Exchange Serverでの UM の証明書の展開

  • [アーティクル]

適用対象: Exchange Server 2013、Exchange Server 2016

相互トランスポート層セキュリティ (相互 TLS) を使用して、ユニファイド メッセージング (UM) を使用して、Microsoft Exchange 2013 サーバーと VoIP ゲートウェイ、IP PBX、セッション ボーダー コントローラー (SBC)、および Microsoft Lync Server 間で送信されるデータを暗号化できます。 証明書は、証明書の所有者の ID を、情報を電子的に暗号化し署名するために使用される一対の電子鍵 (パブリックとプライベート) にバインドします。

Exchange 2010 組織で SIP セキュリティで保護されたダイヤル プランまたはセキュリティで保護されたダイヤル プランを使用している場合は、Microsoft Exchange UM 通話ルーター サービスを実行している Exchange 2013 クライアント アクセス サーバーと、Microsoft Exchange UM サービスを実行しているメールボックス サーバーに使用された証明書をインポートする必要があります。 次の証明書のいずれかを UM サービスと UM 呼び出しルーター サービスに使用できます。

  • 自己署名 (Exchange) 証明書

  • 内部公開キー基盤 (PKI) 証明書

  • 商用サード パーティ証明書

既定では、ユニファイド メッセージングをインストールすると、自己署名証明書が作成されて使用されます。 この自己署名証明書は、VoIP ゲートウェイ、IP PBX、および SBC で使用できますが、UM と Lync Server を統合する場合は使用できません。 Lync Server で使用する証明書を展開する場合は、Exchange 証明書ウィザードまたは New-ExchangeCertificate コマンドレットを使用して、内部証明機関または PKI 証明機関 (CA) によって発行された証明書を取得するか、ユニファイド メッセージングと Lync Server によって相互に信頼される商用またはサードパーティの証明書を購入する必要があります。

VoIP ゲートウェイ、IP PBX、および SBC の証明書の展開

UM において VoIP ゲートウェイ、IP PBX、SBC 間で送信されるデータを暗号化できるようにするには、以下の手順を実行する必要があります。

  • 自己署名入りの UM 証明書を使用するか、新しい Exchange 証明書の要求を作成して内部 PKI 証明書を取得するか、UM と VoIP ゲートウェイ、IP PBX、SBC 間の相互 TLS のために使用できるサード パーティの商用証明書を作成します。

  • 組織内のすべてのクライアント アクセス サーバーとメールボックス サーバー上で使用される証明書をインポートします。

  • UM サービスで証明書が使用できるようにします。

  • VoIP ゲートウェイ、IP PBX、および SBC に証明書をインポートします。

  • UM ダイヤル プランを、[セキュリティで保護された SIP] または [セキュリティで保護] として構成します。

  • 組織内のクライアント アクセス サーバーとメールボックス サーバー上で UM スタートアップ モードを構成します。

  • 完全修飾ドメイン名 (FQDN) を持つ、必要な UM IP ゲートウェイを作成します。

  • UM IP ゲートウェイのリスニング ポートが TLS ポート 5061 を使用するように構成します。

  • すべてのクライアント アクセス サーバー上でユニファイド メッセージング呼び出しルーター サービスを再起動し、すべてのメールボックス サーバー上で Microsoft Exchange ユニファイド メッセージング サービスを再起動します。

Lync Server の証明書の展開

UM と Lync Server 間で送信されるデータを暗号化するには、以下の手順を実行する必要があります。

  • 新しい Exchange 証明書要求を作成し、内部 PKI 証明書を取得するか、サード パーティの商用証明書を購入します。 証明書は、UM と Lync Server によって相互に信頼されている必要があります。

  • 組織内のすべてのクライアント アクセス サーバーとメールボックス サーバー上で使用される証明書をインポートします。

  • UM サービスで証明書が使用できるようにします。

  • Lync Server を実行しているコンピューターに証明書をインポートします。

  • SIP URI UM ダイヤル プランを、[セキュリティで保護された SIP] または [セキュリティで保護] として構成します。

  • 組織内のクライアント アクセス サーバーとメールボックス サーバー上で UM スタートアップ モードを構成します。

  • Lync Server コンピューターから OcsUmUtil.exe を実行します。

  • すべてのクライアント アクセス サーバーでユニファイド メッセージング通話ルーター サービスを再起動し、組織内のすべてのメールボックス サーバーで Microsoft Exchange ユニファイド メッセージング サービスを再起動します。 詳細については、「 UM サービスの手順」を参照してください。

  • Enterprise Edition フロント エンド プールの一部であるすべての Lync Server で Lync Server Front-End サービスを再起動するか、Standard Edition フロント エンド サーバーを再起動します。 Stop-CsWindowsService コマンドレットを使用して Lync Server サービスを停止し、Start-CsWindowsService コマンドレットを使用して Lync Server サービスを開始できます。

    Start-CsWindowsService コマンドレットと Stop-CsWindowsService コマンドレットは、一般的な Windows PowerShell コマンドレット Start-Service および Stop-Service に似ています。 必要な場合は、 Start-Service コマンドレットまたは Stop-Service コマンドレットを使用して、Lync Server サービスを開始および停止できます。 ただし、 Start-CsWindowsServiceStop-CsWindowsService コマンドレットには ComputerName パラメーターが含まれており、リモート コンピューターで Lync Server サービスを簡単に停止および開始できます。 これを行うには、 ComputerName パラメーターの後に、リモート コンピューターの完全修飾ドメイン名 (FQDN) を含めます。 Start-Service コマンドレットと Stop-Service コマンドレットには、同等のパラメーターがありません。

    注:

    UM と Lync Server を完全に統合するには、組織内のいずれかのクライアント アクセス サーバーまたはメールボックス サーバー上で ExchUcUtil.ps1 スクリプトも実行する必要があります。