購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
894
閲覧回数
5
いいね!
0
コメント

Unified CM, IM&P, Unity Connection での 外部認証局 (CA) 署名証明書の更新方法

Yoshiyuki Anzai
Cisco Employee
Cisco Employee

‎2021-01-20 02:36 PM - 最終編集日: ‎2021-04-01 04:35 PM 、編集者: Level 8

 

はじめに

本ドキュメントでは、Cisco Unified Communications Manager (Unified CM) ・ IM and Presence (IM&P) 及び Cisco Unity Connection (CUC) での 外部 CA 署名証明書の更新方法について紹介します。

 

  

自己署名証明書と CA 署名証明書

Unified CM・IM&P・CUC で利用されるサーバー証明書にはサーバー自身が認証局 (CA: Certificate Authority) となって発行する自己署名証明書と、外部 CA に Certificate Single Request (CSR) を提出することで CA から発行される CA 署名証明書が存在します。デフォルトでは自己署名証明書がインストールされていますが、セキュリティ要件に応じて外部 CA 署名証明書を利用することができます。

本ドキュメントでは CA 署名証明書の更新手順について紹介します。なお自己署名証明書については以下リンクを参照ください。

Unified CM の証明書再作成の手順について 

IM&P における証明書の再作成と、それに伴うサービスの再起動 

 

 

CA 署名証明書適用手順

外部 CA により署名された証明書をサーバー証明書として利用するためには、サーバー証明書 と CA 自体の証明書 (CA 証明書) をサーバーへアップロードする必要があります。以下でその手順について説明します。

1. 証明書の識別名の確認

show web-security コマンドで証明書の識別名 (DN: Distinguished Name) を確認します。DN を変更する場合は set web-security コマンドを利用します。

set web-security コマンドでの証明書の識別名 (DN) の変更方法

 

2. Web GUIで CSR を作成

OS Administration > Security > Certificate Management から Generate CSR を選択します。

CSR_gen.png

  • Certificate Purpose : 発行する証明書の種類
  • Distribution : 配布方法。クラスタワイド (Multi-server) / Single-server から選択。
  • Common Name : ドメイン名
  • SANs : Subject Alternate Names

Distribution にて Multi-server を選択できる証明書は下記の通りです。

  • Tomcat
  • CallManager
  • Cisco Unified Presence-Extensible Messaging and Presence Protocol (cup-xmpp)
  • CUP-XMPP Server-to-Server (cup-xmpp-s2s)

また、証明書によっては SANs に Auto-populated Domains (自動入力ドメイン) という項目があり、以下のドメインが反映されます。

  • 各ノードの FQDN (Multi-server 設定時)
  • Presence domains (cup-xmpp, cup-xmpp-s2s のみ)
  • Email domains (cup-xmpp-s2s のみ)
  • Group Chat Server Alias (cup-xmpp-s2s のみ)
  • Wildcard domain (cup-xmpp-s2s で下記設定時のみ)

上記各項目を確認の上 Generate をクリックし CSR を生成します。

なお Wildcard domain は Unified CM IM and Presence Administration > System > Security > Settings にて、Enable Wildcards in XMPP Federation Security Certificates が有効時のみ反映されます。

wildcards_xmpp.png


2. 作成した CSR をダウンロード

GUI の場合

OS Administration > Security > Certificate Management > Download CSR をクリックし、 Certificate Purpose から 必要な CSR を選択し Download CSR をクリックします。

download_CSR.png

CLI の場合

以下のコマンドを入力します。

set csr gen <Certificate Purpose>
show csr own <Certificate Purpose>

 

3. CA から発行された証明書をサーバーへアップロード

署名されたサーバー証明書および CA 証明書を OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain から サーバーにアップロードします。Multi-server の場合は Publisher へのアップロードを行います。

upload_certificates.png

サーバー証明書は<該当する証明書名>を選択します。CA 証明書は <該当する証明書名-trust>を選択し、CA 証明書、 サーバー証明書の順番でアップロードします。

例えば、cup-xmpp 証明書を更新する場合は cup-xmpp-trust として CA 証明書をアップロードし、次に cup-xmpp として CA に署名されたサーバー証明書をアップロードします。

注意 : サーバー内の CSR と CAにて発行された証明書が対応していない場合、エラーが発生します。そのため、CSR 発行から サーバー証明書の アップロードの間に CSR を再生成した場合は、再度新しい CSR から サーバー証明書を発行しなおす必要があります。

CUCM / IM&P サーバの証明書要求 (拡張子.csr)、 証明書 (拡張子.crt) ファイルの確認方法 

 

4. 該当するサービスの再起動

下記該当サービスを再起動することで読み込まれた証明書が有効になります。Multi-server の場合ではすべてのノードでの該当サービスの再起動が必要になります。先に Publisher でのサービスを再起動し、次に Subscriber でのサービスを再起動します。

注意:High Availability (HA) を有効にしている場合は、cup, cup-xmpp, cup-xmpp-s2s 証明書の更新後の再起動作業を行う前に、Publisher の CM Administration > System > Presence Redundancy Group から HA を一度無効にし、すべてのノードでの再起動完了後に HA を再度有効にしてください。

Unified CM での証明書作成後に必要なサービスの再起動

IM&P での証明書再作成後に必要なサービスの再起動

 

 

参考情報

Certificates Overview - Security Guide for Cisco Unified Communications Manager, Release 12.5(1)

Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name Configuration Example

CUCM Uploading CCMAdmin Web GUI Certificates 

Cisco UC Manager Security & Certificate Deep Dive - Cisco Live!

Unified CM の証明書再作成の手順について 

IM&P における証明書の再作成と、それに伴うサービスの再起動 

set web-security コマンドでの証明書の識別名 (DN) の変更方法 

 

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents