証明書の管理の概要

証明書管理の一元化は、複数のクラスタにわたる Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection、および Cisco Emergency Responder の証明書を表示および管理するための単一の場所を提供するクラウドベースのサービスです。

はじめる前に

必要なクラスタのサービスの管理ページで証明書管理サービスを有効にする必要があります。 詳細 については、「制御ハブで Cloud-Connected UC サービスを有効にする 」を参照してください。

証明書管理の一元化の主な 機能 は次のとおりです。

  • 各クラスタの証明書ステータスを示すマルチクラスタ ダッシュボード。

  • 個々のクラスタレベルでのアイデンティティ証明書と信頼証明書の詳細ビュー。

  • CSR の生成、証明書のアップロード、更新、ダウンロード、コピー、置換、削除などの証明書の操作を実行する機能。

  • 期限切れの証明書とまもなく期限が切れる証明書を表示するアラートダッシュボード。

  • 証明書の有効期限の電子メール通知などの通知を設定する機能。

  • 証明書を複数の信頼ストアとクラスタに分散する機能。

  • さまざまな設定で証明書プロファイルを定義し、クラスタに割り当てる機能。


Cisco Emergency Responder アプリケーションでは、 証明書を配布および置き換えることはできません。

証明書管理サービスへのアクセス

Cloud-Connected UC サービススイート内の証明書管理サービスでは、 オンプレミス展開の証明書を管理します。

[証明書管理] にアクセスするには、次の手順を実行します。

1 

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。このページの [ 証明書管理] カードでは、 証明書の管理の特長と機能が提供されます。

2 

[証明書管理] カードでは、任意のリンクをクリックして 、証明書管理のさまざまな機能にアクセスします。

次の表で、[ 証明書管理 ] で使用可能な機能について説明します。

タブ

説明

アラート(Alerts)

期限切れの証明書とまもなく期限が切れる証明書すべての概要が表示されます。 管理者は、アイデンティティ証明書または信頼証明書に対して必要なアクションを実行して、 最新の状態に保つことができます。

クラスタ

特定の組織内のクラスタにわたる証明書ステータスの概要を表示 します。

  • 組織内の特定のクラスタのすべてのアイデンティティ証明書と信頼できる証明書 を表示できます。

  • [ジョブ] タブには、証明書に対して実行されるすべてのアクションの 概要が表示されます。

プロファイル

証明書の更新、CSR の生成、および証明書の準拠状況の確認を 行うには、プロファイルを使用します。カスタム証明書管理プロファイルを作成して 、クラスタに関連付けることができます。

設定 

証明書の期限切れ通知を受信できるように、管理者の 電子メールアドレスを設定します。すべてのフィールドは、[証明書管理]の [設定] ページで設定できます。

[アラート] ページを使用して次の操作を行います。

  • 期限切れ、またはまものあく有効期限が切れる証明書を表示する

  • 証明書でフィルタリングする

  • 製品でフィルタリングし、証明書のステータスを表示する

1 

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [アラート] をクリックします。

ページには、有効期限が切れた証明書とまもなく有効期限が切れる証明書の両方が表示されます。証明書には、 クラスタ名、一般名、証明書タイプ、証明書ステータス、有効期限などの 詳細情報がリストされています。

3 

(オプション)次のいずれかのオプションを選択します。

  • [検索] をクリックして、特定の証明書を検索します。

  • [Filter Certificate(証明書のフィルタリング) ] ドロップダウンリストから、1 つ以上の証明書を選択します。

  • [Filter Products(製品のフィルタリング)] ドロップダウンリストから、 1 つ以上の製品を選択します。

選択した証明書が、クラスタ、証明書、一般名、製品、タイプ、ステータス、サーバ名、有効期限などの 詳細とともに、証明書リストに表示 されます。

4

リストページからレコードを選択し、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。[証明書の 詳細] または [Copy the PEM Format Certificate(PEM 形式の証明書のコピー)] を確認できます。このパネル から、ステップ 6 にリストされているすべての操作を実行します。

