- ホーム
- /
- 投稿記事
コメントありがとうございます。
9800/8875 上のカスタム デバイス証明書
この記事の内容
フィードバックがある場合カスタム デバイス証明書 (CDC) は、手動または自動でインストールできます。 特定の環境では、DHCP オプション 43 を使用して、証明書のインストール用の SCEP パラメータを提供できます。 このヘルプ記事は、Cisco BroadWorks または Webex Calling に登録された Cisco デスクフォン 9800 シリーズおよび Cisco ビデオフォン 8875 を対象としています。
カスタムデバイス証明書のインストール
携帯電話にカスタム デバイス証明書 (CDC) をインストールするには、状況に応じて次のいずれかの方法を使用します。
電話機に最後にインストールされた証明書が有効になります。
- 手動インストール - 電話管理 Web ページから証明書をアップロードしてインストールできます。 詳細については、 アップロードによるカスタムデバイス証明書の手動インストール。
- 自動インストール - 証明書の自動インストールをトリガーするように、Simple Certificate Enrollment Protocol (SCEP) パラメータを設定できます。 電話機は証明書をインストールするために SCEP サーバに SCEP 要求を送信します。
SCEP パラメータは、電話管理 Web ページ、電話構成ファイル (cfg.XML)、または Control Hub から構成できます。 詳細については、 SCEP によるカスタムデバイス証明書の自動インストール そして コントロールハブの電話設定のパラメータ。
- DHCP オプション 43: 特定の環境では、DHCP オプション 43 を使用して証明書をインストールできます。オプション 43 は、証明書のインストール用の SCEP パラメータを提供できます。 詳細については、 DHCP オプション 43 による SCEP パラメータの設定。
-
SCEP パラメータのプロビジョニングに DHCP オプション 43 を使用すると、電話機は DHCP オプション 15 から伝送されたドメイン名も取得できます。取得したドメイン名に基づいて、電話機は SCEP CSR 共通名と 802.1X ユーザ ID を構築できます。 詳細については、 DHCP オプション 15 による共通名またはユーザ ID のプロビジョニング。
DHCP オプションの設定方法の詳細については、以下を参照してください。 DHCP オプションを設定する。
-
アップロードによるカスタムデバイス証明書の手動インストール
電話管理ウェブページから証明書をアップロードすることで、電話にカスタム デバイス証明書 (CDC) を手動でインストールできます。
はじめる前に
電話のカスタム デバイス証明書をインストールするには、以下が必要です。
- PC に保存された証明書ファイル (.p12 または .pfx)。 ファイルには証明書と秘密鍵が含まれています。
- 証明書の抽出パスワードです。 パスワードは証明書ファイルの解読に使用されます。
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
選択 証明書。 |
| 3 |
証明書の追加 セクションで、 参照... をクリックします。 |
| 4 |
PC の証明書を参照します。 |
| 5 |
[抽出パスワード(Extract password)] フィールドに、証明書の抽出パスワードを入力します。 |
| 6 |
[アップロード(Upload)] をクリックします。 証明書ファイルとパスワードが正しい場合、「
証明書が追加されました。」というメッセージが表示されます。 そうでない場合、アップロードは失敗し、証明書をアップロードできないことを示すエラーメッセージが表示されます。 |
| 7 |
インストール済みの証明書を確認するには、[既存の証明書(Existing Certificates)] セクションで [表示(View)] をクリックします。 |
| 8 |
インストールされた証明書を電話から削除するには、[既存の証明書(Existing Certificates)] セクションで [削除(Delete)] をクリックします。 ボタンをクリックすると、削除操作が確認なしですぐに開始されます。
証明書が正常に削除されると、「 |
SCEP によるカスタムデバイス証明書の自動インストール
SCEP (Simple Certificate Enrollment Protocol) 関連のパラメータを構成して、SCEP サーバと対話し、カスタム デバイス証明書 (CDC) を自動的にインストールすることができます。
いずれかの SCEP パラメータが設定されると、電話機は SCEP 登録要求をサーバに送信します。 電話機は、設定された指紋を使用して受信した CA 証明書を検証します。
はじめる前に
電話機のカスタム デバイス証明書 (CDC) の自動インストールを実行する前に、次のものが必要です。
- SCEP サーバアドレス
- SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
選択 証明書。 |
| 3 |
の中で SCEP 設定 1 セクションでは、説明に従ってパラメータを設定します。 SCEP 設定のパラメータ 。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
SCEP 構成のパラメータ
次の表は、SCEP 構成パラメータの機能と使用法を定義しています。 SCEP 設定 1 セクションの下 証明書 電話のウェブインターフェースで Tab。 また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。
パラメータを変更すると、電話機は新しい証明書を要求します。
| パラメータ | 説明 |
|---|---|
| サーバ(Server) |
SCEP サーバアドレス。 このパラメータは必須です。 次のいずれかを実行します。
