Exchange Server サービスに証明書を割り当てる
Exchange サーバーに証明書をインストールした後は、Exchange サーバーが証明書を暗号化に使用する前に、証明書を 1 つ以上の Exchange サービスに割り当てる必要があります。 サービスへの証明書の割り当ては、Exchange 管理センター (EAC) または Exchange 管理シェル で行えます。 サービスに証明書をいったん割り当てると、その割り当てを削除することはできません。 サービスで特定の証明書が不要になる場合は、そのサービスに別の証明書を割り当ててから、不要な証明書を削除しなければなりません。
次の表で、使用できる Exchange サービスについて説明します。
| サービス | 使用目的 |
|---|---|
| IIS | HTTP を使用する内部および外部のクライアント接続の TLS 暗号化。 これには次が含まれます。 自動検出 Exchange ActiveSync Exchange 管理センター Exchange Web サービス オフライン アドレス帳 (OAB) の配布 Outlook Anywhere (RPC over HTTP) Outlook MAPI over HTTP Web 上の Outlook |
| IMAP | IMAP4 クライアント接続の TLS 暗号化。 IMAP4 サービスに対してワイルドカード証明書を割り当てないでください。 代わりに、 Set-ImapSettings コマンドレットを使用して、クライアントが IMAP4 サービスへの接続に使用する完全修飾ドメイン名 (FQDN) を構成します。 |
| POP | POP3 クライアント接続の TLS 暗号化。 POP3 サービスに対してワイルドカード証明書を割り当てないでください。 代わりに、 Set-PopSettings コマンドレットを使用して、クライアントが POP3 サービスへの接続に使用する完全修飾ドメイン名 (FQDN) を構成します。 |
| SMTP | 外部の SMTP クライアントとサーバーの接続の TLS 暗号化。 Exchange と他のメッセージング サーバー間の相互 TLS 認証。 SMTP に証明書を割り当てると、内部 Exchange サーバー間の SMTP 通信の暗号化に使用される既定の Exchange 自己署名証明書を置き換えるよう求められます。 通常、既定の SMTP 証明書を置き換える必要はありません。 |
| ユニファイド メッセージング (UM) | Exchange 2016 メールボックス サーバー上のバックエンド UM サービスへのクライアント接続の TLS 暗号化。 証明書を UM サービスに割り当てることができるのは、サービスの UM スタートアップ モード プロパティが [TLS] または [デュアル] に設定されている場合のみです。 UM スタートアップ モードが既定値の [TCP] に設定されている場合には、証明書を UM サービスに割り当てることはできません。 (注: UM は Exchange 2019 では使用できません)。 詳細については、「Configure the Startup Mode on a Mailbox Server」を参照してください。 |
| ユニファイド メッセージング呼び出しルーター (UMCallRouter) | Exchange 2016 メールボックス サーバー上のクライアント アクセス サービスの UM 通話ルーター サービスへのクライアント接続の TLS 暗号化。 証明書を UM 呼び出しルーター サービスに割り当てることができるのは、サービスの UM スタートアップ モード プロパティが [TLS] または [デュアル] に設定されている場合のみです。 UM スタートアップ モードが既定値の [TCP] に設定されている場合には、証明書を UM 呼び出しルーター サービスに割り当てることはできません。 (注: UM は Exchange 2019 では使用できません)。 詳細については、「Configure the Startup Mode on a Client Access Server」を参照してください。 |
事前に必要な知識
予想所要時間 : 5 分。
このトピックの手順を実行した後、インターネット インフォメーション サービス (IIS) を再起動することが必要になる場合があります。 一部のシナリオでは、Exchange は以前の証明書を引き続き使用して、Outlook on the web (旧称 Outlook Web App) 認証に使用される Cookie の暗号化と暗号化解除を行う場合があります。 レイヤー 4 負荷分散を使用する環境で IIS を再起動することをお勧めします。
サブスクライブしているエッジ トランスポート サーバーに対して CA から発行された証明書を更新または交換する場合は、古い証明書を削除してから、エッジ サブスクリプションを削除するか再作成する必要があります。 詳細については、「エッジ サブスクリプション プロセス」を参照してください。
オンプレミスの Exchange 組織で Exchange 管理シェルを開く方法については、「 Open the Exchange Management Shell」をご覧ください。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「クライアント とモバイル デバイスのアクセス許可 」トピックの「クライアント アクセス サービスのセキュリティ」エントリを参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange Server、Exchange Online、Exchange Online Protection。 必要な作業 シェルを使用して送信者フィルターを有効または無効にする
EMC を使用して Exchange サービスに証明書を割り当てる
EAC を開き、[サーバー証明書]に移動します>。
[サーバーの選択] リストで、証明書を保持している Exchange サーバーを選択します。
構成する証明書を選択し、[編集]
をクリックします。 証明書の [状態] 値は [有効] でなければなりません。[サービス] タブの [この証明書を割り当てるサービスを指定します] セクションで、サービスを選択します。 サービスを追加することができますが、削除はできないという点に注意してください。 完了したら、[保存] をクリックします。
Exchange 管理シェル を使用して Exchange サービスに証明書を割り当てる
Exchange サービスに証明書を割り当てるには、次の構文を使用します。
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
次の使用例は、拇印の値 434AC224C8459924B26521298CE8834C514856AB を持つ証明書を POP、IMAP、IIS、および SMTP サービスに割り当てます。
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
Get-ExchangeCertificate コマンドレットを使用して証明書の拇印値を検索できます。
正常な動作を確認する方法
1 つ以上の Exchange サービスに証明書が正常に割り当てられたことを確認するには、以下のいずれかの手順を使用します。
EAC の [サーバー証明書]> で、証明書をインストールしたサーバーが選択されていることを確認します。 証明書を選択し、詳細ペインの [サービスに割り当て済み] プロパティに、選択したサービスが含まれていることを確認します。
証明書をインストールしたサーバーの Exchange 管理シェル で、次のコマンドを実行して、証明書の Exchange サービスを確認します。
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services