5 

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

6

証明書レコードの上にマウスを置いて、省略記号をクリックし、 アイデンティティ証明書と信頼ストア証明書でさまざまな操作を実行します。

アイデンティティ証明書に関する操作は次のとおりです。

  • 自己署名の証明書を更新します。

  • CA 署名付き CSR を生成します。

  • CA 署名付き証明書をアップロードします。証明書で CSR が 生成されます。

  • CA 署名付き証明書をダウンロードします。証明書で CSR が 生成されます。

  • CA 署名付き証明書を削除します。証明書で CSR が 生成されます。

[証明書の操作(Certificate Operation)]

証明書の使用

説明 

証明書の更新

証明書が自己署名証明書の場合は、証明書の更新操作を使用 します。

選択したサービスに Tomcat 証明書を再使用する場合は、[Reuse Tomcat Certificate(Tomcat証明書の再使用)] を使用します。

[証明書の更新] ウィンドウはプロファイルの設定に 基づいて表示されます。

[プロファイル 設定] ページの選択内容に基づいて、次のように [証明書の更新] アクションを選択します。

  • [Reuse Tomcat Certificate(Tomcat証明書の再使用)] - プロファイルで Tomcat を使用すると、[Reuse Tomcat(Tomcatの再使用)] オプションが有効になります。

  • [証明書の更新] - 証明書タイプを 自己署名として選択すると、[更新] が有効 になります。

警告メッセージを読み、[Reuse Tomcat Certificate(Tomcat証明の再使用)]証明書をクリックして、 証明書を更新します。

CSR の作成

証明書タイプが CA 署名済みの場合、CSR の生成処理を使用します。

[Generate CSR(CSR の生成)] ウィンドウ が表示されます。

[Generate(生成)] をクリックして CSR を生成します。

証明書のアップロード(Upload Certificate)

証明書タイプが CA 署名済みで、CSR がすでに生成されている場合は、 アップロード操作を使用します。形式 .P7B の証明書チェーン または形式 .pem または .der 形式のアイデンティティ証明書 をアップロードできます。

[Upload Certificate(証明書のアップロード)] ウィンドウが 表示されます。

  1. [Choose File(ファイルの選択)] をクリックして、 証明書をアップロードします。

    ローカルマシンで証明書を参照してアップロード します。

  2. [Upload(アップロード)]をクリックし、証明書を アップロードします。

証明書の配布

1 回の操作で証明書を複数のクラスタに配布するには、分散処理操作を使用 します。 Control Hub 上で複数のクラスタと信頼ストアを選択すると、選択したクラスタに証明書が配布 されます。

[Distribute Certificate(証明書の配布)] ウィンドウ が表示されます。

  1. 証明書を配布するクラスタと信頼 を選択します。

  2. [Distribute(配布)]をクリックして、 選択したクラスタと 信頼に証明書を関連付けます。

  3. [OK] をクリックして、 [Distribute Certificate(証明書の配布)] ウィンドウを閉じます。


 

この手順は CER アプリケーションでは機能しません。

CSR のダウンロード

証明書タイプが CA 署名済みで、CSR がすでに生成されている場合は、CSR のダウンロード操作を使用します。 CSR をダウンロードして 、CA(認証局)の署名を受けます。

[CSR をダウンロード(Download CSR)] を選択し、 CSR 証明書署名要求をローカルコンピュータに ダウンロードします。

CSRを削除

CSR を再生成する必要がある場合は、CSR の削除操作 を使用します。

[Delete CSR(CSR を削除)] ウィンドウが表示されます。

警告メッセージを読み、[ 削除] をクリックして、CSR 証明書 署名要求を削除します。


 

プロファイルの管理者による設定が証明書の属性と一致しない場合は、 証明書に対して警告アイコンが 表示されます。例:Tomcat 証明書は自己署名証明書ですが、プロファイルの設定で CA 署名に設定されていると、 不一致の原因になります。

これを防止するには、不一致の状態を確実に確認してから、[送信] をクリック してください。

信頼ストア証明書の操作は次のとおりです。

  • 証明書の置換

  • 証明書の削除

[証明書の操作(Certificate Operation)]

証明書の使用

説明 

証明書の置換

既存の証明書を新しい証明書で置き換えるには、証明書の置換操作を使用します。

[証明書の置換] ウィンドウが 表示されます。

  1. [ファイルの選択(Choose File)] をクリックして、 新しい証明書を選択します。

    ローカルマシンで新しい証明書を参照して アップロードします。

  2. [置換] をクリックして、 証明書を置換します。


 