有効な値: URL または IP アドレス。 HTTPS スキームはサポートされていません。 デフォルト:空 |
| ルート CA フィンガープリント |
SCEP プロセス中の検証のためのルート CA の SHA256 または SHA1 指紋。 このパラメータは必須です。 次のいずれかを実行します。
デフォルト:空 |
| チャレンジ パスワード |
SCEP 経由の証明書登録中の電話機に対する Certificate Authority(CA)認証用のチャレンジパスワード。 このパラメータはオプションです。 実際の SCEP 環境により、チャレンジパスワードの動作は異なります。
次のいずれかを実行します。
デフォルト:空 |
| 共通名(Common Name) |
証明書を要求する電話の識別子として使用される共通名 (CN) を指定します。 CN は、SCEP プロセスの証明書署名要求 (CSR) に使用されます。 このパラメータはマクロ拡張変数もサポートします。 マクロ展開変数 詳細については。 次のいずれかを実行します。
有効な値: 最大 64 文字 デフォルト:空 |
SCEP による証明書の更新
デバイス証明書は、SCEP プロセスによって自動的に更新できます。
- 電話機は、証明書が 15 日後に期限切れになるかどうかを 4 時間ごとに確認します。 その場合、電話は証明書の更新プロセスを自動的に開始します。
- チャレンジ パスワードが空の場合、電話は最初の登録と証明書の更新の両方に MIC/SUDI を使用します。 チャレンジ パスワードが設定されている場合、最初の登録にのみ使用され、既存/インストール済みの証明書が証明書の更新に使用されます。
- 電話は、新しい証明書を取得するまで、古いデバイス証明書を削除しません。
- デバイスの証明書または CA の有効期限が切れているために証明書の更新が失敗した場合、電話は最初の登録を自動的にトリガーします。 一方、チャレンジ パスワード認証が失敗すると、電話スクリーンにパスワード入力画面がポップアップ表示され、ユーザは電話でチャレンジ パスワードを入力するように求められます。
CDC 共通名の設定
デフォルトでは、MIC/SUDI の共通名が CDC の共通名として使用されます。
証明書をインストールするときに、CDC の共通名を設定できます。 次のいずれかの方法を使用して、電話機に CDC をインストールします。
-
必要な共通名を含む証明書署名要求 (CSR) を生成し、電話管理 Web ページに新しい証明書をアップロードしてインストールします。
-
電話管理 Web ページ、電話設定ファイル (cfg.XML)、または Control Hub から共通名を設定します。 これにより、電話機は自動的に新しい証明書を要求するようになります。
電話のウェブページとコントロールハブのパラメータの詳細については、以下を参照してください。 SCEP によるカスタムデバイス証明書の自動インストール そして コントロールハブの電話設定のパラメータ。
- DHCP オプション 43 および 15 を使用して、CDC および有線 802.1X ID の共通名をプロビジョニングします。
詳細については、 DHCP オプション 15 による共通名またはユーザ ID のプロビジョニング。
DHCP オプション 43 経由の SCEP パラメータ設定
特定の環境では、カスタム デバイス証明書 (CDC) をアップロードしたり、SCEP パラメータを直接構成したりしてインストールすることはできません。 このような状況では、DHCP オプション 43 を使用して、DHCP サーバからパラメータを入力できます。 DHCP オプション 43 を設定すると、電話に SCEP パラメータを提供できます。 電話機を工場出荷時の状態にリセットすると、DHCP サーバからパラメータを受信し、SCEP プロトコル経由で CDC をインストールできるようになります。
- この機能 (DHCP オプション 43 による SCEP パラメータ構成) は、工場出荷時の状態にリセットされた電話でのみ使用できます。
- オプション 43 およびリモート プロビジョニング (たとえば、オプション 66,160,159,150 やクラウド プロビジョニング) をサポートしているネットワークに電話機を配置しないでください。 そうしないと、電話機はオプション 43 構成を取得できない可能性があります。
DHCP オプション 43 から提供される SCEP パラメータによって CDC 証明書をインストールするには、次の手順を実行します。
- SCEP 環境を準備します。
SCEP 環境設定の詳細については、SCEP サーバのドキュメントを参照してください。
- DHCP オプション 43 ( 8.4 ベンダー固有情報、RFC 2132 で定義) をセットアップします。
サブオプション (10-15) は メソッド用に予約されています。
電話機ウェブページのパラメータ サブオプション タイプ 長さ (バイト) 必須 FIPS モード 10 boolean 1 いいえ* サーバ(Server) 11 文字列 208 - 長さ(チャレンジパスワード) 対応 ルート CA フィンガープリント 12 hex 20、32、48、または 64 対応 チャレンジ パスワード 13 文字列 208 - 長さ(サーバ) いいえ* [802.1X認証の有効化(Enable 802.1X Authentication)] 14 boolean 1 未対応 証明書の選択 15 符号なし 8 ビット 1 未対応 * は、実際の状況に応じてパラメータが設定されることを意味します。
DHCP オプション 43 を使用する場合、この方法の以下の特性に注意してください。
- サブオプション (10–15) はカスタムデバイス証明書 (CDC) 用に予約されています。
- DHCP オプション 43 の最大長は 255 バイトです。
- サーバ + チャレンジパスワード の最大長は 208 バイト未満でなければなりません。
