1. No category

PDF

Unified Communications Manager:信頼できる(SSL)証明書の
インストール
目次
概要
前提条件
要件
使用するコンポーネント
表記法
HTTPS(tomcat_cert)証明書
tomcat の認証局署名証明書のインストール
証明書署名要求(CSR)のダウンロード
CSR 用の署名済み証明書を CA から取得
証明書の Cisco Unified Communications Manager へのアップロード
tomcat の再起動
トラブルシューティング
問題
解決策
問題
解決策
関連情報
概要
このドキュメントでは、https://<node>/ccmuser にアクセスするユーザに証明書エラーが生じないように、信頼できる SSL 証明
書を作成してインストールする方法について説明します。
前提条件
要件
Cisco Unified Communications Manager 7.x に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、Cisco Unified Communications Manager 7.x に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて
のデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのよう
な作業についても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
HTTPS(tomcat_cert)証明書
シスコでは、デフォルトで Cisco Unified Communications Manager サーバに自己署名証明書を使用します。Cisco Unified
Communications Manager Web ページの表示に使用するブラウザに、この自己署名証明書がロードされていないと、証明書のセキ
ュリティ メッセージがブラウザに表示されます。自己署名証明書から認証局署名証明書に変更することで、このデフォルトの動
作によるエラーの発生を防ぐことができます。新しい Cisco Unified Ccommunications Manager の tomcat 証明書の署名に使用
される認証局ルート証明書が Web ブラウザで信頼されていれば、セキュリティ メッセージは表示されません。さらに、ユーザ
は、必ず CA 署名証明書に示されているホスト名と同じホスト名を使用してサーバにアクセスする必要があります。
このドキュメントでは、自己署名証明書から CA 署名証明書へ変更する手順について説明します。
tomcat の認証局署名証明書のインストール
証明書は名前で識別されます。証明書署名要求(CSR)を作成する前に名前が正しいことを確認する必要があります。これには、
SSH CLI から admin:show web-security コマンドを使用します。このコマンドは、現在の Web セキュリティ証明書の内容を表示
します。hostname と subject alternate の名前が、CSR 生成時に使用した正しい名前であることを確認してください。
詳細については、『CCMAdmin Web GUI 証明書の CUCM へのアップロード』を参照してください。
ここで、Cisco Unified Communications Manager を使用して証明書署名要求(CSR)を生成する必要があります。次の手順を実行
します。
1. Cisco Unified Communications Manager の [OS Administration] ページにログインします。
2. [Security] > [Certificate Management] を選択します。
[Certificate List] ウィンドウが表示されます。
3. [Generate CSR] ボタンをクリックします。
[Generate Certificate Signing Request] ダイアログボックスが表示されます。
4. [Certificate Name] ドロップダウン リストから [tomcat] サービスを選択し、[Generate CSR] ボタンをクリックします。
5. 証明書が生成されると、ステータス メッセージ Success:Certificate Signing Request Generated が表示されます。
証明書署名要求(CSR)のダウンロード
次に、証明書署名要求(CSR)を生成した同じブラウザ ウィンドウから証明書をダウンロードします。次の手順を実行します。
1. [Download CSR] をクリックします。
[Download Certificate Signing Request] ダイアログボックスが表示されます。
2. ダウンロードする [tomcat] を選択し、[Download CSR] をクリックします。
3. このファイルを、ご使用のローカル コンピュータに保存します。証明書への署名が可能な認証局に、このファイルを送信す
る必要があります。
Microsoft CA による証明書の発行を希望する場合は、次の手順を実行してください。あるいは、ユーザに証明書を提供する認証
局(CA)で CSR の署名を取得することもできます。
CSR 用の署名済み証明書を CA から取得
CSR を Microsoft CA にロードし、インターネット証明書として署名してもらう必要があります。これが完了すると、Cisco
Unified Communications Manager ではなく Microsoft CA を信頼されたルートとするパスに表される、新しい*.csr ファイルを
取得できます。Windows 2003 Server の CA を使用する場合は、次の手順で CSR を CA に送信します。
1. 前の手順でダウンロードした CSR ファイルをメモ帳で開き、---BEGIN CERTIFICATE REQUEST--- と ---END CERTIFICATE
REQUEST-- の行を含めた内容全体をコピーします。
2. http://<certificate server address>/certsrv に移動して、[Certificates Server] Web ページを開きます。
3. [Request a certificate] をクリックします。
[Request a Certificate] Web ページが表示されます。
4. [Advanced certificate request] リンクをクリックします。
[Advanced Certificate Request] Web ページが表示されます。
5. [Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by
using a base-64-encoded PKCS #7 file] リンクをクリックします。
[Submit a Certificate Request or Renewal Request] Web ページが表示されます。
6. ステップ 1 でコピーした内容を [Saved Request] フィールドに貼り付けて、[Certificate Template] ドロップダウン リ
ストで [Web Server] を選択し、[Submit] をクリックします。
[Certificate Issued] Web ページが表示されます。
