IBM Sametime Unified Telephony 9: セキュリティ

特定の機能へのアクセスを制限することによって、デプロイメントを保護します。

セキュリティの構成

IBM Sametime Unified Telephony デプロイメントのセキュリティを構成します。

このタスクについて

デプロイメント内でセキュリティを有効にするには、以下のタスクを実行します。

TLS 暗号化の構成

IBM Sametime Unified Telephony デプロイメント内のサーバー間通信を保護するために、TLS 暗号化を構成します。

このタスクについて

TLS 暗号化を実装するには、デプロイメント内のサーバー間でセキュリティ証明書を共有します。デプロイメント内で TLS を有効にするには、以下のタスクを実行します。

テレフォニー制御サーバー証明書の SIP Proxy and Registrar へのインポート

IBM® Sametime® Unified Telephony デプロイメントで、テレフォニー制御サーバーが使用するデフォルトの証明書を、Sametime SIP Proxy and Registrar をホストする IBM WebSphere® Application Server にインポートします。

このタスクについて

このタスクでは、デフォルトのテレフォニー制御サーバーのセキュリティ証明書を使用します。この証明書は、テレフォニー制御サーバーと SIP Proxy and Registrar サーバーとの間の内部通信を円滑化することだけを目的としています。デフォルトの証明書は、証明局としての使用を想定して作成されているわけではありません。

注: 実稼働インストールでは、認知度の高い証明局が署名した証明書を使用する必要があります。

このタスクはテレフォニー制御サーバーの両方のノードで行います。

手順
  1. テレフォニー制御サーバー上で、証明書ファイルをコピーします。このファイルは通常 /usr/local/ssl/certs/root.pemにあります。
  2. SIP Proxy and Registrar サーバー上で、証明書ファイルを一時的な場所に貼り付けます。たとえば /downloads/root.pem などです。
  3. SIP Proxy and Registrar サーバー上で、WebSphere Application Server Integrated Solutions Console に WebSphere 管理者としてログインします。
  4. [セキュリティ] > [SSL 証明書および鍵管理 (SSL certificate and key management)] をクリックします。
  5. 「関連項目」で、「鍵ストアおよび証明書」をクリックします。
  6. [CellDefaultTrustStore] > [署名者証明書] をクリックします。
  7. 以下の手順でテレフォニー制御サーバーの証明書を追加します。
    1. [追加] をクリックします。
    2. [別名] フィールドに、証明書の内容を表す別名を入力します (例: tcs-root-cert)。
    3. [ファイル名] フィールドに、証明書ファイルのパスを入力します (例: /downloads/root.pem)。
    4. [OK] をクリックします。
  8. ページの上部に表示されている [メッセージ] ボックスで [保存] リンクをクリックします。

SIP Proxy and Registrar が使用するセキュア SIP ポートの判別

SIP Proxy and Registrar が使用するセキュアポートを判別することにより、IBM Sametime Unified Telephony デプロイメントでそのポートに TLS 暗号化を構成できるようにします。

このタスクについて

使用されているポートを判別する手順は、SIP Proxy and Registrar のデプロイ方法によって異なります。

スタンドアロンサーバー: 以下の手順に従って SIP Proxy/Registrar が使用する SIP ポートを判別します。
  1. Deployment Manager の Integrated Solutions Console にログオンし、[サーバー] > [サーバー・タイプ] > [WebSphere Application Server] をクリックします。
  2. アプリケーションサーバーの表で、SIP Proxy and Registrar アプリケーションがインストールされているサーバーの名前をクリックします。
  3. [構成] タブで、[通信] セクションを探し、[ポート] を展開します。
  4. [ポート] 表で [SIP_ProxyReg_SECURE] 設定を探し、次のタスクで使用できるようにメモします。
クラスタリングされたサーバー: 以下の手順に従って SIP Proxy/Registrar クラスタと連動する WebSphere Proxy Server が使用する SIP ポートを判別します。
  1. Deployment Manager の Integrated Solutions Console にログオンし、[サーバー] > [サーバー・タイプ] > [WebSphere Application Server] をクリックします。
  2. アプリケーションサーバーの表で、SIP Proxy and Registrar クラスタの前で稼働する WebSphere Proxy Server がインストールされているサーバーの名前をクリックします。
  3. [構成] タブで、[通信] セクションを探し、[ポート] を展開します。
  4. [ポート] 表で [PROXY_SIPS_ADDRESS] 設定を探し、次のタスクで使用できるようにメモします。

