はじめに

本ドキュメントでは、Cisco Unified Communications Manager (Unified CM) 上で使用可能な証明書の種類について紹介します。

証明書とは

なりすまし、改ざん、盗聴などのリスクを未然に防ぎ、よりセキュアな暗号化通信を確立する際に使用される電子文書です。

証明書の種類

Unified CM 上で使用する証明書には大きく分けて自己署名証明書、外部証明書、MIC、LSC の 4 種類あり、本ドキュメントでは各証明書の役割について紹介していきます。 　　　　　　　

自己署名証明書
Unified CM (pub sub を問わず) はシステムが初めて起動した際に、自動で以下の証明書を発行します。
Unified CM は自らがこれらの自己署名証明書の発行と失効を司る認証局（Certificate Authority=CA）となり、自己署名を加えた証明書をクラスタを組んでいる他ノードやエンドポイントへ分配します。分配された証明書を保持する他ノードと電話機は暗号化通信を使用してUnified CM へアクセスすることが可能となります。

• Callmanager
• CAPF（Certificate Authority Proxy Function）
• IPSec
• Tomcat
• TVS（信頼検証サービス）
• ITLRecovery（CUCM 10.X 以降のみ）
  
  

システム稼動後、約 5 年が経過すると一旦配布された自己署名証明書が失効するため、再発行を必要があります。失効する前に自己署名証明書を更新することも可能です。 

外部証明書

外部の公的期間が認証局（Certificate Authority=CA）となり発行する 自己署名証明書です。用途は様々ですが、Unified CM 上で使用する場合は、自己署名証明書ファイルをインストールする必要があります。

Manufacture-Installed Certificate(MIC)
Cisco 社の IP Phone は自社製品であることを証明し、Unified CM と IP Phone 間のセキュアな暗号化通信を実現する目的で、製造段階で MIC と呼ばれる以下の自己署名証明書がインストールされた状態で出荷されます。MIC は IP Phone 側で削除することは出来ません。一方、Unified CM は MIC を有効な自己署名証明書であることを認識する目的で、システム稼働時に以下の自己署名証明書をインストールした状態で出荷されます。MIC は一定期間が経過した後に失効し、二度と再作成を行うことが出来なくなります。

• CAP-RTP-001
• CAP-RTP-002
• Cisco_Manufacturing_CA 

Cisco Manufacturing CA SHA2

 Locally Significant Certificate (LSC): 
上記で紹介した MIC は一定期間が経過した後に失効し、二度と再作成を行うことが出来なくなります。そこで、CUCM は Certificate Authority Proxy Function (CAPF) を使用しすることで、自己署名証明書の発行元(認証局)となり、IP Phone 側へ自己署名証明書を配布します。これを LSC と呼びます。LSC によって MIC が失効した後も CUCM と IP Phone 間のセキュアな暗号化通信を実現することが可能です。

尚、MIC と CAPF の両方が失効した場合、暗号化通信を確立することは出来なくなりますが、CUCM と IP Phone 間の通信自体に問題は発生しません。
 

trust ファイルについて

CallManager-trust のように -trustと名の付く証明書はシステム導入時に Publisher にて自動で生成される XX.pem の写し(コピー)が他ノードに配布されたものとなります。失効期限が近づいても -trust 形式の証明書の再作成を行う必要はありません。-trust が付く証明書は発行元の証明書が更新されると自動的に更新されます。

参考情報

• Unified CM 証明書再作成の手順について  
• Unified CM 証明書失効による影響  
• CUCM 電話証明書（LSC/MIC）のための Q.A 
• CUCM 証明書の再生成/更新プロセス  
• IM&P における証明書の再作成と、それに伴うサービスの再起動