- FIPS モード の値は、オンボーディングプロビジョニングの設定と一致している必要があります。 そうしないと、電話はオンボーディング後に以前にインストールされた証明書の取得に失敗します。 具体的には、
- FIPS モードが無効になっている環境に電話機を登録する場合は、設定する必要はありません。 FIPS モード DHCP オプション 43 で。デフォルトでは、FIPS モードは無効になっています。
- FIPS モードが有効になっている環境に電話機を登録する場合は、DHCP オプション 43 で FIPS モードを有効にする必要があります。 FIPS モードを有効にする 詳細については。
- オプション 43 のチャレンジ パスワードはクリア テキストです。
- 電話で初期登録と証明書の更新に MIC/SUDI を使用する場合は、チャレンジ パスワードを空のままにします。
- チャレンジ パスワードを最初の登録にのみ使用する場合は、チャレンジ パスワードを設定します。 この場合、インストールされた証明書が証明書の更新に使用されます。
- 802.1X 認証を有効にする および 証明書の選択 は、有線ネットワークの電話機にのみ使用されます。
- DHCP オプション 60 (ベンダー クラス識別子) は、デバイス モデルを識別するために使用されます。
DHCP オプション 43 (サブオプション 10 ~ 15) の例:
サブオプション 10 進数または 16 進数 値の長さ(バイト)10 進数または 16 進数 値 16 進数値 10/0a 1/01 1 (0: 無効; 1: 有効) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1(0:いいえ、1:はい) 01 15/0f 1/01 1(0:製造元でインストール、1:カスタムインストール) 01 パラメータ値の概要:
-
FIPS モード =
Enabled -
サーバ =
http://10.79.57.91 -
ルート CA フィンガープリント =
12040870625C5B755D73F5925285F8F5FF5D55AF -
チャレンジ パスワード =
D233CCF9B9952A15 -
802.1X 認証を有効にする =
Yes -
証明書の選択 =
Custom installed
最終的な 16 進値の構文は次のとおりです:
{<suboption><length><value>}...上記のパラメータ値によると、最終的な 16 進値は以下の通りです。
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - DHCP サーバで DHCP オプション 43 を構成します。
この手順は、Cisco Network Register の DHCP オプション 43 構成の例を提供します。
- DHCP オプション定義セットを追加します。
ベンダーオプション文字列 は IP 電話のモデル名です。 有効な値は、DP-9841、DP-9851、DP-9861、DP-9871、または CP-8875 です。
- DHCP オプション 43 とサブオプションを DHCP オプション定義セットに追加します。
例:
- オプション 43 を DHCP ポリシーに追加し、値を次のようにセットアップします。
例:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - 設定を確認します。 Wireshark を使用して、電話とサービスの間のネットワーク トラフィックのトレースをキャプチャできます。
- DHCP オプション定義セットを追加します。
- 電話機の工場出荷時設定へのリセットを実行します。
電話がリセットされた後、パラメータ サーバ、 ルート CA 指紋、および チャレンジパスワード が自動的に入力されます。 これらのパラメータは、電話管理 Web ページの [証明書] > セクションにあります。
インストール済みの証明書を確認するには、[既存の証明書(Existing Certificates)] セクションで [表示(View)] をクリックします。
証明書のインストール状態を確認するには、 を選択します。 ダウンロード状況 1 に最新の結果が表示されます。 証明書の登録中に問題が発生した場合、トラブルシューティングの目的で、ダウンロードの状況に問題の理由を表示できます。
チャレンジ パスワード認証が失敗した場合、ユーザーは電話スクリーン上でパスワードを入力するように指示されます。
- (オプション): インストールされた証明書を電話機から削除するには、[ 既存の証明書 ] セクションで [ 削除 ] をクリックします。
ボタンをクリックすると、削除操作が確認なしですぐに開始されます。
DHCP オプション 15 による共通名またはユーザ ID のプロビジョニング
DHCP オプション 43 による SCEP 証明書の登録中に、電話機は DHCP オプション 15 (設定されている場合) で提供されるドメイン名も取得できます。 電話機がドメイン名を受信すると、次のように表されるドメイン名を使用して共通名またはユーザ ID を作成できます。
- 共通名 = <MIC/SUDI の共通名>.<オプション 15 のドメイン名>
共通名 は SCEP プロセスの CSR に使用され、後に CDC の共通名になります。
- ユーザ ID = <MIC/SUDI の共通名>@<オプション 15 のドメイン名>
ユーザ ID は、有線 802.1X 認証の ID として使用されます。
たとえば、電話の MAC アドレスは 00:1A:2B:3C:4D:5E、電話のモデルは 9871 です。
| DHCP オプション 15 のドメイン名 | 共通名(Common Name) | ユーザー ID(User ID) |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Empty | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
オプション 15 でドメイン名が設定されていない場合、共通名とユーザ ID は MIC/SUDI の共通名と同じになります。
