Certificate Management 概要

証明書管理の一元化は、複数のクラスタにわたる Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection、および Cisco Emergency Responder の証明書を表示および管理するための単一の場所を提供するクラウドベースのサービスです。

はじめる前に

必要なクラスタのサービスの管理ページで証明書管理サービスを有効にする必要があります。 詳細については、「制御ハブで Cloud-Connected UC サービスを有効にする」を参照してください。

証明書管理の一元化の主な機能は次のとおりです。

  • 各クラスタの証明書ステータスを示すマルチクラスタ ダッシュボード。

  • 個々のクラスタレベルでのアイデンティティ証明書と信頼証明書の詳細ビュー。

  • CSR の生成、証明書のアップロード、更新、ダウンロード、コピー、置換、削除などの証明書の操作を実行する機能。

  • 期限切れの証明書とまもなく期限が切れる証明書を表示するアラートダッシュボード。

  • 証明書の有効期限の電子メール通知などの通知を設定する機能。

  • 証明書を複数の信頼ストアとクラスタに分散する機能。

  • さまざまな設定で証明書プロファイルを定義し、クラスタに割り当てる機能。

Cisco Emergency Responder アプリケーションでは、証明書を配布および置き換えることはできません。

証明書管理サービスへのアクセス

Cloud-Connected UC サービススイート内の証明書管理サービスでは、オンプレミス展開の証明書を管理します。

[証明書管理] にアクセスするには、次の手順を実行します。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。 このページにある Certificate Management カードでは、Certificate Management の機能を利用できます。

2

Certificate Management カード上の任意のリンクをクリックすると、証明書管理の様々な機能にアクセスできます。

次の表で、[証明書管理] で使用可能な機能について説明します。

タブ

説明

アラート(Alerts)

期限切れの証明書とまもなく期限が切れる証明書すべての概要が表示されます。 管理者は、アイデンティティ証明書または信頼証明書に対して必要なアクションを実行して、最新の状態に保つことができます。

クラスタ

特定の組織内のクラスタ全体にわたる証明書ステータスの概要を表示し、管理者が ID または信頼証明書に関して必要なアクションを実行できます。

  • 組織内の特定のクラスタのすべてのアイデンティティ証明書と信頼できる証明書を表示できます。

  • [ジョブ] タブには、証明書に対して実行されるすべてのアクションの概要が表示されます。

プロファイル

クラスタ内の証明書が設定済みの設定に準拠されているか検証します。 カスタム証明書管理プロファイルを作成して、クラスタに関連付けることができます。

設定 

証明書の期限切れ通知を受信できるように、管理者の 電子メールアドレスを設定します。 すべてのフィールドは、[証明書管理]の [設定] ページで設定できます。
アクセス警告ページ

[ アラート ] ページでは次のことを実行できます:

  • 期限切れ、またはまものあく有効期限が切れる証明書を表示する

  • 証明書でフィルタリングする

  • 製品でフィルタリングし、証明書のステータスを表示する

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [アラート] をクリックします。

ページには、有効期限が切れた証明書とまもなく有効期限が切れる証明書の両方が表示されます。 証明書には、クラスタ名、一般名、証明書タイプ、証明書ステータス、有効期限などの 詳細情報がリストされています。

3

(オプション)次のいずれかのオプションを選択します。

  • [検索] をクリックして、特定の証明書を検索します。

  • [ 証明書をフィルタリングする ] ドロップダウンリストから 1 つまたは複数の証明書を選択します。

  • [ 製品のフィルタリング ] ドロップダウンリストから 1 つまたは複数の製品を選択します。

選択した証明書が、クラスタ、証明書、一般名、製品、タイプ、ステータス、サーバ名、有効期限などの詳細とともに、証明書リストに表示されます。

4

リストページからレコードを選択し、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。 [証明書の詳細] または [PEM 形式の証明書をコピー] を確認してください。 このパネル から、ステップ 6 にリストされているすべての操作を実行します。

5

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

6

証明書レコードの上にマウスを置いて、省略記号をクリックし、アイデンティティ証明書と信頼ストア証明書でさまざまな操作を実行します。

アイデンティティ証明書 に対するオペレーション:

  • 自己署名の証明書を更新します。

  • CA 署名付き CSR を生成します。

  • CA 署名付き証明書をアップロードします。証明書で CSR が生成されます。

  • CA 署名付き証明書をダウンロードします。証明書で CSR が生成されます。

  • CA 署名付き証明書を削除します。証明書で CSR が生成されます。

[証明書の操作(Certificate Operation)]

証明書の使用

説明

証明書の更新

証明書が自己署名証明書の場合は、証明書の更新操作を使用します。

選択したサービスに Tomcat 証明書を再使用する場合は、[Reuse Tomcat Certificate(Tomcat証明書の再使用)] を使用します。

プロファイル設定に基づいた 証明書の更新 ウィンドウが表示されます。

[ プロファイル設定 ] ページでの選択内容に基づいて [証明書を更新] を選択します:

  • Tomcat 証明書の再利用- [ プロファイルで Tomcat を使用] を選択すると、[Tomcat の再利用] オプションが有効になります。

  • 証明書の更新- 証明書タイプを自己署名、更新が有効な状態で選択します。

警告メッセージを読み、[ Tomcat 証明書の再利用 ] をクリックして証明書を更新してください。

CSR の作成

証明書タイプが CA 署名済みの場合、CSR の生成処理を使用します。

[CSR の生成] ウィンドウが表示されます。

[ 生成 ] をクリックして CSR を生成してください。

証明書のアップロード(Upload Certificate)

証明書タイプが CA 署名済みで、CSR がすでに生成されている場合は、アップロード操作を使用します。 形式 .P7B の証明書チェーンまたは形式 .pem または .der 形式のアイデンティティ証明書をアップロードできます。

[Upload Certificate(証明書のアップロード)] ウィンドウが表示されます。

  1. ファイルの選択 をクリックして証明書をアップロードしてください。

    ローカルマシンで証明書を参照してアップロード します。

  2. [ アップロード ] をクリックして証明書をアップロードします。

証明書の配布

1 回の操作で証明書を複数のクラスタに配布するには、分散処理操作を使用します。 Control Hub 上で複数のクラスタと信頼ストアを選択すると、選択したクラスタに証明書が配布されます。

[ 証明書の配布 ] ウィンドウが表示されます。

  1. 証明書を配布するクラスタと信頼 を選択します。

  2. [配布] をクリックして、選択したクラスタおよびトラストに証明書を関連付けます。

  3. [ OK ] をクリックして、[証明書の配布] ウィンドウを閉じます。

この手順は CER アプリケーションでは機能しません。

CSR のダウンロード

証明書タイプが CA 署名済みで、CSR がすでに生成されている場合は、CSR のダウンロード操作を使用します。 CSR をダウンロードして、CA(認証局)の署名を受けます。

[ ダウンロード CSR] をクリックして、CSR 証明書署名リクエストをローカルマシンにダウンロードします。

CSRを削除

CSR を再生成する必要がある場合は、CSR の削除操作を使用します。

[Delete CSR(CSR を削除)] ウィンドウが表示されます。

警告メッセージを読み、[ 削除] をクリックして、CSR 証明書署名リクエストを削除します。

プロファイルの管理者による設定が証明書の属性と一致しない場合は、証明書に対して警告アイコンが 表示されます。 例:Tomcat 証明書は自己署名証明書ですが、プロファイルの設定で CA 署名に設定されていると、不一致の原因になります。

不一致を確認せずに、知らずに [送信] をクリックしないでください。問題が発生する可能性があります。

トラストストア証明書 の操作 :

  • 証明書の置換

  • 証明書の削除

[証明書の操作(Certificate Operation)]

証明書の使用

説明

証明書の置換

既存の証明書を新しい証明書で置き換えるには、証明書の置換操作を使用します。

[ 証明書の置換 ] ウィンドウが表示されます。

  1. [ファイルの選択] をクリックして新しい証明書を選択してください。

    ローカルマシンで新しい証明書を参照してアップロードします。

  2. [置換] をクリックして証明書を置き換えます。

この手順は CER アプリケーションでは機能しません。

証明書の削除

間もなく有効期限が切れる証明書と有効期限が切れた証明書を管理者が削除する場合は、証明書の削除機能を使用します。

[ 証明書の削除 ] ウィンドウが表示されます。

  1. 証明書を削除するクラスタと信頼を選択します。

  2. [ 次へ ] をクリックして、選択したクラスタとトラストから証明書を削除します。

  3. 警告メッセージを読み、 削除 をクリックして証明書を削除します。

証明書を削除する または 証明書を置き換える 信頼操作がエラーで失敗する場合があります ファイルが見つかりません。 このエラーは、12.5 SU5 と 14 SU1 リリースの混合バージョンの多くのクラスタで操作が実行されると、表示されます。

