[HOWTO] Exchange 2000 Server の仮想サーバーで証明書を使用する方法

文書翻訳 文書翻訳
文書番号: 319574 - 対象製品
この記事は、以前は次の ID で公開されていました: JP319574
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Exchange 2000 で使用する目的で証明書をインストールおよび使用する方法について、順を追って説明しています。

Exchange 2000 には、標準的なインターネット サービスの受信接続と送信接続を処理する、多数の仮想サーバーが組み込まれています。これらのサービスを以下に示します。
  • POP3 (Post Office Protocol Version 3)
  • IMAP4 (Internet Message Access Protocol Version 4)
  • SMTP (Simple Mail Transfer Protocol)
  • NNTP (Network News Transfer Protocol)
これらの仮想サーバー上に証明書をインストールして、暗号化された通信の使用を許可できます。

: Exchange 2000 には HTTP (Hypertext Transfer Protocol) 仮想サーバーも含まれています。ただし、この仮想サーバーはインターネット サービス マネージャを使用して構成します。この手順については、この資料では説明していません。

必要条件

次の一覧は、推奨する必要なハードウェア、ソフトウェア、ネットワーク インフラストラクチャ、および Service Pack を示しています。
  • Microsoft Windows 2000 Server Service Pack 2 (SP2)
  • Active Directory
  • Exchagne 2000 Server Service Pack 1 (SP1)
  • Microsoft Outlook Express 5 以降 (テストで使用します)
この資料は、以下のトピックについて詳しい知識のある読者を対象としています。
  • Exchange システム マネージャ
  • TCP/IP
  • キャプチャ フィルタの設定を含む Microsoft ネットワーク モニタの構成および使用


証明書について

証明書は、パブリック ネットワークを経由する 2 つのパーティ間にセキュリティを提供する基準になります。証明書とは、所有者または証明書の対象となるユーザーの公開キーと名前が埋め込まれている、デジタル署名された声明です。また、証明書は発行者、つまり CA (証明機関) によって署名されています。証明書に署名した CA は、証明書に名前が記載されているユーザーが、証明書の公開キーと関連付けられている秘密キーを保持していることを確認します。

証明書は、公開キーおよび対応する秘密キーを所有するエンティティ間の関係を確立するメカニズムを提供します。ほとんどの証明書は、国際電気通信連合 (ITU) - 電気通信標準化部門 (ITU-T) X.509 Version 3 標準に基づいています。

証明書を使用して以下の作業を実行できます。
  • 2 人のユーザー間または 2 台のコンピュータ間の通信をセキュリティで保護して、送信されたメッセージやファイルのコンテンツを権限のないユーザーが参照することを防ぎます。
  • ファイル転送やメッセージなどの電子交換にデジタル署名して、転送中に変更されていないことを確認します。
  • 個人の ID またはコンピュータの ID を確認します。
  • ハード ディスクやテープなどの記憶装置に格納されたデータを暗号化します。
  • デバイス ドライバなどのファイルが承認されており、テスト プロセスとインストール プロセスの間で変更されていないことを証明します。
証明書は、通常、.cer 拡張子を使用し、コンピュータ上のその他のファイルと同じプロパティを持っています。一般的に、証明書はコンピュータの証明書ストアに格納されます。Windows 2000 では、VeriSign、Thawte、SecureNet など、多数の公開されている X.509 Version 3 CA からの証明書が格納されています。また、Windows 2000 には X.509 Version 3 に準拠した組み込みの証明書サーバー サービスも用意されています。このサービスを利用すると、組織内外のクライアントやコンピュータで使用するための、独自の CA を作成および配布できます。このため、証明書を柔軟に配置できます。

仮想サーバーで証明書を使用する方法

ここでは、仮想サーバーで証明書を使用する理由について理解するときに役立つ情報を提供します。

Post Office Protocol Version 3 仮想サーバーと Internet Message Access Protocol Version 4 仮想サーバー

POP3 仮想サーバーと IMAP4 仮想サーバーは、Microsoft Outlook Express などの POP3 クライアントまたは IMAP4 クライアントが、Exchange 2000 コンピュータから電子メール メッセージを取得するのに必要なサービスを提供します。接続速度が非常に遅く、かつユーザーが Outlook クライアント プログラムの完全な機能を必要としない場合は、POP3 または IMAP4 を使用して、Exchange 2000 から電子メールを取得できます。

しかし、POP3 および IMAP4 プロトコルは、メッセージの送信および認証にクリア テキストを使用します。POP3 仮想サーバーまたは IMAP4 仮想サーバーに証明書を追加すると、SSL (Secure Sockets Layer) の暗号化が可能になり、パブリック ネットワークで転送している間、認証シーケンスとメッセージ本文の両方が確実に暗号化されます。