ロードバランシングされたサーバー: ご使用のロードバランサで構成されているセキュア SIP ポートをメモします。

SIP Proxy and Registrar サーバーのエンドポイントの作成

IBM Sametime Unified Telephony デプロイメントで、SIP Proxy and Registrar 経路指定エンドポイントを作成します。

このタスクについて

前のタスクで取得したセキュアポートを使用して、SIP Proxy and Registrar サーバーを表すエンドポイントを定義します。

手順
  1. 以下の手順に従って、IBM WebSphere Application Server に対して作成したエンドポイント (SIP Proxy and Registrar のエンドポイントの作成参照) を開きます。
    1. テレフォニーアプリケーションサーバーで、CMP にログインします。
    2. [Telephony Control Server] > [Business Group] をクリックします。
    3. [Available Business Groups] リストから、 適切なビジネスグループを選択します。
    4. [Members] > [Endpoints] をクリックし、WebSphere Application Server を表すエンドポイントをクリックします。
  2. 以下の設定を使用して、SIP Proxy and Registrar へのセキュア接続用の新しいエンドポイントを追加します。

    エンドポイントの作成方法の詳細については、SIP Proxy and Registrar のエンドポイントの作成を参照してください。

    1. [General] タブをクリックし、[Name] フィールドにエンドポイントの内容を表す名前を入力します。
    2. [SIP] タブで、[トランスポート] を「MTLS」に変更し、[ポート]SIP Proxy and Registrar が使用するセキュア SIP ポートの判別で取得したセキュアポートに変更します。
  3. 以前の WebSphere Application Server エンドポイントへの経路指定用に作成した宛先を開き、以下の変更を加えます。

    経路の作成方法の詳細については、経路の作成を参照してください。

    1. [経路 (Routes)] タブで、古い経路を削除します。
    2. 前の手順で作成した新しい WebSphere Application Server エンドポイントを指す新しい経路を追加します。

SIP Proxy and Registrar 証明書のテレフォニー制御サーバーへのインポート

SIP Proxy and Registrar のセキュリティ証明書をテレフォニー制御サーバーにインポートして、IBM Sametime Unified Telephony デプロイメントで TLS 暗号化を有効化できるようにします。

このタスクについて

このタスクでは、デフォルトのセキュリティ証明書を使用します。この証明書は、SIP Proxy and Registrar とテレフォニー制御サーバーとの間の内部通信を円滑化することだけを目的としています。デフォルトの証明書は、証明局としての使用を想定して作成されているわけではありません。このタスクでは、証明書 root.pem を、SIP Proxy and Registrar から、テレフォニー制御サーバーがファイルを取得できる場所にコピーします。