解決策:失敗したノードで操作を再試行します。 対応するクラスタの [ジョブ詳細] ページでエラーを確認します。エラーは、「このノードに存在しないため、証明書を削除できません」という内容です。

Trust Store 証明書 および アイデンティティ証明書 に対する共通の操作:

  • .der のダウンロード

  • .pem のダウンロード

証明書の操作タイプ

証明書の使用

説明

.der のダウンロード

証明書をバイナリ形式でダウンロードするには、.der のダウンロード機能を使用します。 DER(識別符号化規則)はデジタル証明書です。

ダウンロード .der をクリックして、.der (バイナリ) 形式の証明書をダウンロードします。

.der 証明書がローカルマシンにダウンロードされます。

.pem のダウンロード

証明書を .pem 形式でダウンロードするには、.pem のダウンロード機能を使用します。 PEM(プライバシー強化メール)は、ASCII 形式の Base64 エンコード DER 証明書です。

[ .pem のダウンロード] をクリックして、.pem (ASCII) 形式の証明書をダウンロードします。

.pem 証明書がローカルマシンにダウンロードされます。

7

証明書の操作がジョブリストに追加されます。 進行状況は ジョブ タブで確認できます。

または

  1. [ ジョブ ] リンクをクリックして、認証処理の進行状況を表示します。

  2. [OK] をクリックして、[証明書] ウィンドウを閉じます。

アクセスクラスターページ

クラスター ページには、組織内のすべてのクラスターについて、クラスターごとに証明書の状況の概要が一覧表示されます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

[クラスタ要約] には、クラスタと、クラスタ名、ステータス、製品、クラスタに関連付けられたプロファイルなどの詳細情報が表示されます。 管理者は、クラスタのカスタムプロファイルと標準プロファイルとのデフォルトの関連 付けを変更できます。

3

(オプション)次のいずれかのオプションを選択します。

  • [検索] をクリックして、特定のクラスタを検索します。

  • [Filter Products(製品のフィルタリング)] ドロップダウンから、1 つ以上の製品を選択します。

4

リストページでクラスタレコードをクリックして、 クラスタの詳細 ページに移動します。このページには、選択したクラスタに関連するアイデンティティ証明書が表示されます。

Trust Store タブまたは ジョブ タブに移動できます。 [信頼ストア] タブには、さまざまな信頼ストアにわたるクラスタ内のすべての証明書が表示されます。 [ジョブ] タブには、証明書に対して実行される操作とアクションのステータスが一覧表示されます。

ダッシュボードペインに以下のカードが表示されます。

  1. アイデンティティ証明書

  2. 信頼できる証明書

  3. ジョブの詳細

アイデンティティ証明書および信頼できる証明書のカードについては、有効、期限切れ、およびまもなく有効期限が切れる証明書の概要が表示されます。 ジョブカードについては、今月の合計ジョブ、完了ジョブ、および保留中ジョブ の各概要が表示されます。

[アイデンティティ証明書] タブへのアクセス

[アイデンティティ証明書] タブへのアクセス

アイデンティティ証明書 を使用して、クラスタ内に存在するすべてのアイデンティティ証明書を表示します。 特定のアイデンティティ証明書を検索するか、証明書の詳細を表示して、必要な操作を実行できます。
1

Webex Control Hubの顧客ビューから サービス> UC に接続しました。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

3

リストページでクラスタレコードをクリックして、 クラスタの詳細 ページに移動します。このページには、クラスタに関連付けられている ID 証明書が表示されます。

Cisco Emergency Responder 12.5 または 14 バージョンを使用しているクラスタでは、tomcat-ECDSA 証明書はサポートされません。

