- Cisco Unified Presence と Microsoft Exchange の統合の計画
- Cisco Unified Presence と統合(WebDAV 経由)するための Microsoft Exchange Server 2003 および 2007 の設定
- Cisco Unified Presence と統合(EWS 経由) するための Microsoft Exchange Server 2007 および 2010 の設定
- Microsoft Exchange サーバと統合するため の Cisco Unified Presence の設定
- Cisco Unified Presence と Microsoft Exchange 間でのセキュアな証明書交換の 設定
- Exchange 予定表統合のトラブルシュー ティング
Cisco Unified Presence Release 8.5 統合ガイド(Microsoft Exchange 版)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: Cisco Unified Presence と Microsoft Exchange 間でのセキュアな証明書交換の 設定
Cisco Unified Presence と Microsoft Exchange 間でのセキュアな証明書交換の設定
•
「自己署名証明書およびサードパーティ証明書の交換管理チェックリスト」
• 「Exchange Server の IIS 上での CSR の作成方法」
自己署名証明書およびサードパーティ証明書の交換管理チェックリスト
自己署名証明書およびサードパーティ証明書のセキュアな交換を設定する手順の概要を 表 5-1 に示します。
|
|
|
|
|---|---|---|
| 「Cisco Unified Presence サーバへのルート証明書のアップロード」 CA 署名付きのサードパーティ Exchange サーバ証明書がある場合は、証明書チェーン内の すべての CA 証明書を Cisco Unified Presence 信頼証明書(cup-trust)として Cisco Unified Presence にアップロードする必要があります。 |
||
認証局(CA)サービスのインストール方法
CA は Exchange サーバ上で動作しますが、サードパーティ証明書の交換におけるセキュリティを高めるために、別の Windows サーバを Certificate Authority(CA; 認証局)として使用することを推奨します。
• 「Windows Server 2003 への CA のインストール」
• 「Windows Server 2008 への CA のインストール」
Windows Server 2003 への CA のインストール
• CA をインストールするためには、まず Windows Server 2003 コンピュータに Internet Information Services(IIS; インターネット インフォメーション サービス)をインストールする必要があります。IIS は、Windows 2003 コンピュータにデフォルトでインストールされません。
• Windows Server ディスク 1 および SP1 ディスクを用意してください。
ステップ 1 [Start] > [Control Panel] > [Add/Remove Programs] の順に選択します。
ステップ 2 [Add/Remove Programs] ウィンドウの [Add/Remove Windows Components] を選択します。
ステップ 3 [Windows Components Wizard] が表示されます。
|
|
|
|---|---|
a. |
|
ステップ 4 インターネット インフォメーション サービスを停止するかどうかを確認するメッセージが表示されたら、[Yes] を選択します。
ステップ 5 Active Server Pages(ASP)を有効にするかどうかを確認するメッセージが表示されたら、[Yes] を選択します。
ステップ 6 インストール プロセスが完了したら、[Finish] を選択します。
CA はサードパーティの認証局であることに注意してください。CA の共通名は、CSR の作成に使用される共通名と同じであってはなりません。
Windows Server 2008 への CA のインストール
ステップ 1 [Start] > [Administrative Tools] > [Server Manager] の順に選択します。
ステップ 2 コンソール ツリーで [Roles] を選択します。
ステップ 3 [Action] > [Add Roles] の順に選択します。
ステップ 4 [Add Roles] ウィザードを完了します。
|
|
|
|---|---|
| (注) CA が発行する証明書は、ここで指定した期日まで有効です。 | |
a. |
Exchange Server の IIS 上での CSR の作成方法
• 「CSR の作成:Windows Server 2003 の実行」
• 「CSR の作成:Windows Server 2008 の実行」
CSR の作成:Windows Server 2003 の実行
Exchange の IIS で Certificate Signing Request(CSR; 証明書の署名要求)を作成する必要があります。作成した CSR は CA サーバによって署名されます。
自己署名証明書:必要に応じて証明書 CA サービスをインストールします。
ステップ 1 [Administrative Tools] から [Internet Information Services] を開きます。
ステップ 2 Internet Information Services(IIS; インターネット インフォメーション サービス)マネージャで次の操作を実行します。
a. [Default Web Site] を右クリックします。
ステップ 3 [Directory Security] タブを選択します。
ステップ 4 [Server Certificate] を選択します。
ステップ 5 [Web Server Certificate Wizard] ウィンドウが表示されたら、[Next] を選択します。
ステップ 6 Web Server Certificate Wizard を完了します。
(注) 証明書の [Subject Alternative Name (SAN)] フィールドに値が入力されている場合、その値は証明書の Common Name(CN; 共通名)と一致している必要があります。
