キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

FAQ

 

CMS Web Bridge 3 に適用する証明書チェーンの作成方法

246
閲覧回数
0
いいね!
0
コメント

Cisco Meeting Server(CMS) 2.9 で追加された、ブラウザクライアント「Web App」を動作させるためのコンポーネント「Web Bridge 3」に適用する証明書チェーンの作成方法を記載します。

 

背景

CMS 2.9 以前では、CMS のブラウザクライアントは「WebRTC」と呼ばれており、CMS のコンポーネント「Web Bridge」(*注: ドキュメントによっては、従来のWeb Bridge をWeb Bridge 2 と呼ぶものもあります)がWebRTC 機能を実現していました。

Web Bridge に関する設定は、MMP コマンドでは「webbridge」で行いますが、Web App 機能を実現するWeb Bridge 3 の設定はMMP コマンド「webbridge3」で行います。

Web Bridge 3 では、従来のWeb Bridge と異なり、コンポーネントに証明書チェーンを適用する必要がありますので、本ドキュメントではWeb Bridge 3 に適用する証明書チェーンの作成方法を記載します。

 

CMS に設定する証明書の作成方法等の詳細については、Configuration Guides ページに掲載しております各Certificate Guidelines ドキュメントをご参照ください。

 

手順

CSR(証明書要求)の作成

MMP コマンド「pki csr」で証明書要求を作成します。ここでは例として「証明書名」を「wb3」、証明書のCNAME に設定するCMS FQDN を「cms.example.com」、Web App からミーティングにゲスト参加する際に用いるURL のドメイン名を証明書のSAN に設定することを想定して「guest.example.com」としました。Web App でCMS FQDN 以外のドメイン名を含むURL を使用しない場合にはsubjectAltName は不要です。

> pki csr wb3 CN:cms.example.com subjectAltName:guest.example.com

コマンドを実行すると、CMS に証明書鍵「wb3.key」と証明書署名要求「wb3.csr」が作成されます。

 

証明書取得

.csr ファイルを認証局(CA: Certificate Authority) で署名して証明書を取得します。

従来のWeb Bridge では、下記例のように証明書を適用していました。

> webbridge certs wb.key wb.cer

 

Web Bridge 3 で上記と同等に証明書(wb3.cer) を適用すると、コンポーネント起動時に以下のように証明書エラーとなります。

> webbridge3 https certs wb3.key wb3.cer
> webbridge3 c2w certs wb3.key wb3.cer
> webbridge3 enable

SUCCESS: HTTPS Key and certificate pair match
FAILURE: HTTPS certificate verification error: depth=0
Verification error: unable to get local issuer certificate
Failed cert:
   :(エラーとなった証明書の内容)
FAILURE: Webbridge3 configuration not complete
>

 

証明書チェーンの作成・適用

Web Bridge 3 には、証明書ではなく証明書チェーンを適用する必要があります。

証明書チェーンには「Web Bridge 3 証明書」「中間CA 証明書」「ルートCA 証明書」の全ての情報を含める必要があります。証明書チェーンを作成するためには、Web Bridge に適用する証明書から各CA 証明書のデータを個別ファイルに保存し、それらのファイルから証明書チェーンを作成します。

 

証明書情報の確認

証明書ファイル(本ドキュメントでの例: wb3.cer) をWindows PC で開くと、証明書の情報がウィンドウ表示されます。「証明のパス(Certification Path)」タブで、ルートCA 証明書、中間CA 証明書、証明書の一覧が表示されます。

cert1.png

 

各CA 証明書をファイル保存

上記「証明のパス」で表示されたCA 証明書をダブルクリックすると、CA 証明書自体の情報が新規ウィンドウで開きます。CA 証明書の「詳細(Details)」タブで「ファイルにコピー(Copy to File)」をクリックします。

cert2.png

 

証明書のエクスポートウィザードの指示に従って、ファイルを保存します。

フォーマットは「Base-64 encoded X.509 (.CER)」を選択してください。

cert3.png

 

cert4.png

 

cert7.png

 

cert8.png

 

上記の手順を、Web Bridge 3 証明書に関連付いている全てのCA 証明書に対して行い、各証明書ファイル(.cer) を作成してください。

中間CA 証明書がない場合にはルートCA 証明書のみで手順を実施してください。複数の中間CA 証明書がある場合には全ての中間CA 証明書で手順を実行してください。以降の手順についても同様です。

証明書チェーンの作成

証明書ファイル(拡張子.cer/.pem など)をテキストエディタで開くと、以下のようなフォーマットの内容を確認できます。

-----BEGIN CERTIFICATE-----
エンコードされた証明書データ
-----END CERTIFICATE-----
(空行)

 

ルートCA 証明書、中間CA 証明書、Web Bridge 3 証明書ファイルの内容をそれぞれテキストエディタでコピー・ペーストし、以下の形式の1ファイルとしてください。

-----BEGIN CERTIFICATE-----
Web Bridge 3 証明書データ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
中間CA 証明書データ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ルートCA 証明書データ
-----END CERTIFICATE-----
(空行)

 

上記が証明書チェーンとなります。名前を付けてファイルを保存(例: wb3chain.cer)し、CMS にSFTP でアップロードしてください。

 

証明書チェーンの適用

CMS MMP コマンドで以下のようにWeb Bridge 3 のHTTPS 通信・C2W 通信に用いる証明書チェーンを適用し、Web Bridge 3 を起動できます。

> webbridge3 https certs wb3.key wb3chain.cer
> webbridge3 c2w certs wb3.key wb3chain.cer
> webbridge3 enable
SUCCESS: HTTPS Key and certificate pair match
SUCCESS: HTTPS full chain of certificates verifies correctly
SUCCESS: C2W Key and certificate pair match
SUCCESS: C2W full chain of certificates verifies correctly
SUCCESS: Webbridge3 enabled
>

 

参考資料