7. [Certificate Issued] Web ページで、[DER encoded] オプション ボタンをクリックしてから [Download certificate] を
クリックします。
8. このファイルをローカル コンピュータに保存します。
注:他の証明書の要求とダウンロードも上記と同じ手順で行います。これらの手順を完了すると、ご使用のローカル コンピ
ュータにすべての証明書が保存されます。
証明書の Cisco Unified Communications Manager へのアップロード
証明書チェーンを確立するには、CA のルート/中間証明書と tomcat の SSL 証明書を取得し、インストールする必要がありま
す。次の手順を実行して Cisco Unified Communications Manager に証明書をアップロードしてください。
1. Cisco Unified Communications Manager の [OS Administration] ページにログインします。
2. [Security] > [Certificate Management] を選択します。
[Certificate List] ウィンドウが表示されます。
3. [Upload Certificate] ボタンをクリックします。
4. 証明書タイプが [tomcat-trust] であることを確認します。
5. [Browse] ボタンをクリックしてルート証明書を探します。
注:アップロードされるファイルの名前は UC-DC_PEM.cer です。これは、Base64 エンコード PEM ファイルです。このファ
イルが Cisco Unified Communications Manager にアップロードされると、ファイル名が UC-DC.pem になります。Cisco
Unified Communicatoins Manager は、このファイルの名前を <SUBJECT CN>.pem に変更します。
6. [Upload File] ボタンをクリックして証明書をアップロードします。
7. 同じ [Upload Certificate] ページで、証明書名として [tomcat] を選択します。
8. [Root Certificate] フィールドに UC-DC.pem と入力します。
注:これは、CA が発行した ID 証明書です。証明書チェーンを完成させるために、.pem ルート証明書を指定します。保存
したルート証明書の名前は UC-DC_PEM.なので、UC-DC.pem と入力する必要があります。
9. [Upload File] ボタンをクリックします。
注:SSL 証明書 tomcat-trust をアップデートできない場合は、Cisco Bug ID CSCsv32209(登録ユーザ専用)を参照してく
ださい。
tomcat の再起動
SSH CLI から次のコマンドを使用して tomcat を再起動します。
admin: utils service restart Cisco Tomcat
tomcat の再起動後に CCMAdmin または CCMUser GUI にアクセスすれば、新しく追加した証明書が使用されていることを確認でき
ます。
トラブルシューティング
問題
新しい tomcat 証明書のアップロード時に、次のエラー メッセージが表示されます。
Unable to read CA certificate
解決策
この問題は、ファイル拡張子を .crt から .pem に変更した後で証明書をアップロードした場合に発生します。アップロードする
ファイルの拡張子が .cer であることを確認してください。たとえば、アップロードされるファイルの名前は UC-DC_PEM.cer の
ようになります。これは、Base64 エンコード PEM ファイルです。このファイルが Cisco Unified Communications Manager にア
ップロードされると、ファイル名が UC-DC.pem になります。
問題
再生成されたファイルが設定ファイルの電話およびデバイス認証に含まれているファイルと一致しないと、新しい ITL ファイル
でエラーが発生します。
解決策
手動で ITL ファイルを削除する方法については、『ITL ファイルの削除』を参照してください。もう 1 つの解決策として、CTL
ファイルと USB eToken を使用し、クラスタ セキュリティを有効にする方法もあります。クラスタ セキュリティが有効になって
いれば、以下の解決策を適用しなくても、eToken によって信頼が維持されます。これらは、ホスト名が変更されても変わりませ
ん。
クラスタ セキュリティが有効になっていない場合は、クラスタのサーバ数に応じて次の手順を実行します。
シングル サーバ クラスタの場合
IP/ホスト名を変更する前に、ロールバックを有効にします。次の手順を実行します。
1. CM の [Prepare Cluster for Rollback to pre-8.0] エンタープライズ パラメータを [True] に設定します。
2. TVS と TFTP を再起動します。
3. すべての電話をリセットします。
各電話は、空の TVS/TFTP 証明書セクションを持つ特別な ITL ファイルをダウンロードします。
4. 空の ITL ファイルは、[Settings] > [Security] > [True List] > [ITL on the Phone, TVS and TFTP] で確認できます。
このセクションが空になっているはずです。
5. IP/ホスト名を変更し、電話をクラスタへのロールバック登録に設定できるようにします。
6. すべての電話が正常に登録されたら、[Prepare Cluster for Rollback to pre-8.0] を [false] に設定します。その後
TVS と TFTP を再起動して、すべての電話をリセットします。
マルチサーバの場合
問題が発生するのは、電話をリセットして正常な TFTP トランザクションが実行されることなく、一度にすべてのサーバが変更さ
れた場合だけです。マルチサーバ環境では、新しく登録された証明書/ITL を確認するために、電話はプライマリとセカンダリの
TVS サーバを必要とします。最新の設定変更によって電話がプライマリ TVS サーバと通信できない場合は、セカンダリ サーバに
フォールバックされます。TVS サーバは、電話に割り当てられた CM グループで識別されます。IP/ホスト名の変更は一度に 1 台
のサーバで実行してください。
注:上記のいずれの場合も、CTL ファイル/トークンを使用するには、IP/ホスト名/DNS ドメイン名の変更後に CTL クライアント
を再実行する必要があります。
詳細は、Cisco Bug ID CSCto59461(登録ユーザ専用)を参照してください。
関連情報
Unified Communications Manager 7.X ドメイン証明書の設定例(英語)
Unified Communications Manager:セキュリティ証明書の削除と再作成(英語)
テクニカルサポートとドキュメント - Cisco Systems
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2014 年 3 月 14 日
http://www.cisco.com/cisco/web/support/JP/112/1122/1122095_sslcert-cucm-00-j.html
Document ID: 112108

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz