概要
Zoom Phoneプラットフォーム全体のZoomアプリケーション、接続性、メディアに関するZoomの高いセキュリティ基準を維持するため、ZoomはDigiCert Global Root G2署名付き証明書へのグローバルインフラストラクチャの移行を開始します。サービスが引き続き機能するように、管理者は新しい証明書をインストールする必要がある場合があります。
影響を受けるサービスの概要は以下の通りです
デバイスタイプ | 変更日 |
Cloud Room Connectorを利用するデバイス |
2024年1月27日 |
Bring your own carrier - 施設(BYOC-施設) |
2023年8月1日以降 |
Zoom Phone用の汎用SIPデバイス |
2023年8月1日以降 |
SIP接続されたオーディオデバイス |
2024年1月1日 |
この記事の内容は次のとおりです。
- Zoom Phoneに与える影響について
- SIPベースのルームシステム与える影響について
- 影響を受けるかどうかを確認する方法
- 証明書変更前にSIPベースのルームシステムで確認テストを実行する方法
- シングルサインオン(SSO)に与える影響について
- ルート証明書のダウンロードについて
Zoom Phoneに与える影響について
Zoom社は現在、ルート証明書をDigiCert Root CAからDigiCert Global Root G2に移行する作業を行っています。この変更の一環として、お客様は、TLS用に構成されたBYOC/BYOPトランクが証明書の変更後も動作し続けることを確認するために、DigiCert Global Root G2をセッションボーダーコントローラー(SBC)にアップロードする必要があります。また汎用デバイスをお使いのお客様は、これらの証明書を汎用デバイスにもアップロードする必要があります。これらの変更は、2023年8月1日までに実装する必要があります。
注:
- これはセッションボーダーコントローラー(SBC)やZoom認定電話機、汎用SIPデバイスがZoomのクライアントとしてZoomを信頼できるサーバとするために各デバイスにインストールしておくものです。そのため、既にDigiCert Global Root G2がお使いのデバイスにインストール済みの場合は改めてのインストール作業は不要です。
- 確実に動作させるには、Zoom社が新しい証明書を更新するまで、現在のDigiCert Root CA証明書をデバイス上に残しておく必要があります。
セッションボーダーコントローラー(SBC)の証明書を更新する方法に関する追加リソースについては、以下のリンクを参照するか、電話機メーカーのWebサイトを参照してください。
SIPベースのルームシステム与える影響について
Zoom CRCサービスは、SIP TLS接続にDigiCert Global Root G2ルート証明書とDigiCert Global G2 TLS RSA SHA256 2020 CA1中間証明書によって発行された証明書の使用を開始します。
影響のある通信
- SIP TLSを使用してZoom CRCに接続
影響のない通信
- SIP TCPを使用してZoom CRCに接続
- SIP UDPを使用してZoom CRCに接続
- H.323を使用してZoom CRCに接続
注:確実に動作させるために、Zoomが変更を完了するまで、SIP TLSを使用してZoom CRCに接続するデバイス上に現在のDigiCertルートCA証明書を残しておく必要があります。変更後、Zoom CRCに接続するためにSIP TLSを使用しているデバイスから削除する必要はありません。
影響を受けるかどうかを確認する方法
Zoomは、この変更がZoom CRCサービスを使用するSIPベースのルームシステムまたは統合に影響を与える可能性があることを理解しています。Zoom CRC証明書が、SIP TLSを使用してZoom CRCからZoomミーティングに接続する機能に影響を与えないことを確認するため、Zoomは、デフォルト設定の一般的なSIP/H.323会議室機器を使用してテストを行いました。Zoomは、設定された通話プロトコルとしてSIP TLSを使用してZoom CRCに直接通話を行い、各機器をテストしました。以下のデバイス/ファームウェアの組み合わせは、デバイスがデフォルト設定のときに、新しい証明書を使用してSIP TLSを使用してZoom CRCに接続することに成功しました:
- ファームウェアTC7.3.21を使用したCisco EXシリーズ、Cシリーズ、およびMXシリーズの「ジェネレーション1」
- ファームウェアCE9.15.17.4を使用するCisco DXシリーズ、SXシリーズ、MXシリーズ「ジェネレーション2」
- ファームウェアRoomOS 10.19.5.6(オンプレミス)または10.20.1.6(クラウド登録)を使用するCisco Roomシリーズ、Deskシリーズ、およびBoardシリーズ
- ファームウェア RoomOS 11.1.4.1 以上(オンプレミス)または 11.4.1.8 以上(クラウド登録)を使用する Cisco Roomシリーズ、Deskシリーズ、およびBoardシリーズ
- ファームウェア 3.1.7 以降を使用する Polycom HDX
- ファームウェア 6.1.7.2 以降を使用する Polycom RealPresence Group シリーズ
- ファームウェア 7.2.6-0019 を使用する Polycom Trio 機器(Visual Plus および Visual Pro 構成を含む)
Zoomは、お使いのSIP/H.323ルームデバイスがこれらの要件を満たしているかどうかを確認することをお勧めします。Zoomは、Zoom CRCがサポートされていることを確認するために、必要に応じてデバイスを更新することをお勧めします。
お使いのデバイス、アプリケーション、またはプラットフォームが上記に記載されておらず、SIP、特にSIP TLSを使用してZoom CRCに接続する場合は、ベンダーのマニュアルを参照するか、ベンダーのサポートサービスに連絡して、お使いのデバイス、アプリケーション、またはプラットフォームで利用可能なトラストストア証明書にDigiCert Global Root G2ルート証明書が含まれているかどうかを確認してください。 必要であれば、ベンダーは追加の証明書をインストールする手順を提供することができます。
証明書変更前にSIPベースのルームシステムで確認テストを実行する方法
テスト用接続先
SIP TLSを使用してZoom CRCに接続するように設定されているSIP/H.323デバイスから、以下SIP URIにダイヤルします。
Zoom CRCテストサービス:0@dvgo.zmus.us
dvgo.zmus.usのZoom CRCサービスは、DigiCert Global Root G2ルート証明書とDigiCert Global G2 TLS RSA SHA256 2020 CA1中間証明書によって発行された証明書をSIP TLS接続に使用します。
テスト用接続先につながらない場合
接続に失敗するのは、DigiCert Global Root G2 ルート証明書と DigiCert Global G2 TLS RSA SHA256 2020 CA1 中間証明書によって発行された新しい Zoom CRC 証明書が、お使いのデバイスまたはサービスから信頼されていないことが原因である可能性があります。 SIP/H.323デバイスのログを確認し、通話が失敗した理由を確認してください(「検証の失敗」や「証明書チェーン内の自己署名証明書」など、信頼の欠如を示すためにTLS接続を作成できなかったなど)。 この場合、デバイスベンダの管理インターフェイスを使用して、DigiCert Global Root G2 ルート証明書をロードすることができます。 デバイスがZoom CRCに直接ダイヤルしていない場合(オンプレミスまたはサードパーティのクラウドインフラストラクチャに登録されているなど)、障害がSIP/H.323デバイス自体ではなく、コールパスのどこかにある可能性もあります。インフラストラクチャのログを確認して、通話が失敗した原因を確認してください。
通話が正常に接続された場合
SIP/H.323 デバイスがZoom CRC接続しIVRにてミーティングIDの入力を求められた場合、デバイスはDigiCert Global Root G2 ルート証明書および DigiCert Global G2 TLS RSA SHA256 2020 CA1 中間証明書によって発行された新しい証明書を使用して、Zoom CRCとSIP TLS接続をネゴシエートできた可能性があります。この場合、ミーティングに参加する必要はありません。デバイスがIVRに接続した際に、ミーティングID入力画面が表示され音声ガイダンスが聴こえれば、SIP TLS証明書の信頼性をテストするには十分です。
ただし、Zoomでは、SIP/H.323デバイスのログを見て、SIP TLSでの接続ができなかったためにSIP TCPやSIP UDP、またはH.323接続に切り替えての接続になっていないか※確認し、実際にSIP TLSで接続されていることを確認することをお勧めします。
※デバイスがZoom CRCに直接ダイヤルしていない場合(オンプレミスまたはサードパーティのクラウドインフラストラクチャに登録されているなど)、コールパスのどこかでフォールバックが発生している可能性もあります。この場合、インフラストラクチャのログを確認して、通話がSIP TLSを使用して接続されていることを確認してください。
SIP/H.323 デバイスが影響を受けた場合
オプションで、SIP UDP、SIP TCP、またはH.323を使用してルームコネクタに接続するようにデバイス、アプリケーション、またはプラットフォームを構成できますが、Zoomでは SIP TLSを使用することをお勧めします。デバイス、アプリケーション、またはプラットフォームで利用できるトラストストア証明書にDigiCert Global Root G2ルート証明書が含まれているかどうかを確認するには、ベンダーのドキュメントを参照するか、ベンダーのサポートサービスに問い合わせてください。ベンダーは、必要に応じて、このページの他の場所にリストされている追加の証明書をインストールする手順を提供できます。デバイス、アプリケーション、またはプラットフォーム ベンダーの信頼ストアに証明書を追加できないために SIP TLS接続が不可能な場合は、代わりにハードウェアをZoom Roomsに置き換えることを検討できます。
シングルサインオン(SSO)に与える影響について
業界の標準慣行に合わせて、Zoom は、2024 年 1 月 2 日火曜日の有効期限が切れる前に、シングル サインオン (SSO) 証明書を更新します。ただし、Zoom SSO 証明書のローテーションを続行する前に、 DigiCert Global Root G2 がトラスト ストアに含まれていることを確認してください。ほとんどのクラウドベースの ID プロバイダー (IdP) サービスには、これがすでに含まれています。オンプレミス ベースの IDP サーバーでは、証明書トラスト ストアの更新が必要になる場合があります。トラスト ストアに DigiCert Global Root G2 が含まれていないと、Zoom SSO 証明書をローテーションするときにサービスが中断されます。
ルート証明書のダウンロードについて
現在のルート証明書と中間証明書
Download the root certificate: https://cacerts.digicert.com/DigiCertGlobalRootCA.crt
Valid until: 10/Nov/2031
Serial #: 08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A
SHA1 Fingerprint: A8:98:5D:3A:65:E5:E5:C4:B2:D7:D6:6D:40:C6:DD:2F:B1:9C:54:36
SHA256 Fingerprint: 43:48:A0:E9:44:4C:78:CB:26:5E:05:8D:5E:89:44:B4:D8:4F:96:62:BD:26:DB:25:7F:89:34:A4:43:C7:01:61
Download the DigiCert TLS RSA SHA256 2020 CA1: https://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt
Valid until: 13/Apr/2031
Serial #: 06:D8:D9:04:D5:58:43:46:F6:8A:2F:A7:54:22:7E:C4
SHA1 Fingerprint: 1C:58:A3:A8:51:8E:87:59:BF:07:5B:76:B7:50:D4:F2:DF:26:4F:CD
SHA256 Fingerprint: 52:27:4C:57:CE:4D:EE:3B:49:DB:7A:7F:F7:08:C0:40:F7:71:89:8B:3B:E8:87:25:A8:6F:B4:43:01:82:FE:14
新しいルート証明書と中間証明書
ルート証明書
現在、DigiCertを通じて証明書を発行しています。ルート証明書がシステムの信頼ストアにない場合は、手動で追加する必要がある場合があります。以下は、組織が2024年1月1日までに利用する必要がある現在の証明書です。
DigiCert Global Root G2:
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
Valid until: 15/Jan/2038
Serial #: 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
SHA1 Fingerprint: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
SHA256 Fingerprint: CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F
DigiCert TLS RSA4096 Root G5:
https://cacerts.digicert.com/DigiCertTLSRSA4096RootG5.crt
Valid until: 14/Jan/2046
Serial #: 08:F9:B4:78:A8:FA:7E:DA:6A:33:37:89:DE:7C:CF:8A
SHA1 Fingerprint: A7:88:49:DC:5D:7C:75:8C:8C:DE:39:98:56:B3:AA:D0:B2:A5:71:35
SHA256 Fingerprint: 37:1A:00:DC:05:33:B3:72:1A:7E:EB:40:E8:41:9E:70:79:9D:2B:0A:0F:2C:1D:80:69:31:65:F7:CE:C4:AD:75
中間証明書
まれに、システムによって中間証明書を手動で追加することが必要になる場合があります。
DigiCert Global G2 TLS RSA SHA256 2020 CA1: https://cacerts.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crt
Issuer: DigiCert Global Root G2
Valid until: 29/Mar/2031
Serial #: 0C:F5:BD:06:2B:56:02:F4:7A:B8:50:2C:23:CC:F0:66
SHA1 Fingerprint: 1B:51:1A:BE:AD:59:C6:CE:20:70:77:C0:BF:0E:00:43:B1:38:26:12
SHA256 Fingerprint: C8:02:5F:9F:C6:5F:DF:C9:5B:3C:A8:CC:78:67:B9:A5:87:B5:27:79:73:95:79:17:46:3F:C8:13:D0:B6:25:A9
DigiCert G5 TLS RSA4096 SHA384 2021 CA1: https://cacerts.digicert.com/DigiCertG5TLSRSA4096SHA3842021CA1-1.crt
Issuer: DigiCert TLS RSA4096 Root G5
Valid until: 13/Apr/2031
Serial #: 0E:64:58:E7:54:EC:9C:C7:BA:C8:32:31:D5:F9:4D:58
SHA1 Fingerprint: 81:5C:D8:FF:64:BE:AC:E0:7E:F8:F2:F9:D5:33:01:1F:A4:79:36:58
SHA256 Fingerprint: C6:27:0A:15:06:91:FB:E1:90:D8:31:F5:13:9B:DF:EE:CF:7B:29:8B:4F:A0:CA:17:30:6A:69:D7:E9:1E:7B:A2
Digicert証明書のダウンロードの詳細については、Digicert サポートを参照にしてください。
こちらの記事は、「Updating root certificates for Zoom services」を元に作成しました。