Certificate Management 概要

証明書管理の一元化は、複数のクラスタにわたる Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection、および Cisco Emergency Responder の証明書を表示および管理するための単一の場所を提供するクラウドベースのサービスです。

はじめる前に

必要なクラスタのサービスの管理ページで証明書管理サービスを有効にする必要があります。 詳細については、「コントロール ハブでの クラウド接続 UC サービスの有効化(Enable Cloud-Connected UC Services in Control Hub)」を参照してください

証明書管理の一元化の主な機能は次のとおりです。

  • 各クラスタの証明書ステータスを示すマルチクラスタ ダッシュボード。

  • 個々のクラスタレベルでのアイデンティティ証明書と信頼証明書の詳細ビュー。

  • CSR の生成、証明書のアップロード、更新、ダウンロード、コピー、置換、削除などの証明書の操作を実行する機能。

  • 期限切れの証明書とまもなく期限が切れる証明書を表示するアラートダッシュボード。

  • 証明書の有効期限の電子メール通知などの通知を設定する機能。

  • 証明書を複数の信頼ストアとクラスタに分散する機能。

  • さまざまな設定で証明書プロファイルを定義し、クラスタに割り当てる機能。

Cisco Emergency Responder アプリケーションでは、証明書を配布および置き換えることはできません。

証明書管理サービスへのアクセス

Cloud-Connected UC サービススイート内の証明書管理サービスでは、オンプレミス展開の証明書を管理します。

[証明書管理] にアクセスするには、次の手順を実行します。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。 このCertificate Managementのカードには、次の Certificate Management 機能があります。

2

証明書カード Certificate Management、任意のリンクをクリックして、証明書管理のさまざまな機能にアクセスします。

次の表で、[証明書管理] で使用可能な機能について説明します。

タブ

説明 

アラート(Alerts)

期限切れの証明書とまもなく期限が切れる証明書すべての概要が表示されます。 管理者は、アイデンティティ証明書または信頼証明書に対して必要なアクションを実行して、最新の状態に保つことができます。

クラスタ

特定の組織内のクラスタ全体にわたる証明書ステータスの概要を表示し、管理者が ID または信頼証明書に関して必要なアクションを実行できます。

  • 組織内の特定のクラスタのすべてのアイデンティティ証明書と信頼できる証明書を表示できます。

  • [ジョブ] タブには、証明書に対して実行されるすべてのアクションの概要が表示されます。

プロファイル

クラスタ内の証明書が設定済みの設定に準拠されていることを検証します。 カスタム証明書管理プロファイルを作成して、クラスタに関連付けることができます。

設定 

証明書の期限切れ通知を受信できるように、管理者の 電子メールアドレスを設定します。 すべてのフィールドは、[証明書管理]の [設定] ページで設定できます。

[アラートへのアクセス(Access Alerts Page)

[アラート] ページ を使用して、次の操作を実行します。

  • 期限切れ、またはまものあく有効期限が切れる証明書を表示する

  • 証明書でフィルタリングする

  • 製品でフィルタリングし、証明書のステータスを表示する

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [アラート] をクリックします。

ページには、有効期限が切れた証明書とまもなく有効期限が切れる証明書の両方が表示されます。 証明書には、クラスタ名、一般名、証明書タイプ、証明書ステータス、有効期限などの 詳細情報がリストされています。

3

(オプション)次のいずれかのオプションを選択します。

  • [検索] をクリックして、特定の証明書を検索します。

  • [証明書のフィルタ(Filter Certificate] ドロップダウン リストから 1 つ 以上の証明書を選択します。

  • [フィルタ製品(Filter Products] ドロップダウン リスト から 1 つ 以上の製品を選択します。

選択した証明書が、クラスタ、証明書、一般名、製品、タイプ、ステータス、サーバ名、有効期限などの詳細とともに、証明書リストに表示されます。

4

リストページからレコードを選択し、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。 証明書の詳細を表示するか PEM 形式の証明書をコピーします。 このパネル から、ステップ 6 にリストされているすべての操作を実行します。

5

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

6

証明書レコードの上にマウスを置いて、省略記号をクリックし、アイデンティティ証明書と信頼ストア証明書でさまざまな操作を実行します。

アイデンティティ証明書に関 する操作は次 のとおりです。

  • 自己署名の証明書を更新します。

  • CA 署名付き CSR を生成します。

  • CA 署名付き証明書をアップロードします。証明書で CSR が生成されます。

  • CA 署名付き証明書をダウンロードします。証明書で CSR が生成されます。

  • CA 署名付き証明書を削除します。証明書で CSR が生成されます。

[証明書の操作(Certificate Operation)]

証明書の使用

説明 
証明書の更新

証明書が自己署名証明書の場合は、証明書の更新操作を使用します。

選択したサービスに Tomcat 証明書を再使用する場合は、[Reuse Tomcat Certificate(Tomcat証明書の再使用)] を使用します。

プロファイル の設定に 基づいて [証明書の更新] ウィンドウが表示されます。

[プロファイルの設定] ページの選択に基づいて 、[証明書の 更新] アクションを選択します。

  • [Tomcat 証明書のリユース(Use Tomcat Certificate) - プロファイルで Tomcat を使用する(Use Tomcat on profile) を選択すると、[Tomcat のリユース(Use Tomcat) オプションが有効になります。

  • [証明書の更新(Renew Certificate) - 自己署名証明書として証明書の種類を選択し、更新が有効になります。

警告メッセージを読み、証明書を更新 するには [Tomcat のリツール証明書(Renew Tomcat Certificate ] をクリックします)。

CSR の作成

証明書タイプが CA 署名済みの場合、CSR の生成処理を使用します。

[モデル生成 CSR] ウィンドウが表示されます。

[生成(Generate] をクリックして CSR。

証明書のアップロード(Upload Certificate)

証明書タイプが CA 署名済みで、CSR がすでに生成されている場合は、アップロード操作を使用します。 形式 .P7B の証明書チェーンまたは形式 .pem または .der 形式のアイデンティティ証明書をアップロードできます。

[Upload Certificate(証明書のアップロード)] ウィンドウが表示されます。

  1. [ファイルの 選択(Choose File) をクリックして、証明書をアップロードします。

    ローカルマシンで証明書を参照してアップロード します。

  2. [アップロード (Upload ] をクリックして、証明書をアップロードします。

証明書の配布

1 回の操作で証明書を複数のクラスタに配布するには、分散処理操作を使用します。 Control Hub 上で複数のクラスタを選択し、信頼ストアを選択すると、証明書が選択したクラスタに配布されます。

[証明書 の配布] ウィンドウ が表示されます。

  1. 証明書を配布するクラスタと信頼 を選択します。

  2. [配布 (Distribute) をクリックして、証明書を選択したクラスタおよび信頼に関連付します。

  3. [ OK] を クリックして [証明書の配布] ウィンドウを閉じます。


 

この手順は CER アプリケーションでは機能しません。
CSR のダウンロード

証明書タイプが CA 署名済みで、CSR がすでに生成されている場合は、CSR のダウンロード操作を使用します。 CSR をダウンロードして、CA(認証局)の署名を受けます。

[証明書の CSRをクリックして、証明書署名要求 CSR ローカル マシンにダウンロードします。

CSRを削除

CSR を再生成する必要がある場合は、CSR の削除操作を使用します。

[Delete CSR(CSR を削除)] ウィンドウが表示されます。

警告メッセージを読み、[Delete] をクリックして、証明書署名要求 CSR 削除します。


 

プロファイルの管理者による設定が証明書の属性と一致しない場合は、証明書に対して警告アイコンが 表示されます。 例: Tomcat 証明書は自己署名証明書ですが、プロファイルの設定では CA に設定されています。一致しません。

一致しない場合 問題が発生する可能性がある場合は、確認せずに [Submit] をクリックしません。

信頼ストア証明書 に関する操作は次 のとおりです。

  • 証明書の置換

  • 証明書の削除

[証明書の操作(Certificate Operation)]

証明書の使用

説明 

証明書の置換

既存の証明書を新しい証明書で置き換えるには、証明書の置換操作を使用します。

[証明書の 置き換え(Replace Certificate] ウィンドウが表示されます。

  1. [ファイルの 選択(Select File ] をクリックして、新しい証明書を選択します。

    ローカルマシンで新しい証明書を参照してアップロードします。

  2. [置換( Replace ] をクリックして、証明書を置き換える)。


 

この手順は CER アプリケーションでは機能しません。

証明書の削除

間もなく有効期限が切れる証明書と有効期限が切れた証明書を管理者が削除する場合は、証明書の削除機能を使用します。

[証明書 の削除] ウィンドウ が表示されます。

  1. 証明書を削除するクラスタと信頼を選択します。

  2. 選択した クラスタおよび信頼から証明書を削除するには、[次へ(Next ] をクリックします)。

  3. 警告メッセージを読み、証明書を削除するには [削除 (Remove ] をクリックします)。


 

証明書の削除 または証明書 の信頼 操作の置き換えに失敗し、ファイルが見つかりませんエラー が発生することがあります。 このエラーは、12.5 SU5 と 14 SU1 リリースの混合バージョンの多くのクラスタで操作が実行されると、表示されます。

ソリューション: 失敗したノードで操作を再試行します。 対応するクラスタの [ジョブの詳細 (ジョブの詳細] ページでエラーが発生した場合は、このノードに証明書が存在し、証明書を削除できません)を確認します

信頼ストア証明書と ID 証明書に関する一般的な操作は次のとおりです。

  • .der のダウンロード

  • .pem のダウンロード

証明書の操作タイプ

証明書の使用

説明 

.der のダウンロード

証明書をバイナリ形式でダウンロードするには、.der のダウンロード機能を使用します。 DER(識別符号化規則)はデジタル証明書です。

証明書 の .der(バイナリ)形式をダウンロードするには、[ダウンロード(Download ., をクリックします。

.der 証明書がローカルマシンにダウンロードされます。

.pem のダウンロード

証明書を .pem 形式でダウンロードするには、.pem のダウンロード機能を使用します。 PEM(プライバシー強化メール)は、ASCII 形式の Base64 エンコード DER 証明書です。

[ダウンロード.pem]をクリックして、証明書の .pem(ASCII)形式をダウンロードします。

.pem 証明書がローカルマシンにダウンロードされます。

7

証明書の操作がジョブリストに追加されます。 [ジョブ] タブに進行状況を 表示 できます。

または

  1. [ジョブ] リンク をクリックして、証明書操作の進行状況を表示します。

  2. [OK] をクリックして、[証明書] ウィンドウを閉じます。

[クラスタへのアクセス(Access Clusters Page)

[クラスタ(Clusters) ] ページには、組織内のすべてのクラスタについて、クラスタごとに証明書ステータスのサマリーがリストされます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

[クラスタ要約] には、クラスタと、クラスタ名、ステータス、製品、クラスタに関連付けられたプロファイルなどの詳細情報が表示されます。 管理者は、クラスタのカスタムプロファイルと標準プロファイルとのデフォルトの関連 付けを変更できます。

3

(オプション)次のいずれかのオプションを選択します。

  • [検索] をクリックして、特定のクラスタを検索します。

  • [Filter Products(製品のフィルタリング)] ドロップダウンから、1 つ以上の製品を選択します。

4

リスト ページでクラスタ レコードをクリックすると 、[クラスタの詳細(Cluster Details ] ページが表示され、選択したクラスタに関連付けられている ID 証明書が表示されます。

[信頼ストア( Trust Store] タブまたは [ジョブ ] タブに 移動 できます。 [信頼ストア] タブには、さまざまな信頼ストアにわたるクラスタ内のすべての証明書が表示されます。 [ジョブ] タブには、証明書に対して実行される操作とアクションのステータスが一覧表示されます。

ダッシュボードペインに以下のカードが表示されます。

  1. アイデンティティ証明書

  2. 信頼できる証明書

  3. ジョブの詳細

アイデンティティ証明書および信頼できる証明書のカードについては、有効、期限切れ、およびまもなく有効期限が切れる証明書の概要が表示されます。 ジョブカードについては、今月の合計ジョブ、完了ジョブ、および保留中ジョブ の各概要が表示されます。

[アイデンティティ証明書] タブへのアクセス

クラスタに 存在する すべての ID 証明書を表示するには、アイデンティティ証明書を使用します。 特定のアイデンティティ証明書を検索するか、証明書の詳細を表示して、必要な操作を実行できます。

1

カスタマー ビューの [接続された UC(Connected UC Webex サービス>移動します

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

3

一覧ページのクラスタ レコード をクリックすると、[クラスタの詳細( Cluster details ] ページに、クラスタに関連付けられている ID 証明書が表示されます。


 

Cisco Emergency Responder 12.5 または 14 バージョンを使用しているクラスタでは、tomcat-ECDSA 証明書はサポートされません。

4

(オプション)[検索] をクリックして、特定の証明書を検索します。

5

(オプション)[証明書の フィルタ(Filter Certificate ] ドロップダウンで、そのタイプに基づいて 1 つ以上の証明書を選択します。

サーバ名、一般名、証明書タイプ、証明書ステータス、有効期限などの詳細情報とともに、証明書が証明書リストに表示されます。

6

リストページでレコードをクリックし、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。 [証明書の詳細( Certificate Details) またはPEM 形式の証明書のコピー(Copy PEM format certificate) を参照してください。 また、このパネルから、ステップ 8 にリストされているすべての操作を実行することもできます。

7

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。


 

警告 記号は、既存の証明書属性がプロファイルと一致しない、および証明書が非準拠の場合に表示されます。

8

証明書レコードの上にマウスを置いて、省略記号をクリックし、さまざまな操作を実行します。 詳細については 、「アイデンティティ証明書 に関する操作」を参照してください。

9

(オプション)[プロファイルの表示]をクリックします。

クラスタに関連付けられているプロファイルが表示されます。

[信頼ストア] タブへのアクセス

[ 信頼ストア(Trust Store ] タブには、さまざまな信頼ストアにわたるクラスタ内のすべての証明書がリストされます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

3

一覧ページでクラスタ レコードをクリックすると、[クラスタの詳細(Cluster details] ページ が表示 されます。

4

[信頼ストア] タブをクリックして、証明書のリストを表示します。

証明書は、一般名、シリアル番号、発行者、ステータス、有効期限などの詳細情報とともに証明書リストに表示されます。

5

(オプション)[検索] をクリックして、特定の証明書を検索します。

6

(オプション)[Filter Certificate(証明書のフィルタリング)] ドロップダウンで、1 つ以上の証明書を選択します。

証明書は、一般名、シリアル番号、発行者、ステータス、有効期限などの詳細情報とともに証明書リストに表示されます。

7

リストページでレコードをクリックし、証明書の詳細を表示します。

サイドパネルが開き、証明書の詳細が表示されます。 証明書に関連付けられているすべてのクラスタを表示するには、「証明書の詳細」または「PEM 形式証明書のコピー」を参照してください。 また、このパネル から、ステップ 9 にリストされているすべての操作を実行することもできます。

8

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

9

証明書レコードの上にマウスを置いて、省略記号をクリックし、さまざまな操作を実行します。

Detials の信頼ストア証明書に関する操作を参照してください。
10

有効期限が切れた状態の証明書レコードをクリックして、更新された証明書を信頼ストアにアップロードします。
11

[Upload to Trust(信頼へのアップロード)] をクリックします。

[Upload Certificate(証明書のアップロード)] ウィンドウが表示されます。

12

信頼ストアに関連付ける目的のクラスタを選択します。


 

操作を実行する前に、表示される警告メッセージを注意深く読んでください。
13

[ファイルの選択] をクリックして証明書を参照します。

14

[アップロード] をクリックして、目的のクラスタの信頼ストアに証明書をアップロードします。


 
IPsec および CAPF の信頼操作は、Control Hub 内のサブスクライバノードからはサポートされません。 管理者は、これらの操作をオンプレミスで実行する必要があります。

信頼証明書操作の CH の制限:

  1. 同じクラスタのノードで複製が行わない信頼サービスがある場合、管理者はオンプレミスでこれらの操作を実行する必要があります。 例:i-CAPF I-1。
  2. 信頼関連のすべての操作は、クラスタのサイトバー ノードにのみ送信されます。そのため、操作は pub ノードを通じてのみ実行できます。サブノードから実行することはできません。
    1. 信頼の削除
    2. 信頼の置き換え
    3. 信頼の配布
    4. 信頼のアップロード

信頼操作の削除に関する制限:

  1. 操作は、Pub ノードを介してのみ実行できます。
  2. 証明書が Pub ノードに存在し、サブノードに存在する場合は、Control hub を介して操作を実行できません。 運用はオンプレミスで行う必要があります。

[ジョブ] タブへのアクセス

[ジョブ] タブには、実行されたすべての操作の概要が表示されます。 また、 今月の合計ジョブ、完了ジョブ、および保留中のジョブの各概要が表示 されます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [クラスタ] をクリックします。

3

一覧ページでクラスタ レコードをクリックすると、[クラスタの詳細(Cluster details] ページ が表示 されます。

4

[ジョブ] タブをクリックして、今月実行されたジョブの一覧を表示します。

5

[今月] ドロップダウンで、ジョブの概要を表示する目的の期間を選択します。

ジョブの概要には、ジョブタイプ、ノード、タイムスタンプ、証明書、製品情報などの詳細情報とともに、ジョブのステータスが表示されます。

6

リストページでレコードをクリックし、ジョブの詳細が表示します。

サイド パネルが開き、ジョブの詳細が表示されます。
7

[閉じる] をクリックして、サイドパネルを閉じてリストページに戻ります。

Access Profiles Page

[プロファイル(Profiles) ページ] ページでは、マルチサーバ/マルチ SAN、CA-Signed などの設定を定義できます。 自己署名証明書、有効期間、および RSA 対 ECDSA、キー長、ハッシュ アルゴリズム。

クラスタのバージョンごとに個別のプロファイルを使用します。 たとえば、クラスタで 12.x バージョンが実行されている場合、証明書の操作の実行中は、12.x 機能のみが表示されます。

管理者は、カスタムプロファイルの作成時に、新しく作成されたカスタムプロファイル をクラスタに関連付けることができます。

1

Cisco Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [プロファイル] をクリックします。

[プロファイル] ページが表示され、作成されたプロファイルのリストが示されます。


 

デフォルトでは、証明書管理サービスによって標準プロファイルが提供され、証明書管理サービスに対して有効なすべてのクラスタが、このプロファイルに関連付けられます。 これはビュー専用のプロファイルです。 プロファイルの上にマウスを置いて、省略記号をクリックすると、プロファイルが表示またはコピーされます。

3

プロファイル名の上にマウスを置いて、省略記号をクリックし、次のようなさまざまなオプションを実行します。

  • 編集(Edit)

    1. [編集 (Edit ] をクリックして、選択したプロファイルを編集します。

  • 削除

    1. 警告メッセージを読み、[Delete] をクリックして選択したプロファイルを削除します。

  • コピー

    1. [コピー (Copy ] をクリックして、選択したプロファイルをコピーします。

      [Copy of Custom Profile(カスタムプロファイルのコピー)] ウィンドウが表示されます。

    2. 必要に 応じて、[作成(Create ] をクリックして、各製品の設定を更新または変更します。 それ以外の場合は、選択したプロファイルのコピーを作成します。

4

[プロファイルの追加] をクリックして新しいカスタムプロファイルを作成します。

5

プロファイル名を入力します。

6

プロファイルをデフォルトに設定する場合は、このチェックボックスをオンにします。
7

プロファイルの [説明(Description)] を入力します。

8

各製品について、さまざまな証明書設定を定義します。
9

プロファイルを作成するには、[作成] をクリックします。

カスタムプロファイルをデフォルトに設定している場合は、カスタムプロファイルのデフォルト チェックボックスをオフにして、デフォルトとして標準プロファイルに戻します。

10

(オプション)クラスタにプロファイルを関連付けます。 上部の メニューから [クラスタ(Clusters ] タブをクリックすると、[クラスタ] リスト ページが表示されます。 リストページからプロファイルをクラスタに関連付けできます。


 

11.5x および 12.5x バージョンの有効期間は、[Validity(有効性)]ドロップダウンで選択した値に関係なく、5 年です。 リリース 14 以降は、有効期間は 5 ~ 20 年です。

テーブル内で N とリストされている操作を実行しないでください。操作が失敗します。

[証明書の操作(Certificate Operation)]

サポートされるバージョン

操作の機能

11.5

12.5

14 以降
マルチサーバの更新 N N Y この操作はマルチサーバの自己署名証明書で実行されますが、単一ノードでのみ動作します。
再利用 N N Y 操作は、Cisco Unified CM アプリケーションの Call Manager および Call Manager ECDSA でのみ動作します。 この操作は、マルチサーバ CA 署名済み証明書とマルチサーバ自己署名証明書の両方で動作します。

[アクセス設定(Access Settings] ページ)

証明書の有効期限日が近づいたときに、システムから自動的に電子メールメッセージを送信できます。

1

Webex Control Hub の顧客ビューで、[サービス] > [接続されたUC] に移動します。

[接続されたUC] ページが表示されます。

2

[証明書管理] カードから [設定] をクリックします。

3

[Notification Start Time(通知開始時期)] を設定します。

通知開始時期は、30 ~ 365 日の範囲で設定できます。
4

[通知の頻度(Notification Frequency)] を設定します。

通知頻度は、1 ~ 30 日の範囲で設定できます。
5

[Notification Recipients(通知の受信者)] の電子メール アドレスを入力します。

最大25個の電子メールアドレスを入力できます。
6

[保存(Save)]をクリックします。

証明書の有効期限が近づくと、図に示すようにすべての受信者が電子メール通知を受信します。