この手順は CER アプリケーションでは機能しません。

証明書の削除

間もなく有効期限が切れる証明書と有効期限が切れた証明書を 管理者が削除する場合は、証明書の削除機能を使用します。

[証明書の削除] ウィンドウが 表示されます。

  1. 証明書を削除するクラスタと 信頼を選択します。

  2. 選択したクラスタと信頼から証明書を削除するには、[次へ] を クリック します。

  3. 警告メッセージを読み、[ 削除] をクリックして証明書を削除 します。


 

ファイルが 見つかりません」エラーが発生して、証明書の削除または証明書の置換 信頼操作が失敗する場合があります。このエラーは、12.5 SU5 と 14 SU1 リリースの 混合バージョンの多くのクラスタで操作が実行されると、 表示されます。

解決策:失敗したノードで操作を再試行します。対応するクラスタの [ジョブ詳細] ページでエラーを確認します。エラーは、 「このノードに存在しないため、証明書を削除 できません」という内容です。

信頼ストア証明書アイデンティティ証明書の共通操作は次のとおりです。

  • .der のダウンロード

  • .pem のダウンロード

証明書の操作タイプ

証明書の使用

説明 

.der のダウンロード

証明書をバイナリ形式でダウンロード するには、.der のダウンロード機能を使用します。DER(識別符号化規則)はデジタル証明書 です。

[.der のダウンロード] をクリックして、 .der(バイナリ)形式の証明書をダウンロードします。

.der 証明書がローカルマシンにダウンロード されます。

.pem のダウンロード

証明書を .pem 形式でダウンロードするには、.pem のダウンロード機能を使用します。PEM(プライバシー強化 メール)は、ASCII 形式の Base64 エンコード DER 証明書 です。

[.pemのダウンロード] をクリックして、 .pem(ASCII)形式の証明書をダウンロードします。

.pem 証明書がローカルマシンにダウンロード されます。

7

証明書の操作がジョブリストに追加されます。 [ジョブ] タブで進捗状況を確認できます。

または

  1. [ジョブ] リンクをクリックして、 証明書の操作の進捗状況を表示します。

  2. [OK] をクリックして、[証明書] ウィンドウを閉じます。

[クラスタ] ページには、組織内のすべてのクラスタについて、クラスタごとに 証明書ステータスの概要がリストされます。

1 

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [クラスタ] をクリックします。

[クラスタ要約] には、クラスタと、クラスタ名、ステータス、製品、クラスタに関連付けられたプロファイルなどの詳細情報 が表示されます。管理者は、 クラスタのカスタムプロファイルと標準プロファイルとのデフォルトの関連 付けを変更できます。

3 

(オプション)次のいずれかのオプションを選択します。

  • [検索] をクリックして、特定のクラスタを検索します。

  • [Filter Products(製品のフィルタリング)] ドロップダウンから、1 つ以上の製品を選択します。

4

リストページのクラスタレコードをクリックすると、選択したクラスタに関連付けられているアイデンティティ証明書が表示される [クラスタの詳細 ] にアクセスできます。

[信頼ストア] タブまたは [ ジョブ] タブに移動できます。[信頼ストア] タブには、 さまざまな信頼ストアにわたるクラスタ内のすべての証明書が表示されます。[ジョブ] タブには、証明書に対して実行される操作とアクションのステータスが一覧表示されます。

ダッシュボードペインに以下のカードが表示されます。

  1. アイデンティティ証明書

  2. 信頼できる証明書

  3. ジョブの詳細

アイデンティティ証明書および信頼できる証明書のカードについては、有効、期限切れ、およびまもなく有効期限が切れる証明書の概要 が表示されます。ジョブカードについては、今月の合計ジョブ、完了ジョブ、および保留中ジョブ の各概要が表示されます。

[アイデンティティ証明書] タブへのアクセス

クラスタに存在するすべてのアイデンティティ証明書を表示するには、 アイデンティティ証明書機能を使用します。特定のアイデンティティ証明書を検索するか、証明書の 詳細を表示して、必要な操作を実行できます。

1 

Webex Control Hub の顧客ビューで、[ サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [クラスタ] をクリックします。

3 

リストページのクラスタレコードをクリックすると、クラスタに関連付けられているアイデンティティ証明書が表示される [クラスタの詳細 ] にアクセスできます 。


 

Cisco Emergency Responder 12.5 または 14 バージョンを使用しているクラスタでは 、tomcat-ECDSA 証明書はサポートされません。

4

(オプション)[検索] をクリックして、特定の証明書を検索します。

5 

(オプション)[Filter Certificate(証明書のフィルタリング)] ドロップダウンで、そのタイプに基づいて 1 つ 以上の証明書を選択します。

サーバ名、一般名、証明書タイプ、証明書ステータス、有効期限などの詳細情報とともに、証明書が証明書リスト に表示されます。

6

リストページでレコードをクリックし、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。[証明書の 詳細] または [Copy the PEM Format Certificate(PEM 形式の証明書のコピー)] を確認できます。また、このパネルから、 ステップ 8 にリストされているすべての操作を実行することもできます。

7

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。


 

警告記号は、既存の証明書属性がプロファイルと一致せず、証明書が表示適合 の場合に表示されます。

8

証明書レコードの上にマウスを置いて、省略記号をクリックし、さまざまな 操作を実行します。詳細については、「アイデンティティ証明書 に関する操作 」を参照してください。

9 

(オプション)[プロファイルの表示]をクリックします。

クラスタに関連付けられているプロファイルが表示されます。

[信頼ストア] タブへのアクセス

[信頼ストア] タブには、さまざまな信頼ストアにわたるクラスタ内のすべての 証明書が一覧表示されます。

1 

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [クラスタ] をクリックします。

3 

リストページでクラスタレコードをクリックして、[クラスタの詳細 ] ページにアクセスします。

4

[信頼ストア] タブをクリックして、証明書のリストを表示します。

証明書は、一般名、シリアル番号、発行者、ステータス、有効期限などの詳細情報とともに証明書 リストに表示されます。

5 

(オプション)[検索] をクリックして、特定の証明書を検索します。

6

(オプション)[Filter Certificate(証明書のフィルタリング)] ドロップダウンで、1 つ以上の証明書を選択します。

証明書は、一般名、シリアル番号、発行者、ステータス、有効期限などの詳細情報とともに証明書 リストに表示されます。

7

リストページでレコードをクリックし、証明書の詳細を表示します。

サイドパネルが開き、 証明書の詳細が表示されます。 証明書に関連付けられているすべてのクラスタを表示するには、[証明書の詳細] または [Copy the PEM Format Certificate(PEM形式証明書のコピー)] を参照してください。また、このパネル から、 ステップ 9 にリストされているすべての操作を実行することもできます。

8

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

9 

証明書レコードの上にマウスを置いて、省略記号をクリックし、さまざまな 操作を実行します。

詳細については、「信頼ストア証明書 に関する操作」を参照してください。
10

有効期限が切れた状態の証明書レコードをクリックして、更新された証明書を信頼ストアにアップロードします。

11

[Upload to Trust(信頼へのアップロード)] をクリックします。

[Upload Certificate(証明書のアップロード)] ウィンドウが表示されます。

12

信頼ストアに関連付ける目的のクラスタを選択します。


 

操作を実行する前に、表示される警告メッセージを注意深く読んでください。

13

[ファイルの選択] をクリックして証明書を参照します。

14

[アップロード] をクリックして、目的のクラスタの信頼ストアに証明書をアップロードします。

IPsec および CAPF の信頼操作は、Control Hub 内のサブスクライバノードからは サポートされません。管理者は、これらの操作をオンプレミス で実行する必要があります。

[ジョブ] タブへのアクセス

[ジョブ] タブには、実行されたすべての操作の概要が表示されます。また、 今月の合計ジョブ、完了ジョブ、および保留中のジョブの各概要が表示 されます。

1 

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [クラスタ] をクリックします。

3 

リストページでクラスタレコードをクリックして、[クラスタの詳細 ] ページにアクセスします。

4

[ジョブ] タブをクリックして、今月実行されたジョブの一覧を表示します。

5 

[今月] ドロップダウンで、ジョブの概要を表示する目的の期間を選択します。

ジョブの概要には、ジョブタイプ、ノード、タイムスタンプ、証明書、製品情報などの詳細情報とともに、 ジョブのステータスが表示されます。

6

リストページでレコードをクリックし、ジョブの詳細が表示します。

サイド パネルが開き、ジョブの詳細が表示されます。

7

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

[プロファイル] ページでは、 マルチサーバ /マルチ SAN、CA 署名と自己署名、有効期間、RSA と ECDSA、 キー長、ハッシュ アルゴリズムなどの設定を定義できます。

