2015-07-17 12:18 AM 2017-09-12 03:39 PM 更新
本ドキュメントでは Cisco Expressway の証明書の設定方法を紹介します。Mobile and Remote Access (MRA) 機能や Business-to-Business (B2B) 機能の展開では、Cisco Expressway-C と Cisco Expressway-E の間、Cisco Expressway-E とリモートデバイスの間の通信は SIP-TLS, SRTP, HTTPS で暗号化される必要があります。一方、Cisco Expressway-C と Unified CM などの社内デバイスとの間の通信の暗号化は必須ではありません。
この暗号化を実現するために以下の 2 つの設定が必要となります。Expressway-C と Expressway-E の間の自己証明書を使った接続はサポートされていません。
本ドキュメントではテスト環境として Windows Server の証明書サービスを用いて証明書の作成を行い、Expressway-C と Expressway-E に登録する方法を紹介します。
また、展開する機能 (MRA で IP Phone を展開する場合、CMR Hybrid を使用する場合、等) によっては、記載したサーバ証明書もしくは本ドキュメントで記載しているテスト用の CA が公的な CA によって証明されていることが必須になります。
Cisco Expressway にインストールするサーバ証明書を作成するため、Windows Server 上に Web サーバ用証明書テンプレートを作成します。MRA が有効になった Cisco Expressway では相互 TLS 認証を用いるため [サーバ認証] および [クライアント認証] 拡張が有効になったサーバ証明書が必要になります。
1. Windows Server で、サーバマネージャを開始します (スタート > 管理ツール > サーバマネージャ)。
2. サーバマネージャのナビゲーションツリーを [役割] > [Active Directory 証明書サービス] > [証明書テンプレート (ドメイン)] まで展開します。
3. [Web Server] を右クリックして、[テンプレートの複製] を選択します。
4. [Windows Server 2003 Enterprise] を選択し、[OK] をクリックします。
5. [全般] タブで、[テンプレートの表示名] と [テンプレート名] を例えば Web Client and Server と WebClientandServer と入力します。
6. [拡張] タブで、[アプリケーションポリシー] を選択し、[編集] をクリックします。
7. [クライアント認証] をアプリケーションポリシーのセットに追加します。
[追加] > [クライアント認証] を選択 > OK をクリック > OK をクリック
8. [OK] をクリックして、新しいテンプレートの追加を完了します。
9. 認証局に新しいテンプレートを追加するには、次の手順を実行します。
[役割] > [Active Directory 証明書サービス] > [<自身の証明期間>] を選択します。
[証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。
作成した [Web Client and Server] テンプレートを選択し、[OK] をクリックします。
新しい [Web Client and Server] テンプレートが利用できるようになりました。
10. 追加した証明書テンプレートの確認をします。
http://<Windows Server's IP address>/certsrv に Web ブラウザからアクセスします。
11. [証明書を要求する] > [証明書の要求の詳細設定] > [Base 64 エンコード CMC または~] を選択します。
12. [証明書テンプレート] から先ほど作成した [Web Client and Server] が選択できることを確認します。
CA に対してサーバ証明書への署名を申請するために、Expressway-C にて証明書署名要求 (CSR: Certificate Signing Request) を次の手順で作成します。
1. [Maintenance] > [Security certificates] > [Server certificate] へ移動します。
2. [Certificate signing request (CSR)] の [Generate CSR] をクリックします。
3. Generate CSR のページが表示されます。
- Expressway がクラスタ化されない場合:
- Expressway がクラスタ化され、Expressway 毎に個別の証明書がある場合:
4. Common name は、[FQDN to Expressway] を選択してください。
5. Alternative name ではサブジェクトの別名 (SAN: Subject Alternate Name) を入力します。
[Subject alternative names] は [FQDN of Expressway cluster plus FQDNs of all peers in the cluster] を選択してください。
Expressway-C では下記の要素を含める必要があります。
CUCM が Mix モードで動作し、暗号化された通信を行うデバイスを設定する場合に指定します。Unified CM サーバの設定の [System] > [Security] > [Phone Security Profile] で TLS を利用するデバイス向けに設定した Phone Security Profile の Name を設定します。FQDN 形式で設定します。
XMPP フェデレーションを利用時に設定します。IMP サーバの設定の [Messaging] > [Group Chat and Persistent Chat] の [System automatically manages primary group chat server alias] が有効な場合は [Messaging] > [Group Chat Server Alias Mapping] の [Primary Group Chat Server Alias] の値を設定し、無効な場合は [Group Chat Server Alias] を設定します。
6. Additional Information に鍵長、ダイジェストアルゴリズム、国別番号、都道府県名、市区町村名、部門名、組織名を入力します。
7. [Generate CSR] をクリックします。
8. CSR が生成されていることを確認します。
9. [Certificate request] の [Show (decoded)] をクリックして 設定した内容が CSR に反映されているか確認します。
