認証局プロキシ機能(CAPF)の概要
Cisco 認証局プロキシ機能(CAPF)は、ローカルで有効な証明書(LSC)を発行し、Cisco エンドポイントを認証する Cisco 専有サービスです。CAPF サービスは、Unified Communications Manager 上で実行され、次のタスクを実行します。
-
サポートされる Cisco Unified IP 電話 に対して LSC を発行する。
-
混合モードが有効になっている場合に電話機を認証する。
-
電話機用の既存の LSC をアップグレードする。
-
表示とトラブルシューティングのために電話機証明書を取得する。
CAPF の実行モード
CAPF は、次のモードで動作するように設定することができます。
-
Cisco Authority プロキシ機能:Unified Communications Manager の CAPF サービスが、CAPF サービス自体によって署名された LSC を発行します。これがデフォルトのモードです。
-
オンライン CA:外部オンライン CA によって電話機用の LSC に署名する場合は、このオプションを使用します。CAPF サービスは自動的に外部 CA に接続します。CSR が送信されると CA が署名し、CA で署名された LSC が自動的に返されます。
-
オフライン CA:オフラインの外部 CA によって電話機用の LSC に署名する場合は、このオプションを使用します。このオプションでは、LSC を手動でダウンロードし、CA に提出して、CA で署名された証明書の準備ができたら、それらをアップロードする必要があります。
(注)
サードパーティ CA を使用して LSC に署名する必要がある場合、シスコでは、オフライン CA ではなくオンライン CA のオプションを使用することを推奨します。オンライン CA ではプロセスが自動化されるため、はるかに高速で、問題が発生する可能性も低くなります。
CAPF サービス証明書
統合コミュニケーションマネージャがインストールされている場合、CAPF サービスが自動的にインストールされ、CAPF 固有のシステム証明書が生成されます。セキュリティが適用されると、Cisco CTL クライアントは、すべてのクラスタノードに証明書をコピーします。
電話機の証明書タイプ
シスコは次の X.509v3 証明書タイプを電話で使用します。
-
ローカルで有効な証明書(LSC):このタイプの証明書は Cisco Certificate Authority Proxy Function(CAPF)に関連する必要な作業の実行後に、電話にインストールされます。デバイス セキュリティ モードを認証または暗号化に設定した後で、LSC は Unified Communications Manager と電話の間の接続を保護します。
(注)
オンライン CA の場合、LSC の有効性は CA に基づいています。また、CA が許可している限り使用できます。
-
製造元でインストールされる証明書(MIC):Cisco Manufacturing は MIC をサポートされている電話モデルに自動的にインストールします。製造元でインストールされる証明書は LSC インストールの Cisco Certificate Authority Proxy Function(CAPF)を認証します。製造元でインストールされる証明書を上書きしたり、削除することはできません。
(注) |
製造元でインストールされる証明書(MIC)を LSC のインストールでのみ使用することが推奨されます。シスコでは Unified Communications Manager との TLS 接続の認証のために LSC をサポートしています。MIC ルート証明書は侵害される可能性があるため、TLS 認証またはその他の目的に MIC を使用するように電話を設定するお客様は、ご自身の責任で行ってください。MIC が侵害された場合シスコはその責任を負いません。 |
CAPF 経由の LSC 生成
CAPF を設定した後、電話機に設定されている認証文字列を追加します。キーと証明書の交換は、電話機と CAPF の間で行われ、以下が発生します。
-
電話機は、設定された認証方法を使用して CAPF に対して自身を認証します。
-
電話機は公開/秘密キー ペアを生成します。
-
電話機は、署名されたメッセージの中で、公開キーを CAPF に転送します。
-
秘密キーは電話に残り、外部に公開されることはありません。
-
証明書は CAPF によって署名され、署名付きメッセージによって電話に送り返されます。
(注) |
電話のユーザが証明書操作の中断や、電話の動作ステータスの確認を実行できることに注意してください。 |
(注) |
キーの生成を低い優先順位で設定すると、アクションの発生中に、電話機が機能します。電話機は証明書生成中に機能しますが、TLS トラフィックが追加された場合、電話機でのコールプロセスの中断が最小限に抑えられる可能性があります。たとえば、インストールの最後に証明書がフラッシュに書き込まれると、音声信号が発生することがあります。 |