4

(省略可能) [検索] をクリックして、特定の証明書を検索します。

5

(オプション) 証明書のフィルタリング ドロップダウンから、種類に応じて 1 つ以上の証明書を選択します。

サーバ名、一般名、証明書タイプ、証明書ステータス、有効期限などの詳細情報とともに、証明書が証明書リストに表示されます。

6

リストページでレコードをクリックし、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。 [ 証明書の詳細 ] または [ PEM 形式の証明書をコピーする] を確認できます。 また、このパネルから、ステップ 8 にリストされているすべての操作を実行することもできます。

7

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

警告サイン は、既存の証明書の属性がプロファイルと一致せず、証明書が準拠していない場合に表示されます。

8

証明書レコードの上にマウスを置いて、省略記号をクリックし、さまざまな操作を実行します。 詳細は ID 証明書の操作 を参照してください。

9

(オプション)[プロファイルの表示]をクリックします。

クラスタに関連付けられているプロファイルが表示されます。

[信頼ストア] タブへのアクセス

[信頼ストア] タブへのアクセス

[ トラストストア ] タブは、さまざまなトラストストアのクラスタ内のすべての証明書を一覧表示します。
1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

3

リストページでクラスタ記録をクリックすると、 クラスタの詳細 ページに移動します。

4

[信頼ストア] タブをクリックして、証明書のリストを表示します。

証明書は、一般名、シリアル番号、発行者、ステータス、有効期限などの詳細情報とともに証明書リストに表示されます。

5

(省略可能) [検索] をクリックして、特定の証明書を検索します。

6

(オプション)[Filter Certificate(証明書のフィルタリング)] ドロップダウンで、1 つ以上の証明書を選択します。

証明書は、一般名、シリアル番号、発行者、ステータス、有効期限などの詳細情報とともに証明書リストに表示されます。

7

リストページでレコードをクリックし、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。 証明書に関連付けられたすべてのクラスタを表示するには、 証明書の詳細 または PEM 形式証明書をコピーするを参照してください。 また、このパネル から、ステップ 9 にリストされているすべての操作を実行することもできます。

8

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

9

証明書レコードの上にマウスを置いて、省略記号をクリックし、さまざまな操作を実行します。

詳細については、 Trust Store 証明書のオペレーション を参照してください。
10

有効期限が切れた状態の証明書レコードをクリックして、更新された証明書を信頼ストアにアップロードします。

11

[Upload to Trust(信頼へのアップロード)] をクリックします。

[Upload Certificate(証明書のアップロード)] ウィンドウが表示されます。

12

信頼ストアに関連付ける目的のクラスタを選択します。

操作を実行する前に、表示される警告メッセージを注意深く読んでください。

13

[ファイルの選択] をクリックして証明書を参照します。

14

[アップロード] をクリックして、目的のクラスタの信頼ストアに証明書をアップロードします。

IPsec および CAPF のトラスト オペレーションは、Control Hub のサブスクライバー ノードではサポートされていません。 管理者は、これらの操作をオンプレミスで実行する必要があります。

制約事項

Trust Certificates 操作における CH の制限:

  1. 同じクラスターのノードでレプリケーションが行われない信頼サービスがある場合、管理者はオンプレミスでこれらの操作を実行する必要があります。 例: CAPF, IPSEC
  2. すべての Trust 関連の操作は、クラスターのパブリッシャー ノードにのみ送信されるため、操作は pub ノードを通じてのみ実行でき、サブ ノードからは実行できません。
    1. 信頼を削除する
    2. 信頼を置き換える
    3. Distribute Trust
    4. アップロードの信頼性

信頼削除操作の制限:

  1. 操作は公開ノードを通じてのみ実行できます。
  2. 証明書がパブ ノードに存在せず、サブノードに存在する場合、Control Hub を介した操作は実行できません。 操作はオンプレミスで行う必要があります。

[ジョブ] タブへのアクセス

[ジョブ] タブへのアクセス

[ジョブ] タブには、実行されたすべての操作の概要が表示されます。 また、 今月の合計ジョブ、完了ジョブ、および保留中のジョブの各概要が表示 されます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

