Exchange 2007 での自己署名入りの証明書について

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2009-12-23

デジタル証明書は、ユーザーやコンピュータの ID を確認するオンライン パスワードのような働きをする電子ファイルです。また、Microsoft Exchange を実行しているサーバーと、クライアント コンピュータまたはデバイス間の通信に使用される SSL 暗号化チャネルの作成にも使用されます。デジタル証明書は、証明機関 (CA) によって発行されるステートメントです。証明機関は証明書の保有者の身元を保証し、暗号化通信を可能にします。

デジタル証明書は次の 2 つの働きをします。

  • 証明書の保有者 (ユーザー、Web サイト、さらにルーターなどのネットワーク リソースまで) の身元が正しいことを証明します。
  • オンラインでやり取りされるデータの盗用や改ざんを防止します。

デジタル証明書は、信頼されているサード パーティ CA または Microsoft Windows 公開キー基盤 (PKI) によって証明書サービスを使用して発行してもらうことも、自己署名入りの証明書を作成することもできます。Microsoft Exchange Server 2007 にクライアント アクセス サーバーの役割またはユニファイド メッセージング サーバーの役割をインストールする際、あらかじめデジタル証明書が存在していない場合には、自己署名入りの証明書がインストールされます。ここでは、Exchange 2007 の自己署名入りの証明書の概要、および使用する状況について説明します。

Exchange 2007 クライアント アクセス サーバーのセキュリティの詳細については、「クライアント アクセス サーバーの SSL について」を参照してください。

自己署名入りの証明書の概要

クライアント アクセス サーバーの役割と共に Exchange 2007 をインストールすると、自己署名入りの証明書が作成されます。自己署名入りの証明書は、組織内の Exchange 2007 サーバー間の通信をセキュリティで保護するために設計され、代替の証明書を取得しインストールするまでのクライアント通信を暗号化する一時的な手段も提供します。自己署名入りの証明書には 2 つのサブジェクトの別名エントリがあります。1 つはクライアント アクセス サーバーの NetBIOS 名、もう 1 つはクライアント アクセス サーバーの完全修飾ドメイン名 (FQDN) です。自己署名入りの証明書は、クライアント アクセス サーバーの役割と他の Exchange Server 2007 サーバーの役割との間の通信を暗号化する際に使用できますが、クライアント アプリケーションおよびデバイスで使用することはお勧めしません。自己署名入りの証明書には制限があるため、自己署名入りの証明書を信頼されたサード パーティ証明書または Windows PKI により署名された証明書のいずれかに置き換えることをお勧めします。

note注 :
自己署名入りの証明書は、メールボックス サーバーの役割を除くすべての Exchange 2007 サーバーの役割にインストールされます。

自己署名入りの証明書の制限

次の一覧では、自己署名入りの証明書の制限について説明します。

  • 有効期限日 : Exchange 2007 Service Pack 2 (SP2) より前のバージョンの Exchange 2007 で作成した自己署名入りの証明書は、作成日から 1 年間有効です。Exchange 2007 SP2 以降のバージョンで作成した自己署名入りの証明書は、作成日から 5 年間有効です。証明書の有効期限を過ぎた場合は、New-ExchangeCertificate コマンドレットを使用して新しい自己署名入りの証明書を手動で生成する必要があります。
  • Outlook Anywhere: 自己署名入りの証明書は Outlook Anywhere で使用できません。Outlook Anywhere を使用する場合には、Windows PKI または信頼できる商用サード パーティから証明書を取得することをお勧めします。
  • Exchange ActiveSync: 自己署名入りの証明書は、Microsoft Exchange ActiveSync デバイスと Exchange サーバー間の通信を暗号化するためには使用できません。Exchange ActiveSync で使用する場合には、Windows PKI または信頼できる商用サード パーティから証明書を取得することをお勧めします。
  • Outlook Web Access: Microsoft Outlook Web Access ユーザーには、Outlook Web Access のセキュリティ保護に使用されている証明書が信頼できないことを通知するメッセージが表示されます。このエラーは、この証明書がクライアントの信頼する機関により署名されていないために発生します。ユーザーは、このメッセージを無視して、Outlook Web Access に自己署名入りの証明書を使用できます。ただし、Windows PKI または信頼できる商用サード パーティからの証明書を取得することをお勧めしています。

証明書の有効期限

Exchange 2007 SP2 より前のバージョンの Exchange 2007 で作成した自己署名入りの証明書は、クライアント アクセス サーバーの役割にインストールされてから 1 年間、または作成されてから 1 年間有効です。Exchange 2007 SP2 以降のバージョンで作成した自己署名入りの証明書は、作成日から 5 年間有効です。既定の自己署名入り証明書に依存する内部コンポーネントは、自己署名入り証明書の期限が切れた場合でも引き続き動作します。ただし、自己署名入り証明書の期限が切れると、次のイベントがイベント ビューアのログに記録されます。

イベントの種類 : エラー

イベント ソース : MSExchangeTransport

イベント カテゴリ : TransportService

イベント ID : 12014

日付 :日付

時刻 : 時刻

ユーザー : 該当なし

コンピュータ : Server_Name

説明 :

Microsoft Exchange では、ローカル コンピュータの個人用ストアにドメイン名 Domain_Name を含む証明書を見つけることができませんでした。したがって、FQDN の FQDN パラメータを持つコネクタの既定のサーバーに対する STARTTLS SMTP 動詞はサポートできません。コネクタの FQDN が指定されない場合、コンピュータの FQDN が使用されます。コネクタ構成とインストールされた証明書を検証し、その FQDN に対するドメイン名を持つ証明書があることを確認します。この証明書が存在する場合、Enable-ExchangeCertificate -Services SMTP を実行し、Microsoft Exchange Transport サービスが証明書キーにアクセスできることを確認します。

詳細については、ヘルプとサポート センター (http://go.microsoft.com/fwlink/?LinkID=34258) を参照してください。

イベントの種類 : 警告

イベント ソース : MSExchangeTransport

イベント カテゴリ : TransportService

イベント ID : 12015

日付 :日付

時刻 : 時刻

ユーザー : 該当なし

コンピュータ : Server_Name

説明 :

内部トランスポート証明書の期限が切れました。

拇印 :Thumb_Print_Value

詳細については、ヘルプとサポート センター (http://go.microsoft.com/fwlink/?LinkID=34258) を参照してください。

ベスト プラクティスとして、期限が切れる前に自己署名入りの証明書を更新することをお勧めします。Exchange 管理シェルを使用して、証明書を複製し、自己署名入りの証明書を更新できます。最初に Get-ExchangeCertificate コマンドレットを使用して、ドメインで使用されている現在の既定の証明書の拇印を取得することにより、証明書を複製できます。

note注 :
次のコマンドレットは、ローカル Exchange 2007 クライアント アクセス サーバーから実行する必要があり、リモートに実行することはできません。
Get-ExchangeCertificate -DomainName CAS01.contoso.com

[Services] の下で、証明書の一覧から "W" を含む証明書を選択します。たとえば、IP.WS を選択します。"W" は、証明書が IIS に割り当てられていることを示します。

証明書を複製するには、次のコマンドレットを実行します。

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

複製された新しい証明書には、このコマンドレット実行日の 1 年後の日付が新しい有効期限としてスタンプされます。

自己署名入りの証明書を使用できる場合

通信の暗号化に自己署名入りの証明書を使用できるプロトコルとその状況はいくつかあります。ドメインに参加している Outlook クライアントは、自己署名入りの証明書を使用し、電子メール メッセージを暗号化して、クライアントと Exchange サーバー間の通信チャネルを暗号化できます。前に説明したように、Outlook Web Access ユーザーは自己署名入りの証明書を使用して通信チャネルを暗号化することもできます。また、自己署名入りの証明書を使用して、別の Active Directory ディレクトリ サービス サイト内のクライアント アクセス サーバー間の通信を暗号化することも可能です。このシナリオは、CAS-CAS プロキシと呼ばれ、適切に機能させるにはレジストリを修正する必要があります。

