートと HTTPS の証明書は異なり、HTTPS 証明書は同じ CA ルート証明書によって発行されます。 |
CA ルート証明書をアップロードする。 |
CA ルート証明書は異なる中間 CA および HTTPS 証明書を発行します。 |
CA ルート証明書をアップロードする。 |
CA ルートと HTTPS の証明書は異なり、同じ CA ルート証明書によって発行されます。 |
CA ルートおよび HTTPS 証明書をアップロードする。 |
(注) |
スケジュールされたメンテナンス期間中に CAPF を使用することを推奨します。複数の証明書を同時に生成すると、コール処理が中断される可能性があるためです。 |