3

リストページでクラスタ記録をクリックして、 クラスタの詳細 ページに移動します。

4

[ジョブ] タブをクリックして、今月実行されたジョブの一覧を表示します。

5

[今月] ドロップダウンで、ジョブの概要を表示する目的の期間を選択します。

ジョブの概要には、ジョブタイプ、ノード、タイムスタンプ、証明書、製品情報などの詳細情報とともに、ジョブのステータスが表示されます。

6

リストページでレコードをクリックし、ジョブの詳細が表示します。

サイド パネルが開き、ジョブの詳細が表示されます。

7

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

アクセスプロファイルページ

プロファイル ページでは、マルチサーバ/マルチ SAN、CA 署名と自己署名、有効期間、RSA と ECDSA、キーの長さ、ハッシュアルゴリズムなどの設定を定義できます。

クラスタのバージョンごとに個別のプロファイルを使用します。 たとえば、クラスタで 12.x バージョンが実行されている場合、証明書の操作の実行中は、12.x 機能のみが表示されます。

管理者は、カスタムプロファイルの作成時に、新しく作成されたカスタムプロファイル をクラスタに関連付けることができます。

1

Cisco Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [プロファイル] をクリックします。

[プロファイル] ページが表示され、作成されたプロファイルのリストが示されます。

デフォルトでは、証明書管理サービスによって標準プロファイルが提供され、証明書管理サービスに対して有効なすべてのクラスタが、このプロファイルに関連付けられます。 これはビュー専用のプロファイルです。 プロファイルの上にマウスを置いて、省略記号をクリックすると、プロファイルが表示またはコピーされます。

3

プロファイル名の上にマウスを置いて、省略記号をクリックし、次のようなさまざまなオプションを実行します。

  • 編集(Edit)

    1. [編集] をクリックして、選択したプロファイルを編集します。

  • 削除

    1. 警告メッセージを読み、[ 削除 ] をクリックして選択したプロファイルを削除します。

  • コピー

    1. [ コピー ] をクリックして、選択したプロファイルをコピーします。

      [Copy of Custom Profile(カスタムプロファイルのコピー)] ウィンドウが表示されます。

    2. 必要に応じて [作成] をクリックし、各製品の設定を更新または変更します。 それ以外の場合は、選択したプロファイルのコピーを作成します。

4

[プロファイルの追加] をクリックして新しいカスタムプロファイルを作成します。

5

プロファイル名を入力します。

6

プロファイルをデフォルトに設定する場合は、このチェックボックスをオンにします。

7

プロファイルの [説明] を入力します。

8

各製品について、さまざまな証明書設定を定義します。

9

プロファイルを作成するには、[作成] をクリックします。

カスタムプロファイルをデフォルトに設定している場合は、カスタムプロファイルのデフォルト チェックボックスをオフにして、デフォルトとして標準プロファイルに戻します。

10

(オプション)クラスタにプロファイルを関連付けます。 トップメニューから [ クラスタ ] タブをクリックします。[クラスタ] リストページが表示されます。 リストページからプロファイルをクラスタに関連付けできます。

11.5x および 12.5x バージョンの有効期間は、[Validity(有効性)]ドロップダウンで選択した値に関係なく、5 年です。 リリース 14 以降は、有効期間は 5 ~ 20 年です。

テーブル内で N とリストされている操作を実行しないでください。操作が失敗します。

[証明書の操作(Certificate Operation)]

サポートされるバージョン

操作の機能

11.5

12.5

14 以降

マルチサーバの更新NNYこの操作はマルチサーバの自己署名証明書で実行されますが、単一ノードでのみ動作します。
再利用NNY操作は、Cisco Unified CM アプリケーションの Call Manager および Call Manager ECDSA でのみ動作します。 この操作は、マルチサーバ CA 署名済み証明書とマルチサーバ自己署名証明書の両方で動作します。
アクセス設定ページ

証明書の有効期限日が近づいたときに、システムから自動的に電子メールメッセージを送信できます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [設定] をクリックします。

3

[Notification Start Time(通知開始時期)] を設定します。

通知開始時期は、30 ~ 365 日の範囲で設定できます。

4

[通知の頻度(Notification Frequency)] を設定します。

通知頻度は、1 ~ 30 日の範囲で設定できます。

5

[Notification Recipients(通知の受信者)] の電子メール アドレスを入力します。

最大 25 個の電子メールアドレスを入力できます。

6

[保存(Save)] をクリックします。

証明書の有効期限が近づくと、図に示すようにすべての受信者が電子メール通知を受信します。