ドメインに参加している Outlook 2007 クライアントでの自己署名入りの証明書の使用

自己署名入りの証明書は、ドメインに参加している Microsoft Office Outlook 2007 クライアントを追加構成せずに機能します。自動検出サービスへの接続に使用するすべての URL は、クライアント アクセス サーバーの内部 FQDN を参照するため、これらのクライアントはセキュリティ警告を受けずに接続できます。自己署名入りの証明書には、サーバーの NetBIOS 名に対応する共通名があります。自己署名入りの証明書には、証明書の "サブジェクトの別名" フィールドに格納されている追加 DNS 名として、サーバーの FQDN が含まれています。これにより、ドメインに参加しているクライアントは、証明書に関する警告を受けずに自動検出サービスに正しく接続できます。これは、証明書の有効期限になる前に、接続しているサーバーの FQDN が証明書のサブジェクトの別名に格納されるためです。クライアントは信頼できるルートまで自己署名入りの証明書を検証することはできませんが、ドメインに参加しているクライアントが自己署名入りの証明書を使用して自動検出サービスに接続する場合、この検証が失敗してもかまいません。ただし、この自己署名入りの証明書を長期間使用することはお勧めしません。自己署名入りの証明書の主要目的は、適切な証明書を迅速に取得する必要性を軽減し、Outlook 2007 クライアントが Exchange 2007 機能を直ちに使用できるようにすることであるためです。

プロキシでの自己署名入りの証明書の使用

自己署名入りの証明書を正しく使用して、プロキシ シナリオでクライアントとサーバー間の通信を暗号化するために、あらかじめ行っておく必要のある複数の手順があります。プロキシの詳細については、「プロキシとリダイレクトについて」を参照してください。

プロキシでの自己署名入りの証明書の使用をサポートするために、レジストリを変更する必要があります。自己署名入りの証明書は、Exchange ActiveSync、Microsoft Office Outlook 2007 など多くのクライアント アプリケーションで無効と見なされるので、Exchange 2007 クライアント アクセス サーバーに接続すると、クライアントにはメッセージが表示されます。Exchange ActiveSync と Outlook Web Access は、どちらもクライアント アクセス サーバー間でのプロキシをサポートします。自己署名入りの証明書の使用時にプロキシを正しく設定するには、インターネットに直接接続されているクライアント アクセス サーバー上で次のレジストリ キーを構成する必要があります。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
  • HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1

これらのレジストリ キーにより、インターネットに直接接続しているクライアント アクセス サーバーは、インターネットに直接接続していないクライアント アクセス サーバーにインストールされた自己署名入りの証明書を使用することによって、インターネットに直接接続していないクライアント アクセス サーバーに接続できます。インターネットに直接接続しているクライアント アクセス サーバーがクライアント通信に自己署名入りの証明書を使用する場合、前に説明したすべての制限が適用されます。

レジストリに対して誤った編集を行うと、重大な問題が発生する可能性があり、オペレーティング システムの再インストールが必要になる場合があります。 誤ったレジストリ編集に起因する問題は、解決できない場合もあります。 レジストリを編集する前に、重要なデータをバックアップしてください。 

自己署名入りの証明書を使用できない場合

自己署名入りの証明書は、ドメインに参加している Microsoft Office Outlook 2007 クライアントと Outlook Web Access での使用をサポートされていますが、組織内の Exchange 2007 サーバー間の通信を暗号化する目的以外に自己署名入りの証明書を長期間使用することはお勧めしません。Exchange ActiveSync、Outlook Web Access、Outlook Anywhere など、すべてではなくとも多くのクライアント アクセス サーバーの機能をサポートするために、Windows PKI または信頼できるサード パーティの証明機関のいずれかから証明書を取得し、各コンピュータまたは各デバイス上の信頼されたルート ストアにこの証明書を必ずインポートします。

important重要 :
自己署名入りの証明書は、Outlook Anywhere または Exchange ActiveSync での使用がサポートされていません。

詳細情報

SSL、証明書、および Exchange 2007 の詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。