保留中のExchange Server証明書要求を完了する
保留中の証明書要求 (証明書署名要求または CSR とも呼ばれます) を完了することは、Exchange Serverでトランスポート層セキュリティ (TLS) 暗号化を構成する次の手順です。 証明機関 (CA) から証明書を受信した後、Exchange サーバーに証明書をインストールして、保留中の証明書の要求を完了します。
Exchange 管理センター (EAC) で、また Exchange 管理シェルで、保留中の証明書の要求を完了できます。 手順は、新しい証明書の要求または証明書の書き換え要求を完了する場合と同じです。 手順は、内部 CA (たとえば、Active Directory 証明書サービス)、または商用 CA によって発行された証明書の場合と同じです。
CA の証明書ファイルの次の種類のうち、1 つかそれ以上のファイルを受信する場合があります。
PKCS #12 証明書ファイル: これらは、.cer、.crt、.der、.p12、または .pfx ファイル名拡張子を持ち、ファイルに秘密キーまたは信頼チェーンが含まれているときにパスワードを必要とするバイナリ証明書ファイルです。 CA は、インストールする必要があるバイナリ証明書ファイル (パスワードで保護) を 1 つだけ発行するか、インストールする必要がある複数のルートまたは中間バイナリ証明書ファイルのみを発行する場合があります。
PKCS #7 証明書ファイル: これらは、.p7b または .p7c ファイル名拡張子を持つテキスト証明書ファイルです。 これらのファイルには、または と
-----END PKCS7-----のテキスト-----BEGIN PKCS7----------BEGIN CERTIFICATE----------END CERTIFICATE-----が含まれています。 CA がバイナリ証明書ファイルに証明書ファイルのチェーンを含めた場合は、証明書ファイルのチェーンをインストールする必要があります。
注:
証明書管理タスクは、Exchange Server 2016 CU23 および Exchange Server 2019 CU12 の EAC から削除されます。 Exchange Management Shell プロシージャを使用して、これらのバージョンから証明書をエクスポートまたはインポートします。
事前に必要な知識
予想所要時間 : 5 分。
このトピックの手順では、Exchange サーバー上で新しい証明書の要求を作成し、CA に証明書の要求を送信し、CA から証明書を受信しておく必要があります。 詳細については、「証明機関のExchange Server証明書要求をCreateする」を参照してください。
EAC では、UNC パス (
\\<Server>\<Share>または\\<LocalServerName>\c$\) から証明書ファイルを取得する必要があります。 Exchange 管理シェル では、ローカルのファイル パスを使用することができます。サブスクライブしているエッジ トランスポート サーバーに対して CA から発行された証明書を更新または交換する場合は、古い証明書を削除してから、エッジ サブスクリプションを削除するか再作成する必要があります。 詳細については、「エッジ サブスクリプション プロセス」を参照してください。
オンプレミスの Exchange 組織で Exchange 管理シェルを開く方法については、「 Open the Exchange Management Shell」をご覧ください。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「クライアント とモバイル デバイスのアクセス許可 」トピックの「クライアント アクセス サービスのセキュリティ」エントリを参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange Server、Exchange Online、Exchange Online Protection。 必要な作業 シェルを使用して送信者フィルターを有効または無効にする
EAC を使用して保留中の証明書の要求を完了する
EAC を開き、[サーバー証明書] に移動します>。
[サーバーの選択] リストで、保留中の証明書の要求を保持している Exchange サーバーを選択します。
保留中の証明書の要求のプロパティは、次のとおりです。
証明書の一覧で、 [状態] フィールドの値は、 [保留中の要求] です。
一覧から証明書の要求を選択すると、詳細ウィンドウに [完了] リンクが表示されます。
完了しようとしている保留中の証明書の要求を選択し、詳細ウィンドウで [完了] をクリックします。
[保留中の要求の完了] ページが開いたら、 [ファイルからインポートする] フィールドで、証明書ファイルの UNC パスとファイル名を入力します。 たとえば、「
\\FileServer01\Data\ContosoCert.cer」のように入力します。 完了したら、[OK] をクリックします。
証明書の要求は、Exchange の証明書の一覧に [状態] の値が [有効] となって表示されるようになります。 次の手順については、[次の手順] セクションを参照してください。
Exchange 管理シェル を使用して保留中の証明書の要求を完了する
保留中の証明書要求を完了するには、次の構文を使用します。
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]
この構文は、次の種類の証明書ファイルで使用します。
- バイナリ証明書ファイル (.cer、.crt、.der、.p12、または .pfx ファイル名拡張子を持つ PKCS #12 ファイル)。
- 証明書ファイルのチェーン (.p7b または .p7c ファイル名拡張子を持つ PKCS #7 テキスト ファイル)。
次の使用例は、ローカル Exchange サーバーで保護されているバイナリ証明書ファイル \\FileServer01\Data\Contoso Cert.cer をインポートします。 パスワードの入力を求められます。
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)
次の使用例は、ローカル Exchange サーバー上のテキスト証明書ファイル \\FileServer01\Data\Chain of Certificates.p7b をインポートします。
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))
注:
- FileData パラメーターは、証明書ファイルがコマンドを実行している Exchange サーバー上にあり、証明書をインポートするのと同じサーバーである場合に、ローカル パスを受け入れます。 それ以外の場合は、UNC パスを使用します。
- インポートするサーバーから証明書をエクスポートできるようにするには、 PrivateKeyExportable パラメーターと 値
$trueを使用する必要があります。 - 詳細については、「Import-ExchangeCertificate」を参照してください。
正常な動作を確認する方法
Exchange サーバーで、正常に証明書の要求が完了し証明書がインストールされたことを確認するには、次のいずれかの手順を使用します。
EAC の [サーバー証明書]> で、証明書をインストールしたサーバーが選択されていることを確認します。 証明書の一覧で、証明書の [状態] プロパティの値が [有効] であることを確認します。
証明書をインストールしたサーバーの Exchange 管理シェル で、次のコマンドを実行して、証明書が一覧に表示されることを確認します。
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
次の手順
サーバーに証明書をインストールして保留中の証明書の要求を完了した後、Exchange サーバーで暗号化のためにその証明書を使用するためには、その前に 1 つ以上の Exchange サービスに証明書を割り当てる必要があります。 詳細については、「 証明書を Exchange サービスに割り当てる」を参照してください。