Expressway の CSR では X509v3 Extended Key Usage で証明書の使用用途として TLS Web Server Authentication と TLS Web Client Authentication が設定されています。
10. [Certificate request] の [Show (PEM file)] をクリックして、ハッシュされた CSR 情報を表示し、BEGIN から END までの行を全てコピーしてデスクトップ上に保存します。
Expressway-C とほぼ同様の手順で、Expressway-E でも CSR を作成します。
1. Expressway-C と同様に [Maintenance] > [Security certificates] > [Server certificate] へ移動し、[Generate CSR] をクリックします。
2. Generate CSR のページが表示されます。
- Expressway がクラスタ化されない場合:
- Expressway がクラスタ化され、Expressway 毎に個別の証明書がある場合:
3. Common name は、[FQDN to Expressway] を選択してください。
4. Alternative name ではサブジェクトの別名 (SAN: Subject Alternate Name) を入力します。
[Subject alternative names] は [FQDN of Expressway cluster plus FQDNs of all peers in the cluster] を選択してください。
Expressway-E では下記の要素を含める必要があります。
Unified CM の登録用に Expressway-C で設定されているすべてのドメイン。トップレベルドメインを SAN として含めたくない場合はcollab-edge を先頭に付与します (ドメインが ucapp.cisco.com の場合、SAN に ucapp.cisco.com もしくは collab-edge.ucapp.cisco.com を設定します)。ボイスサービスドメインを含みます。
XMPP フェデレーションを利用時に設定します。
5. Expressway-C と同様に Additional information に鍵長、ダイジェストアルゴリズム、国番号、市区町村、部門名、組織名を入力し、[Generate CSR] をクリックします。
6. Expressway-C と同様に、[Certificate signing request (CSR)] の [Show (decoded)] で内容を確認し、[Show (PEM file)] をクリックして CSR 情報を表示し、BEGIN から END までの行を全てコピーしてデスクトップに保存します。
Expressway-C で作成した CSR 情報を使って CA でサーバ証明書を発行します。
1. 証明書サービスにアクセスします。
http://<Windows Server's IP address>/certsrv に Web ブラウザからアクセスします。
2. [証明書を要求する] を選択します。
3. [証明書の要求の詳細設定] を選択します。
4. [Base 64 エンコード CMC ~] を選択します。
5. [保存された要求]、に Expressway-C でコピーして保存した CSR 情報を貼り付け、[証明書テンプレート] は先程作成した [Web Server and Client] を選択します。
6. [送信] をクリック。
7. [Base 64 エンコード] を選択し、[証明書のダウンロード] をクリックしてサーバ証明書をダウンロードします。expwc.cer という名前で保存します。
Expressway-E も Expressway-C と同様の手順で、Expressway-E で作成した CSR 情報からサーバ証明書を発行します。expwe.cer という名前で保存します。
CA で発行されたサーバ証明書を Expressway-C にアップロードします。
1. Expressway-C にログインします。
2. [Maintenance] > [Security services] > [Server certificate] に移動します。
3. [Upload new certificate] の [Select the server certificate file] の Browse ボタンを押して、先程ダウンロードした expwc.cer を選択し、[Upload server certificate data] をクリックします。
4. サーバ証明書がアップロードされたことを確認します。[Show (decoded)] で内容を確認することができます。
false
5. [Maintenance] > [Restart Options] を選択し、[Reboot] をクリックしてシステムをリブートします。
CA で発行されたサーバ証明書を Expressway-E にアップロードします。Expressway-C と同様の手順で expwe.cer をアップロードし、システムをリブートしてください。
CA から CA 証明書をダウンロードします。
1. http://<Windows Server's IP address>/certsrv に Web ブラウザからアクセスします。
2. [CA 証明書、証明書チェーン、または CRL のダウンロード] を選択します。
3. エンコード方式として [Base 64] を選択し、[CA 証明書のダウンロード] を選択します。
ファイル名を certnew.cer から CA.cer に変更して保存します。
ダウンロードした CA を Expressway-C および Expressway-E にアップロードします。
1. Cisco Expressway-C もしくは Cisco Expressway-E にログインします。
2. [Maintenance] > [Security certificates] > [Trusted CA certificate] を選択します。
3. [Trusted CA certificate] にプリインストールされている証明書 (O=Temporary CA と記載されています) がある場合は選択し、削除して下さい。
4. [Upload] の [Browse] をクリックし、先程ダウンロードした CA.cer を選択し、[Append CA certificate] ボタンを押してアップロードします。
5. [Maintenance] > [Restart Options] を選択し、[Reboot] をクリックし、システムをリブートします。
Expressway-C と Expressway-E 間で Unified Communications Traversal Zone を設定し、ステータスが Reachable になることを確認してください。Unified Communications Traversal Zone の設定方法はこのドキュメントでは割愛します。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします