- 最終編集日: 、編集者:
JapanTAC_CSC
前提条件
本ドキュメントは以下の方が対象です。
- PKI (Public Key Infrastructure) に含まれる公開鍵暗号方式、電子署名や証明書などの仕組みについて理解されている
- Unified CM の基本動作について理解されている
CTL とは
CTL は Certificate Trust List の略です。Mixed mode を有効にした Cisco Unified Communications Manager (Unified CM) のクラスタで生成される証明書のリストファイルです。Cisco Collaboration 端末 (Cisco IP Phone、テレプレゼンスエンドポイント、Jabber アプリなど) が CTL をサポートしています。これらの端末が起動すると、TFTP request を送信し、Unified CM に CTL ファイルを要求してダウンロードします。
端末が CTL を持っていると、セキュアな通信を実現することが可能です。
セキュアなシグナリングとメディア通信を行うために、端末が Unified CM から CallManager/TFTP サービスに使う証明書を送られてきますが、CTL を使用して、その証明書が正しいものかどうかを検証することが必要です。
また、端末が CTL を持っている場合、電子署名(デジタルシグネチャ)付きの設定ファイル (cnf.xml.sgn ファイル) を Unified CM に要求します。そこでUnified CM が設定ファイルを、CallManager/TFTP サービスの秘密鍵で電子署名を行い、端末に送ります。それを受け取った端末が CTL を用いて署名を検証し、設定ファイルが正しい Unified CM から送られ、かつ通信途中で改ざんされていないかを確認することができます。
CTL の生成方法
CTL を生成するには 2 通りの方法があります。USB Hardware Security Token を使う方法と、使わない (Tokenless) 方法です。Tokenless の方法は Unified CM バージョン 10.0 以上からサポートされます。
1. USB Security Token を使う方法
USB Security Token は以下のいずれかの型番で最低限2つ別途購入する必要があります。
- KEY-CCM-ADMIN-K9=
- KEY-CCM-ADMIN2-K9=
USB Security Token を使って CTL をインストールする主な手順は以下の通りです。
1.CTL Client をインストールした Microsoft Windows PC を用意します。CTL Client は Unified CM の Web Admin からダウンロードできます。
2.SafeNet Authentication Client (CTL Client インストール時に自動的に一緒にインストールされる)を起動して、2つの USB Security Token の証明書を PC のローカルフォルダにエクスポートします。
3.Cisco Unified Operating System (OS) Administration にログインして2つの証明書をアップロードします。
4.CTL Client を起動し、Unified CM クラスタを Mixed mode に設定し、CTL ファイルを生成します。
5.Unified CM の全ノードで CallManager と TFTP サービスを再起動します。
6.端末を再起動して CTL ファイルをダウンロードできるようにします。
詳細な手順は、こちらのドキュメントをご参考下さい。
2. Tokenless を使う方法 (Unified CM 10.x 以降)
1.Unified CM の Publisher の CLI にアクセして、"utils ctl set-cluster mixed-mode" のコマンドを入力し、Mixed mode を有効にします。
注:Unified CM 11.5(1)SU3 から Mixed mode にするには、Encryption license が必要になりました。詳細はこちらの記事も合わせてご参照下さい。
2.CUCM Admin Page > System > Enterprise Parameters に移動し、"Cluster Security Mode" が "1" となっていれば、Mixed mode になったことを確認できます。
3.Unified CM の全ノードで CallManager と TFTP サービスを再起動します。
4.端末を再起動して CTL ファイルをダウンロードできるようにします。
CTL に含まれる内容
CTLには、CCM+TFTP、SAST、CAPF の 3 種類の証明書情報が含まれています。
- CCM+TFTP: Unified CM ノード毎の CallManager 証明書(CallManager と TFTP サービスの通信に利用される証明書)
- SAST (System Administrator Security Token):
- USB eToken 証明書 (USB Hardware Security Token を使う時に、この証明書の秘密鍵を使って CTL ファイル自身に電子署名を入れます)
- Unified CM Publisher の CallManager 証明書 (Tokenless を使う時に、この証明書の秘密鍵を使って CTL ファイル自身に 電子署名を入れます。1 と 2 のいずれかは CTL に含まれます)
- ITLRecovery 証明書:Unified CM Publisher が発行する ITLRecovery 証明書 (Tokenless CTL もしくは ITL (Identity Trust List) と IP Phone の信頼関係を復旧するために Tokenless CTL と ITL ファイルに暫定的に電子署名を生成するための証明書)
- CAPF (Certificate Authority Proxy Function): Unified CM Publisher が発行する CAPF 証明書 (CAPF サービスに利用される証明書)
トラブルシューティング
show ctl
Unified CM に Admin 権限で SSH アクセスして 'show ctl' コマンドを実行すると、CTL の中身を確認できます。以下で例を示します。
最初に CTL ファイルのチェックサムが表示されます。MD5 と SHA1 のアルゴリズムでそれぞれ計算されたハッシュ値になります。CTL の中身が更新されると、チェックサムの値も変更されます。
admin:show ctl
The checksum value of the CTL file:
cbd44ac15e98012ad805839729a5db0a(MD5)
d9a5b15afeb0d66f854ed9efeba947a3ac7ded6a(SHA1)
次に CTL ファイルの電子署名情報が表示されます。前述したように、CTL が CallManager 証明書の秘密鍵によって署名されているので、"SIGNERNAME" が CallManager 証明書の Common Nama (CN) になります。CallManager 証明書が CA-Signed の場合は、"CANAME" に CA 局の CN が入ります。さらに "SERIALNUMBER" が後述する SAST と CCM+TFTP の証明書のシリアルナンバーと一致します。
Parse CTL File
----------------
Version: 1.2
HeaderLength: 416 (BYTES)
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
3 SIGNERID 2 101
4 SIGNERNAME 63 CN=cucm125p.ucapp.cisco.com;OU=TAC;O=Cisco;L=TMT;ST=Tokyo;C=JP
5 SERIALNUMBER 10 1F:7A:2B:0D:00:01:00:00:00:7D
6 CANAME 19 CN=ActiveDirectory
7 SIGNATUREINFO 2 15
8 DIGESTALGORTITHM 1 1 (SHA1)
9 SIGNATUREALGOINFO 2 8
10 SIGNATUREALGORTITHM 1 0
11 SIGNATUREMODULUS 1 2
12 SIGNATURE 256 << 省略 >>
続いて CCM+TFTP、SAST、CAPF の 3 種類の証明書が確認できます。"FUNCTION" に CCM+TFTP、SAST、CAPF のいずれなのかが示されています。"CERTIFICATE" に実際の公開鍵ではなく、公開鍵を SHA1 で計算したハッシュ値が入ります。前述したように、SAST と CCM+TFTP 証明書の "SERIALNUMBER" が電子署名情報に表示されている "SERIALNUMBER" と一致します。
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 2214
2 DNSNAME 9 cucm125p
3 SUBJECTNAME 63 CN=cucm125p.ucapp.cisco.com;OU=TAC;O=Cisco;L=TMT;ST=Tokyo;C=JP
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 19 CN=ActiveDirectory
6 SERIALNUMBER 10 1F:7A:2B:0D:00:01:00:00:00:7D
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 1549 27 E6 30 FB 92 A5 F8 40 B8 A6 C4 81 7C AE 5A 5D 04 49 8F F4 (SHA1 Hash HEX)
10 IPADDRESS 4 192.168.98.40
This etoken was used to sign the CTL file.
CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 2214
2 DNSNAME 9 cucm125p
3 SUBJECTNAME 63 CN=cucm125p.ucapp.cisco.com;OU=TAC;O=Cisco;L=TMT;ST=Tokyo;C=JP
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 19 CN=ActiveDirectory
6 SERIALNUMBER 10 1F:7A:2B:0D:00:01:00:00:00:7D
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 1549 27 E6 30 FB 92 A5 F8 40 B8 A6 C4 81 7C AE 5A 5D 04 49 8F F4 (SHA1 Hash HEX)
10 IPADDRESS 4 192.168.98.40
CTL Record #:3
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1628
2 DNSNAME 9 cucm125p
3 SUBJECTNAME 52 CN=CAPF-cc645979;OU=TAC;O=Cisco;L=TMT;ST=Tokyo;C=JP
4 FUNCTION 2 CAPF
5 ISSUERNAME 52 CN=CAPF-cc645979;OU=TAC;O=Cisco;L=TMT;ST=Tokyo;C=JP
6 SERIALNUMBER 16 41:37:D6:2A:A4:2F:97:00:77:07:11:CF:AC:9E:5A:A7
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 935 18 18 33 80 84 E2 FC 93 1B B4 28 DD 8A 39 D4 EF CD EE 6A BF (SHA1 Hash HEX)
10 IPADDRESS 4 192.168.98.40
IP Phone で CTL を確認する方法
CP-7900 シリーズの IP Phone では、Settings > Security Configuration > Trust List > CTL File の順でボタン操作していくと、下図のように、CTL ファイルのハッシュ値が表示されます。
それを前述した 'show ctl' で確認されるチェックサムと比較することで IP Phone が正しく Unified CM から CTL を取得できているかを確認できます。
CTL ファイルの更新
CallManager や CAPF 証明書が更新されると、CTL ファイルも手動で更新する必要があります。CTL ファイルを更新するために、Unified CM に Admin 権限で SSH でアクセスし、'utils ctl update CTLFile' を実行して 'y' を入力します。
admin:utils ctl update CTLFile
This operation will update the CTLFile. Do you want to continue? (y/n):y
Updating CTL file
CTL file Updated
Please Restart the TFTP and Cisco CallManager services on all nodes in
the cluster that run these services
その後、全ノードの Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
参考情報
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