クラスタのバージョンごとに個別のプロファイルを使用します。たとえば、クラスタで 12.x バージョンが実行されている場合、証明書の操作の実行中は 、12.x 機能のみが表示されます。

管理者は、カスタムプロファイルの作成時に、新しく作成されたカスタムプロファイル をクラスタに関連付けることができます。

1 

Cisco Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [プロファイル] をクリックします。

[プロファイル] ページが表示され、作成されたプロファイルのリストが示されます。


 

デフォルトでは、証明書管理サービスによって標準プロファイルが提供され、証明書管理サービスに対して有効なすべてのクラスタ が、このプロファイルに 関連付けられます。これはビュー専用のプロファイルです。プロファイルの上にマウスを置いて 、省略記号をクリックすると、プロファイルが表示またはコピーされます。

3 

プロファイル名の上にマウスを置いて、省略記号をクリックし、 次のようなさまざまな オプションを実行します。

  • 編集(Edit)

    1. 選択したプロファイルを編集するには、[編集] をクリック します。

  • 削除(Delete)

    1. 選択したプロファイルを削除するには、警告メッセージを読み、[ 削除] を クリックします。

  • コピー

    1. 選択したプロファイルをコピーするには、[コピー] をクリック します。

      [Copy of Custom Profile(カスタムプロファイルのコピー)] ウィンドウが表示されます。

    2. 必要に応じて、[作成] をクリックして、各製品の設定を 更新または変更します。それ以外の場合は、選択したプロファイルのコピーを作成 します。

4

[プロファイルの追加] をクリックして新しいカスタムプロファイルを作成します。

5 

プロファイル名を入力します。

6

プロファイルをデフォルトに設定する場合は、このチェックボックスをオンにします。

7

プロファイルの [説明] を入力します。

8

各製品について、さまざまな証明書設定を定義します。

9 

プロファイルを作成するには、[作成] をクリックします。

カスタムプロファイルをデフォルトに設定している場合は、カスタムプロファイルのデフォルト チェックボックスをオフにして、デフォルトとして標準プロファイルに 戻します。

10

(オプション)クラスタにプロファイルを関連付けます。トップメニューから [ クラスタ] タブをクリックすると、[Clusters list(クラスタリスト)] ページが表示されます。リストページからプロファイルをクラスタに関連付けできます。


 

11.5x および 12.5x バージョンの有効期間は、[Validity(有効性)]ドロップダウンで選択した値に関係なく、5 年 です。リリース 14 以降は、有効期間は 5 ~ 20 年です。

テーブル内で N とリストされている操作を実行しないでください。 操作が失敗します。

[証明書の操作(Certificate Operation)]

サポートされるバージョン

操作の機能

11.5

12.5

14 以降

マルチサーバの更新 N N Y この操作はマルチサーバの自己署名証明書 で実行されますが、単一ノードでのみ動作 します。
再利用 N N Y 操作は、Cisco Unified CM アプリケーションの Call Manager および Call Manager ECDSA でのみ動作します。この操作は 、マルチサーバ CA 署名済み証明書とマルチサーバ自己署名証明書の両方で動作 します。

証明書の有効期限日が近づいたときに、 システムから自動的に電子メールメッセージを送信できます。

1 

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2 

[証明書管理] カードから [設定] をクリックします。

3 

[Notification Start Time(通知開始時期)] を設定します。

通知開始時期は、30 ~ 365 日の範囲で設定できます。

4

[通知の頻度(Notification Frequency)] を設定します。

通知頻度は、1 ~ 30 日の範囲で設定できます。

5 

[Notification Recipients(通知の受信者)] の電子メール アドレスを入力します。

最大25個の電子メールアドレスを入力できます。

6

保存をクリックします。

証明書の有効期限が近づくと、図に示すようにすべての受信者が電子 メール通知を受信します。