CSR の作成:Windows Server 2008 の実行
Exchange の IIS で Certificate Signing Request(CSR; 証明書の署名要求)を作成する必要があります。作成した CSR は CA サーバによって署名されます。
ステップ 1 [Administrative Tools] から [Internet Information Services (IIS) Manager] を開きます。
ステップ 2 IIS マネージャの左側のフレームにある [Connections] ウィンドウで [Exchange Server] を選択します。
ステップ 3 [Server Certificates] をダブルクリックします。
ステップ 4 IIS マネージャの右側のフレームにある [Actions] ウィンドウで [Create Certificate Request] を選択します。
CA サーバ/認証局への CSR の提出
IIS で Exchange 用に作成されるデフォルトの SSL 証明書には、Exchange サーバの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用し、Cisco Unified Presence が信頼している認証局の署名を付けることを推奨します。この手順により、CA が Exchange IIS からの CSR 署名できます。次の手順を CA サーバで実行し、次の場所にある Exchange サーバの FQDN を設定してください。
• Cisco Unified Presence の管理画面にある、Exchange プレゼンス ゲートウェイの [プレゼンス ゲートウェイ(Presence Gateway)] フィールド
Exchange サーバの IIS で CSR を作成します。
ステップ 1 証明書要求ファイルを CA サーバにコピーします。
http:// local-server /certserv
ステップ 3 [Request a certificate] を選択します。
ステップ 4 [advanced certificate request] を選択します。
ステップ 5 [Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file] を選択します。
ステップ 6 メモ帳などのテキスト エディタを使用して、作成した CSR を開きます。
-----BEGIN CERTIFICATE REQUEST
ステップ 8 CSR の内容を [Certificate Request] テキストボックスに貼り付けます。
ステップ 9 (任意)[Certificate Template] ドロップダウン リストのデフォルト値は [Administrator] テンプレートです。このテンプレートでは、サーバの認証に適した有効な署名付き証明書が作成されることもあれば、作成されないこともあります。エンタープライズのルート CA がある場合は、[Certificate Template] ドロップダウン リストから [Web Server] 証明書テンプレートを選択してください。[Web Server] 証明書テンプレートは表示されないことがあるため、CA 設定を既に変更している場合、この手順は不要となることがあります。
ステップ 11 [Start] > [Administrative Tools] > [Certification] > [Authority] > [CA name] > [Pending request] の順に選択します。[Certificate Authority] ウィンドウの [Pending Requests] の下に、送信したばかりの要求が表示されます。
ステップ 13 [Issued certificates] を選択し、証明書が発行されていることを確認します。
署名付き証明書のダウンロード
ステップ 1 [Administrative Tools] から [Certification Authority] を開きます。先ほど発行した証明書の要求が [Issued Requests] に表示されます。
ステップ 2 その要求を右クリックし、[Open] を選択します。
ステップ 5 [Certificate Export Wizard] が表示されたら、[Next] を選択します。
ステップ 6 証明書のエクスポート ウィザードを完了します。
|
|
|
|---|---|
ステップ 7 Cisco Unified Presence の管理に使用するコンピュータに、cert.cer をコピーするか、FTP で送信します。
署名付き証明書の Exchange IIS へのアップロード方法
• 「署名付き証明書のアップロード:Windows 2003 の実行」
• 「署名付き証明書のアップロード:Windows 2008 の実行」
署名付き証明書のアップロード:Windows 2003 の実行
ここでは、署名付き CSR を IIS にアップロードする手順を説明します。署名付き証明書をアップロードするには、Cisco Unified Presence の管理に使用するコンピュータで次の手順を実行します。
サードパーティ証明書:認証局から署名付き証明書が提供されます。
ステップ 1 [Administrative Tools] から [Internet Information Services] を開きます。
ステップ 2 [Internet Information Services] ウィンドウで次の手順を実行します。
a. [Default Web Site] を右クリックします。
ステップ 3 [Default Web Site] ウィンドウで次の手順を実行します。
a. [Directory Security] タブを選択します。
b. [Server Certificate] を選択します。
ステップ 4 [Web Server Certificate Wizard] ウィンドウが表示されたら、[Next] を選択します。
ステップ 5 Web Server Certificate Wizard を完了します。
|
|
|
|---|---|
a. |
|
証明書が信頼できる証明書ストアにない場合、署名付き CSR は信頼できません。信頼を確立するには、次の操作を実行します。
• [Directory Security] タブで [View Certificate] を選択します。
• [Details] > [Highlight root certificate] の順に選択し、[View] を選択します。
署名付き証明書のアップロード:Windows 2008 の実行
ここでは、署名付き CSR を IIS にアップロードする手順を説明します。署名付き証明書をアップロードするには、Cisco Unified Presence の管理に使用するコンピュータで次の手順を実行します。
サードパーティ証明書:認証局から署名付き証明書が提供されます。
ステップ 1 [Administrative Tools] から [Internet Information Services (IIS) Manager] を開きます。
ステップ 2 IIS マネージャの左側のフレームにある [Connections] ウィンドウで [Exchange Server] を選択します。
ステップ 3 [Server Certificates] をダブルクリックします。
ステップ 4 IIS マネージャの右側のフレームにある [Actions] ウィンドウで [Complete Certificate Request] を選択します。
ステップ 5 [Specify Certificate Authority Response] ウィンドウで次の操作を実行します。
d. [OK] を選択します。要求が完了した証明書が証明書のリストに表示されます。
ステップ 6 [Internet Information Services] ウィンドウで次の手順を実行し、証明書をバインドします。
b. IIS マネージャの右側のフレームにある [Actions] ウィンドウで [Bindings] を選択します。
ステップ 7 [Site Bindings] ウィンドウで次の手順を実行します。
ステップ 8 [Edit Site Binding] ウィンドウで次の手順を実行します。
a. SSL 証明書のリスト ボックスから、作成した証明書を選択します。証明書に付けた「わかりやすい名前」が表示されます。
ルート証明書のダウンロード
署名付き証明書を Exchange IIS にアップロードします。
ステップ 1 CA サーバにサイン インし、Web ブラウザを開きます。
ステップ 2 使用している Windows プラットフォームの種類に応じ、次のいずれかの URL にアクセスします。
• Windows server 2003: http://127.0.0.1/certsrv
• Windows server 2008: https://127.0.0.1/certsrv
ステップ 3 [Download a CA certificate, certificate chain, or CRL] を選択します。
ステップ 4 [Encoding Method] で、[Base 64] を選択します。
ステップ 5 [Download CA Certificate] を選択します。
ステップ 6 証明書( certnew.cer )をローカル ディスクに保存します。
ルート証明書の件名 Common Name(CN; 共通名)がわからない場合は、外部の証明書管理ツールを使用して調べることができます。Windows オペレーティング システムで、拡張子が .CER の証明書ファイルを右クリックし、証明書のプロパティを開きます。
Cisco Unified Presence サーバへのルート証明書のアップロード
• サードパーティ証明書:認証局にルート証明書を要求します。CA 署名付きのサードパーティ Exchange サーバ証明書がある場合は、証明書チェーン内のすべての CA 証明書を Cisco Unified Presence の信頼証明書(cup-trust)として Cisco Unified Presence にアップロードする必要があります。
ステップ 1 Cisco Unified Presence の管理画面にある証明書インポート ツールを使用して、証明書をアップロードします。
|
|
|
|---|---|
Cisco Unified Presence の管理画面にある証明書インポート ツール 証明書インポート ツールは、信頼証明書を Cisco Unified Presence にインストールするプロセスを簡略化するもので、証明書交換の主要な方法です。このツールでは、Exchange サーバのホストとポートを指定すると、サーバから証明書チェーンがダウンロードされます。承認すると、欠落している証明書が自動的にインストールされます。 の順に選択)、カスタマイズされた証明書インポート ツールを表示することもできます。 |
a. b. c. この [ピア サーバ(Peer Server)] フィールドに入力する値は、Exchange サーバの IP アドレス、ホスト名、または FQDN と完全に一致している必要があります。 d. e. – – |
ステップ 2 証明書のインポート ツールによって、証明書が欠落していることがわかった場合は(通常、Microsoft サーバでは CA 証明書が欠落します)、Cisco Unified OS の管理画面の [証明書の管理(Certificate Management)] ウィンドウを使用して、手動で CA 証明書をアップロードしてください。
ステップ 3 証明書のインポート ツール(ステップ 1)に戻り、すべてのステータス テストが成功したことを確認します。
ステップ 4 すべての Exchange 信頼証明書をアップロードしたら、Cisco UP プレゼンス エンジンと SIP プロキシ サービスを再起動します。[Cisco Unified サービスアビリティ(Cisco Unified Serviceability)] > [Tools] > [Service Activation] の順に選択します。
• Cisco Unified Presence では、Exchange サーバの信頼証明書を件名 Common Name(CN; 共通名)あり/なしのどちらでもアップロードできます。
• 会議通知機能および Cisco IP Phone Messenger 機能は、ネットワークを WebDAV 経由で統合した場合にのみ有効です。これらの機能は EWS 統合ではサポートされません。
• 会議通知機能を使用する場合は、すべての種類の証明書についてプレゼンス エンジンと SIP プロキシを再起動する必要があります。証明書をアップロードしたら、[Cisco Unified サービスアビリティ(Cisco Unified Serviceability)] へ移動し、まずプレゼンス エンジン、次に SIP プロキシを再起動します。これによって予定表の接続が影響を受ける可能性があることに注意してください。
フィードバック