注: 実稼働インストールでは、認知度の高い証明局が署名した証明書を使用することをお勧めします。

このタスクはテレフォニー制御サーバーの両方のノードで行います。

手順
  1. 以下のように、SIP Proxy and Registrar サーバーのルート証明書の署名者を確認します。
    1. WebSphere Application Server 管理コンソールで、[セキュリティー] > [SSL 証明書および鍵管理] > [エンドポイント・セキュリティー構成の管理] をクリックします。
    2. [インバウンド] を展開し、SIP Proxy and Registrar がインストールされているノードをクリックします (クラスタの場合は、WebSphere SIP プロキシがインストールされているノードを選択します)。
    3. [証明書の管理] をクリックします。
    4. 別名が default である証明書の [発行元] フィールドを参照して、SIP Proxy and Registrar で使用するチェーン証明書のルート証明書を確認します。
  2. 以下のコマンドを実行して、SIP Proxy and Registrar の証明書をファイルにエクスポートします。
    1. SIP Proxy and Registrar をホストするコンピュータで、WebSphere Application Server の Integrated Solutions Console に WebSphere 管理者としてログインします。
    2. [セキュリティ] > [SSL 証明書および鍵管理 (SSL certificate and key management)] をクリックします。
    3. [関連項目] にある [鍵ストアおよび証明書] をクリックします。
    4. [CellDefaultTrustStore] > [署名者証明書] をクリックします。
    5. SIP Proxy and Registrar の署名者として使用したルート証明書を選択します (これはステップ 1.d で確認したものです)。
    6. [抽出] をクリックします。
    7. [ファイル名] フィールドに、証明書の保存先ファイルのパスと名前を入力します (例: /downloads/sip-pr-root-cert.pem)。
    ヒント: SIP Proxy and Registrar サーバーへの直接アクセス権を持っていない場合は、以下のように、ブラウザを使用してその証明書をエクスポートできます。
    1. ブラウザを開き、次の例に示すようなアドレスを使用して SIP Proxy and Registrar のセキュアポートにナビゲートします。https://SIP_PR_IPaddr:SIP_PR_port
    2. そのサイトが保護されていることを警告するメッセージが表示された場合は、証明書を表示するオプションをクリックします。
    3. 証明書の [詳細] タブをクリックします。
    4. [ファイルにコピー] オプションをクリックし、[Base-64 X.509 .CER] を形式として選択します。
    5. 証明書を閉じます。
  3. 以下の手順に従って、証明書ファイルをテレフォニー制御サーバーの各ノードにインポートします。
    1. テレフォニー制御サーバーノードをホストするコンピュータに証明書ファイルをコピーし、/usr/local/ssl/certs に保存します。
    2. テレフォニー制御サーバーで、WebSphere Application Server Integrated Solutions Console に WebSphere 管理者としてログインします。
    3. 以下のコマンドを実行して、.pem ファイルへの symlink を作成し、ファイルの内容を root.pem にコピーします。
      cd /usr/local/ssl/certs
      ln -s sip-pr-root-cert.pem "`openssl x509 -noout -hash -in sip-pr-root-cert.pem`.0" 
      cp root.pem root.pem.backup
      echo >> root.pem
      cat sip-pr-root-cert.pem >> root.pem
      chown srx:rtpgrp root.pem

SIP Proxy and Registrar 証明書のテレフォニーアプリケーションサーバーへのインポート

IBM Sametime Unified Telephony デプロイメントで、SIP Proxy and Registrar が使用するデフォルトの証明書をテレフォニーアプリケーションサーバーにインポートします。

このタスクについて

このタスクでは、デフォルトのセキュリティ証明書を使用します。この証明書は、SIP Proxy and Registrar とテレフォニーアプリケーションサーバーとの間の内部通信を円滑化することだけを目的としています。デフォルトの証明書は、証明局としての使用を想定して作成されているわけではありません。このタスクでは、証明書 root.pem を、SIP Proxy and Registrar から、テレフォニーアプリケーションサーバーがファイルを取得できる場所にコピーします。

注: 実稼働インストールでは、認知度の高い証明局が署名した証明書を使用することをお勧めします。

このタスクはすべてのテレフォニーアプリケーションサーバーで行います。

このトピックでは次のようなディレクトリの省略語が使われています。
表 1. このタスクで使用されるディレクトリ変数
ディレクトリ変数 説明

${TAS_ROOT}

テレフォニーアプリケーションサーバーソフトウェアのメインのディレクトリ。
例: /enterprise

手順
  1. 以下のコマンドを実行して、SIP Proxy and Registrar の証明書をファイルにエクスポートします。
    1. SIP Proxy and Registrar をホストするコンピュータで、WebSphere Application Server の Integrated Solutions Console に WebSphere 管理者としてログインします。
    2. [セキュリティー] > [SSL 証明書および鍵管理] > [エンドポイント・セキュリティー構成の管理] をクリックします。
    3. [インバウンド] を展開し、SIP Proxy and Registrar がインストールされているノードをクリックします。
    4. [証明書の管理] をクリックします。
    5. ルート証明書 (別名が「default」の証明書) を選択します。
    6. [抽出] をクリックします。
    7. [ファイル名] フィールドに、証明書の保存先ファイルのパスと名前を入力します (例: /downloads/sip-pr-root-cert.cer)。
    ヒント: SIP Proxy and Registrar サーバーへの直接アクセス権を持っていない場合は、以下のように、ブラウザを使用してその証明書をエクスポートできます。
    1. ブラウザを開き、次の例に示すようなアドレスを使用して SIP Proxy and Registrar のセキュアポートにナビゲートします。https://SIP_PR_IPaddr:SIP_PR_port
    2. そのサイトが保護されていることを警告するメッセージが表示された場合は、証明書を表示するオプションをクリックします。
    3. 証明書の [詳細] タブをクリックします。
    4. [ファイルにコピー] オプションをクリックし、[Base-64 X.509 .CER] を形式として選択します。
    5. 証明書を閉じます。
  2. 以下の手順に従って、証明書ファイルを各テレフォニーアプリケーションサーバーにインポートします。
    1. テレフォニーアプリケーションサーバーをホストするコンピュータに証明書ファイルをコピーし、${TAS_ROOT}/ibm/certs に保存します。
    2. テレフォニーアプリケーションサーバーで、WebSphere Application Server Integrated Solutions Console に WebSphere 管理者としてログインします。
    3. 以下のコマンドを使用して、証明書をインポートします。
      chown sym:sym sip-pr-cert.cer
      chmod 644 sip-pr-cert.cer 
  3. ${TAS_ROOT}/ibm/sutbcomadapter.properties ファイルを編集して、以下の 2 つのステートメントを追加します。
    SIPProxyCert=${TAS_ROOT}/ibm/certs/sip-pr-cert.cer
    SIPProxy=SIP-PR-address:secure_SIP_port;transport=TLS

    ここで secure_SIP_port は、SIP Proxy and Registrar が使用するセキュア SIP ポートの判別で取得したポートです。

    注: テレフォニーアプリケーションサーバーをアップグレードする場合は、これらの新しいプロパティが既に追加され、値が割り当てられている可能性があります。まだ追加されていない場合は、ここで追加します。

LDAP リポジトリへのセキュアアクセスを構成する

IBM Sametime Unified Telephony デプロイメントで、SIP Proxy and Registrar サーバーが使用する LDAP サーバーへのセキュアアクセスを構成します。

始める前に

エンタープライズ LDAP サーバーが実行されていることを確認します。

このタスクについて

SIP Proxy and Registrar が Sametime Standard デプロイメントの一部としてインストールされている場合、このタスクはインストール時に完了しています。SIP Proxy and Registrar を Sametime Unified Telephony 専用にデプロイした場合は、ここでこのタスクを実行する必要があります。

LDAP サーバーが公開証明書を使用している場合、公開ルート CA を取得してインポートする必要があります。ご使用の LDAP サーバーが自己署名証明書を使用している場合は、単に自己署名証明書をインポートします。

手順

  1. 証明書をインポートします。
    1. SIP Proxy and Registrar の Integrated Solutions Console にログインします。
    2. [セキュリティ] > [SSL 証明書および鍵管理] > [鍵ストアおよび証明書] > [CellDefaultTrustStore] > [署名者の証明書] を選択します。
    3. [Add] をクリックします。
    4. [別名] フィールドに、自己署名であっても公開 CA であっても、証明書の説明を入力します。
    5. [ファイル名] フィールドに、証明書ファイルへのパスを入力します。例えば、c:¥ldap.cer と入力します。
    6. [適用][保存] の順にクリックします。
    7. すべての WebSphere Application Server プロセスを再起動し、変更を有効にします。
  2. SIP Proxy and Registrar サーバーと LDAP リポジトリの間で SSL を有効にします。
    1. SIP Proxy and Registrar の Integrated Solutions Console にログインします。
    2. [セキュリティー] > [グローバル・セキュリティー] を選択します。
    3. [構成] をクリックしてください。
    4. レルムテーブル内の [リポジトリ (Repositories)] で、LDAP サーバー ID を選択します。
    5. [ポート] フィールドに 636 と入力します。 一部の LDAP サーバーでは、SSL 接続に異なるポートを指定することができます。
    6. [SSL 通信が必要 (Require SSL communications)] をクリックします。
    7. [適用][保存] の順にクリックします。
    8. SIP Proxy and Registrar サーバーを再起動し、変更を有効にします。

SIP Proxy/Registrar サーバーの信頼された IP リストの構成

IBM Sametime Unified Telephony デプロイメントで、テレフォニー制御サーバーの IP アドレスを SIP Proxy and Registrar の信頼された IP のリストに追加します。

手順

  1. 以下の手順に従って、テレフォニー制御サーバーの両ノードの IP アドレスのリストを取得します。
    1. テレフォニー制御サーバーのアクティブなノードで以下のコマンドを実行して、同サーバーの IP アドレスを確認します。
      grep "sipsm3_vip:" /etc/hiq8000/node.cfg
    2. 次の手順で使用するために IP アドレスをメモします。
  2. 以下の手順に従って、テレフォニー制御サーバーの IP アドレスを SIP Proxy and Registrar に追加します。
    1. SIP Proxy and Registrar で、WebSphere Application Server の Integrated Solutions Console に WebSphere 管理者としてログオンします。
    2. [サーバー] > [WebSphere Application Server]をクリックします。
    3. アプリケーションサーバーのリストで、SIP Proxy and Registrar サーバーをクリックします。
    4. [コンテナー設定] の下で、[SIP コンテナー設定] > [SIP コンテナー] をクリックします。
    5. [カスタム・プロパティー] をクリックします。
    6. [com.ibm.ws.sip.security.trusted.iplist] カスタムプロパティをクリックします。
    7. テレフォニー制御サーバーの IP アドレスを信頼された IP のリストに追加します。

      このフィールドには、複数の値をコンマで区切って入力できます。

    8. [OK] を選択します。
    9. ページ最上部の [メッセージ] ボックスで [保存] リンクをクリックして、変更内容を保存します。
    10. SIP プロキシ/レジストラクラスタ内のノードを同期して、クラスタを再起動します。

許可設定の構成

BCOM アダプタと SIP レジストラを構成して、IBM Sametime Unified Telephony デプロイメントへのユーザーアクセスを許可します。

このタスクについて

SIP Proxy and Registrar は、指定された Address-of-Record の登録を変更する権限が認証ユーザーにあるかどうかを判別します。このタスクでは、BCOM アダプタと SIP レジストラを構成して、認証ユーザーによるアクセスを許可します。

BCOM アダプタの構成

IBM Sametime Unified Telephony デプロイメントの BCOM アダプタを構成します。

このタスクについて

BCOM ネットワークアダプタを構成して、クライアント認証が必要かどうか、および電話番号の前に「+」を付ける必要があるかどうかを決定します。アダプタの構成は、sutbcomadapter.properties ファイルを変更することで行います。

手順
  1. 編集する /enterprise/ibm/sutbcomadapter.properties ファイルを開きます。
  2. 以下の 2 つのプロパティを指示に従って設定します。
    • STIForceStrictClientAuthentication

      電話番号が Sametime リポジトリに定義されていない場合は、STIForceStrictClientAuthentication=false を設定します。 電話番号が Sametime リポジトリに定義されている場合は、STIForceStrictClientAuthentication=true を設定します。 True がデフォルト値です。

    • STIClientAuthorizationInGNF

      このプロパティは、STIForceStrictClientAuthentication プロパティが true に設定された場合のみ必要です。テレフォニー番号が先頭に「+」付きでリポジトリに保管されている場合は、STIClientAuthorizationInGNF=true (番号を + 付きで送信する) と設定します。それ以外の場合は、STIClientAuthorizationInGNF=false (番号を + なしで送信する) と設定します。

  3. ファイルを保存して閉じます。

SIP レジストラの構成

IBM Sametime Unified Telephony デプロイメントで SIP Proxy and Registrar の authorization.xml ファイルを構成します。

このタスクについて

SIP レジストラによる許可の構成は、SIP Proxy and Registrar の authorization.xml ファイルを変更することで行います。SIP Proxy and Registrar がクラスタリングされている場合は、この変更をすべてのクラスタメンバーで行います。

