Cisco Meeting Server(CMS) 2.9 で追加された、ブラウザクライアント「Web App」を動作させるためのコンポーネント「Web Bridge 3」に適用する証明書チェーンの作成方法を記載します。
背景
CMS 2.9 以前では、CMS のブラウザクライアントは「WebRTC」と呼ばれており、CMS のコンポーネント「Web Bridge」(*注: ドキュメントによっては、従来のWeb Bridge をWeb Bridge 2 と呼ぶものもあります)がWebRTC 機能を実現していました。
Web Bridge に関する設定は、MMP コマンドでは「webbridge」で行いますが、Web App 機能を実現するWeb Bridge 3 の設定はMMP コマンド「webbridge3」で行います。
Web Bridge 3 では、従来のWeb Bridge と異なり、コンポーネントに証明書チェーンを適用する必要がありますので、本ドキュメントではWeb Bridge 3 に適用する証明書チェーンの作成方法を記載します。
CMS に設定する証明書の作成方法等の詳細については、Configuration Guides ページに掲載しております各Certificate Guidelines ドキュメントをご参照ください。
手順
CSR(証明書要求)の作成
MMP コマンド「pki csr」で証明書要求を作成します。ここでは例として「証明書名」を「wb3」、証明書のCNAME に設定するCMS FQDN を「cms.example.com」、Web App からミーティングにゲスト参加する際に用いるURL のドメイン名を証明書のSAN に設定することを想定して「guest.example.com」としました。Web App でCMS FQDN 以外のドメイン名を含むURL を使用しない場合にはsubjectAltName は不要です。
> pki csr wb3 CN:cms.example.com subjectAltName:guest.example.com
コマンドを実行すると、CMS に証明書鍵「wb3.key」と証明書署名要求「wb3.csr」が作成されます。
証明書取得
.csr ファイルを認証局(CA: Certificate Authority) で署名して証明書を取得します。
従来のWeb Bridge では、下記例のように証明書を適用していました。
> webbridge certs wb.key wb.cer
Web Bridge 3 で上記と同等に証明書(wb3.cer) を適用すると、コンポーネント起動時に以下のように証明書エラーとなります。
> webbridge3 https certs wb3.key wb3.cer
> webbridge3 c2w certs wb3.key wb3.cer
> webbridge3 enable
SUCCESS: HTTPS Key and certificate pair match
FAILURE: HTTPS certificate verification error: depth=0
Verification error: unable to get local issuer certificate
Failed cert:
:(エラーとなった証明書の内容)
FAILURE: Webbridge3 configuration not complete
>
証明書チェーンの作成・適用
Web Bridge 3 には、証明書ではなく証明書チェーンを適用する必要があります。
証明書チェーンには「Web Bridge 3 証明書」「中間CA 証明書」「ルートCA 証明書」の全ての情報を含める必要があります。証明書チェーンを作成するためには、Web Bridge に適用する証明書から各CA 証明書のデータを個別ファイルに保存し、それらのファイルから証明書チェーンを作成します。
証明書情報の確認
証明書ファイル(本ドキュメントでの例: wb3.cer) をWindows PC で開くと、証明書の情報がウィンドウ表示されます。「証明のパス(Certification Path)」タブで、ルートCA 証明書、中間CA 証明書、証明書の一覧が表示されます。
各CA 証明書をファイル保存
上記「証明のパス」で表示されたCA 証明書をダブルクリックすると、CA 証明書自体の情報が新規ウィンドウで開きます。CA 証明書の「詳細(Details)」タブで「ファイルにコピー(Copy to File)」をクリックします。
証明書のエクスポートウィザードの指示に従って、ファイルを保存します。
フォーマットは「Base-64 encoded X.509 (.CER)」を選択してください。
上記の手順を、Web Bridge 3 証明書に関連付いている全てのCA 証明書に対して行い、各証明書ファイル(.cer) を作成してください。
中間CA 証明書がない場合にはルートCA 証明書のみで手順を実施してください。複数の中間CA 証明書がある場合には全ての中間CA 証明書で手順を実行してください。以降の手順についても同様です。
証明書チェーンの作成
証明書ファイル(拡張子.cer/.pem など)をテキストエディタで開くと、以下のようなフォーマットの内容を確認できます。
-----BEGIN CERTIFICATE-----
エンコードされた証明書データ
-----END CERTIFICATE-----
(空行)
ルートCA 証明書、中間CA 証明書、Web Bridge 3 証明書ファイルの内容をそれぞれテキストエディタでコピー・ペーストし、以下の形式の1ファイルとしてください。
-----BEGIN CERTIFICATE-----
Web Bridge 3 証明書データ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
中間CA 証明書データ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ルートCA 証明書データ
-----END CERTIFICATE-----
(空行)
上記が証明書チェーンとなります。名前を付けてファイルを保存(例: wb3chain.cer)し、CMS にSFTP でアップロードしてください。
証明書チェーンの適用
CMS MMP コマンドで以下のようにWeb Bridge 3 のHTTPS 通信・C2W 通信に用いる証明書チェーンを適用し、Web Bridge 3 を起動できます。
> webbridge3 https certs wb3.key wb3chain.cer
> webbridge3 c2w certs wb3.key wb3chain.cer
> webbridge3 enable
SUCCESS: HTTPS Key and certificate pair match
SUCCESS: HTTPS full chain of certificates verifies correctly
SUCCESS: C2W Key and certificate pair match
SUCCESS: C2W full chain of certificates verifies correctly
SUCCESS: Webbridge3 enabled
>
参考資料
- Generate CSR and Apply Certificates to CMS
- https://www.cisco.com/c/en/us/support/docs/conferencing/meeting-server/214618-generate-csr-and-apply-certificates-to-c.html
- 「Certificate Trust Chains and Bundles」に、Web Bridge 3 に適用する証明書チェーンの作成について記載しています。
- How do I configure connection certificates for use with Web Bridge 3?
- https://meeting-infohub.cisco.com/faq/content/8/489/en/how-do-i-configure-connection-certificates-for-use-with-web-bridge-3.html
- CMS FAQ の記事です。Web Bridge 3 とCall Bridge の間で行われる通信と必要となる証明書について記載しています。
- Creating Web Bridge 3 Certificate Chains for CMS
- https://www.youtube.com/watch?v=sjEL4uxV96Y
- YouTube 動画で、Web Bridge 3 に適用する証明書チェーンの作成方法を記載しています。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