手順
  1. dm_install_root/config/cells/cell_name/nodes/node_name/servers/server_name/authorization.xml ファイルを編集用に開きます。
  2. Unified 番号が Sametime リポジトリで定義されていない場合は、ファイルに以下の変更を加えます。
    1. ファイル内の以下のセクションに、以下に示すようにコメントマーカー <!– および –> を付けて、これらのセクションをコメント化します。
      注: コメントマーカーはネストできません。このセクションには既にコメントマーカーが含まれているため、既存のコメントの上と下のコードをコメント化する必要があります。
        <!--  <authorizationProperty>
                      <description>unified number</description>
                      <type>telephoneNumber</type>  --> 
                      <!-- VMM property name-->
                       <!--  <repositoryAttr>telephoneNumber</repositoryAttr>
                      <parameters>
                              <parameter name="telephonyPrefix" value=""/>
                      </parameters>
        </authorizationProperty>  --> 
    2. 以下のセクションを囲むコメントマーカー  <!--   および   -->  を削除して、このセクションを有効にします。
      <authorizationProperty>
                      <description>non-strict authorization</description>
                      <type>non-strict</type>
      </authorizationProperty>
    3. ファイルを保存して閉じます。
  3. Unified 番号が Sametime リポジトリで定義されている場合は、ファイルに以下の変更を加えます。
    1. telephonyPrefix 設定を探し、正しいテレフォニープレフィックス値を入力します。
      正しい値は以下のようにして判別できます。
      1. BCOM アダプタの sutbcomadapter.properties ファイルを開きます。
      2. SoftphonePrefix 値を探してコピーします。
      3. GNFPrefixReplacement を見つけます。
      4. コピーした SoftphonePrefix 値の最初の「+」を GNFPrefixReplacement 値に置き換えます。
      次に例を示します。
      SoftphonePrefix = +5
      GNFPrefixReplacement = 9

      この場合、telephonyPrefix の値は 95 になります。telephonyPrefix 値を以下のように設定します。

      <parameter name="telephonyPrefix" value="95"/>
    2. Unified 番号に Sametime リポジトリの telephoneNumber 属性以外の属性を使用する場合は、以下に示すように repositoryAttrUnified_Number_Attribute に変更します。
      変更前
      <authorizationProperty>
                      <description>unified number</description>
                      <type>telephoneNumber</type>
                      <!-- VMM property name-->
                      <repositoryAttr> telephoneNumber </repositoryAttr>
                      <parameters>
                              <parameter name="telephonyPrefix" value=""/>
                      </parameters>
      </authorizationProperty>
      変更後
      <authorizationProperty>
                      <description>unified number</description>
                      <type>telephoneNumber</type>
                      <!-- VMM property name-->
                      <repositoryAttr> Unified_Number_Attribute </repositoryAttr>
                      <parameters>
                              <parameter name="telephonyPrefix" value=""/>
                      </parameters>
      </authorizationProperty>
      ここで  Unified_Number_Attribute  は、Unified 番号を格納する属性の名前です。
    3. ファイルを保存して閉じます。
  4. SIP レジストラがクラスタリングされている場合は、Deployment Manager 上の authorization.xml の各インスタンスを更新します (更新したファイルを追加のロケーションにコピーできます)。
  5. サーバーまたはクラスタを再起動します。
    • スタンドアロンサーバーの場合は、以下の手順で再起動します。
      1. サーバーの Integrated Solutions Console で、[サーバー] > [サーバー・タイプ] > [server_type] をクリックします。
      2. サーバーのリストでサーバーを選択し、表の上部にある [再起動] ボタンをクリックします。
      3. [最新表示] ボタンをクリックし、すべてのコンポーネントがアクティブになっていることを確認します。
    • クラスタリング済みサーバーの場合は、以下の手順でノードを同期して再起動します。
      1. Deployment Manager の Integrated Solutions Console で、[システム管理] > [ノード] をクリックします。
      2. クラスタ内のすべてのノードを選択し、表の上部にある [完全な再同期] ボタンをクリックします。
      3. ナビゲーションツリーに戻り、[システム管理] > [ノード・エージェント] をクリックします。
      4. クラスタ内のすべてのノードを選択し、表の上部にある [再始動] ボタンをクリックします。

WebSphere Application Server での認証属性の設定

LDAP リポジトリで定義された電話番号が、テレフォニーアプリケーションサーバーでユーザーごとにプロビジョンされた電話番号と同一である場合は、IBM Sametime Unified Telephony デプロイメント環境でユーザーを認証するために、ログインプロパティを定義します。

このタスクについて

このタスクが必要となるのは、Sametime リポジトリに定義されている Unified 番号が、テレフォニーアプリケーションサーバーで、そのユーザーに対してプロビジョンされた電話番号と同一である場合に限ります。

手順
  1. SIP Proxy and Registrar の WebSphere Application Server の Integrated Solutions Console に WebSphere 管理者としてログインします。
  2. [セキュリティー] > [グローバル・セキュリティー] をクリックします。
  3. [構成] ボタンをクリックし、リポジトリの名前をクリックしてリポジトリを選択します。
  4. [ログイン・プロパティー] フィールドを変更して、電話番号属性を追加します (リストに電話番号属性を追加します)。例えば、mail;cn;uid; telephoneNumber  などと指定します。
  5. [OK] をクリックします。
  6. ページ最上部の [メッセージ] ボックスで [保存] リンクをクリックして、変更内容を保存します。

PBX トランクの TLS 暗号化の構成

IBM Sametime Unified Telephony デプロイメントで、テレフォニー制御サーバーに PBX のセキュリティ証明書をインポートします。

このタスクについて

テレフォニー制御サーバーのセキュリティの構成では、PBX トランクの両側にトラスト証明書が存在するようにトランスポート層セキュリティ (TLS) を構成します。トラステッド認証局を通して PBX の証明書を作成できます。

手順

  1. サードパーティの信頼された証明局を利用して PBX の証明書を作成するか、PBX から自己署名証明書を取得します。
  2. 以下の手順に従って、テレフォニー制御サーバーの各ノードに証明書をインポートします。
    1. .cer 証明書ファイルをテレフォニー制御サーバーにコピーし、/usr/local/ssl/certs ディレクトリに保存します。このとき、ファイル名の拡張子を .pem に変更します。

      例えば、pbx.cerpbx.pem に変更します。

    2. 以下のコマンドを実行して、.pem ファイルへの symlink を作成し、ファイルの内容を root.pem にコピーします。
      # cd /usr/local/ssl/certs
      # ln -s mycertfile.pem "`openssl x509 -noout -hash -in mycertfile.pem`.0"
      # cat mycertfile.pem >> root.pem
  3. 以下の設定を使用して、PBX へのセキュア接続用の新しいエンドポイントを追加します。

    エンドポイントの作成方法の詳細については、SIP Proxy and Registrar のエンドポイントの作成を参照してください。

    1. [SIP] タブで、[トランスポート] を「MTLS」に変更し、[ポート]SIP Proxy and Registrar が使用するセキュア SIP ポートの判別で取得したセキュアポートに変更します。
    2. [属性] タブで、[サーバー仮想アドレスの使用 (Use Server Virtual Address)] オプションをクリックします。
  4. 以前の PBX エンドポイントへの経路指定用に作成した宛先を開き、以下の変更を加えます。

    経路の作成方法の詳細については、経路の作成を参照してください。

    1. [経路 (Routes)] タブで、古い経路を削除します。
    2. 前の手順で作成した新しい PBX エンドポイントを指す新しい経路を追加します。
  5. 信頼された証明局を利用してテレフォニー制御サーバーノードの証明書を作成するか、テレフォニー制御サーバーから自己署名証明書を取得し、これを PBX で構成 (PBX にインポート) します (PBX の資料参照)。
    1. テレフォニー制御サーバーノードで、次のディレクトリにナビゲートします。 /usr/local/ssl/private
    2. server.pem ファイルを開き CERTIFICATE セクションを見つけます。

      デフォルトのインストール済み環境には、サーバー証明書、中間 CA 証明書、ルート CA 証明書の 3 つの証明書セクションがあります。

      各証明書セクションは以下のテキストでマークされています。

      -----BEGIN CERTIFICATE-----
      ...
      ------END CERTIFICATE------
    3. すべての証明書をコピーします。
    4. すべての証明書を PBX にインポートします。