Simple Mail Transfer Protocol 仮想サーバー

SMTP 仮想サーバーは、単独または SMTP コネクタと連動して、以下のサービスを提供します。
  • 外部の SMTP サーバーとの間でメール収集およびメール配信を行います。
  • Exchnage Server ルーティング グループ間でメールをルーティングします。
  • POP3 クライアントまたは IMAP4 クライアントからメールを受信します。
これらのサービスは、相互排他的になる場合があります。これは、外部ドメインとメッセージの送受信を行う SMTP 仮想サーバーを、SSL 暗号化を使用する Exchange SMTP コネクタとして構成できないことが原因です。インターネット上の SMTP サーバーは、多くの場合 SSL をサポートしていません。しかし、SMTP を POP3 または IMAP4 電子メール メッセージの配信メカニズムとして使用する場合は、これらのトランザクションを暗号化する必要があります。特に、POP3 または IMAP4 の電子メール メッセージの収集プロセス用に SSL を構成している場合は、これらのトランザクションの暗号化が必要です。

マイクロソフトでは、Exchange Server ルーティング グループで使用する SMTP 仮想サーバーと、POP3 および IMAP4 電子メール メッセージの配信で使用する SMTP 仮想サーバーを個別に作成し、両方の仮想サーバーを証明書と SSL を使用して構成することお勧めします。このように構成すると、デフォルトの SMTP 仮想サーバーを使用して、SMTP コネクタによって外部ドメインに接続できます。

Hypertext Transfer Protocol 仮想サーバー

一般的には、Microsoft Outlook Web Access (OWA) を使用して電子メール メッセージを取得するユーザーにサポートを提供する場合に、HTTP (Hypertext Transfer Protocol) 仮想サーバーで証明書を使用します。このため、サードパーティの証明書を取得することをお勧めします。サードパーティの証明書を使用すると、ユーザーは、キオスクやインターネット カフェなどのパブリック コンピュータから自分のメールボックスに接続できます。

Network News Transfer Protocol 仮想サーバー

以下の条件に合致する場合は、NNTP 仮想サーバーで証明書を使用します。
  • NNTP を使用して Exchange 2000 パブリック フォルダに接続しているクライアントが存在する。
  • NNTP を使用して組織間のパブリック フォルダを複製する。
USENET ニュースグループ サーバーへの接続は、通常、認証や暗号化をサポートしません。このため、NNTP で証明書を使用する場合は、認証や暗号化をサポートするために 2 台目の NNTP 仮想サーバーを作成する必要があります。

証明書の取得元を選択する方法

仮想サーバーで使用する証明書を入手するときには、以下の 3 つの方法があります。
  • 外部の CA から個別の証明書を購入します。
  • 外部の CA の下位 CA になります。
  • 独自のルート CA 構造を実装して保持します。
これらの方法を組み合わせることが必要となる場合もあります。たとえば、独自の CA 構造を作成し、外部の CA から個別の証明書を購入できます。

外部の証明機関から証明書を購入する方法

Windows 2000 にインストールされているルート証明書のいずれかで確認されている証明書を、VeriSign や Thawte などの外部の CA に申し込むことができます。以下の条件に合致する場合は、外部 CAから個別の証明書を購入します。
  • 電子商取引環境などで、一般的なインターネット ユーザーに対してセキュリティで保護された接続を提供する。
  • キオスクやインターネット カフェなどのパブリック コンピュータから接続する必要のあるユーザーをサポートする。
  • 独自の CA 環境をサポートできない、またはサポートしない。
一般的に、1 つの証明書の費用は約 600 ドル (約 75,000 円) からになります。証明書を 1 つだけ取得する場合は、外部の証明機関から証明書を購入するのが最も安価な方法です。たとえば、この方法で 1 つの証明書を購入すると、従業員は、Windows および Microsoft Internet Explorer 4.0 以降を実行しているコンピュータから安全にメールボックスに接続できます。

外部の証明機関の下位証明機関になる方法

この方法を使用するには、外部の CA によって証明された下位 CA となる必要があります。つまり、証明書を個別に購入する代わりに、公開された証明書にリンクされているために信頼される複数の証明書を発行できます。ただし、独自の CA 構造を保持している必要があります。認証プロセスには 3 か月から 6 か月を要し、少なくとも 50,000 ドル (約 620 万円) の費用がかかります。たとえば、マイクロソフトは VeriSign によって証明されている下位 CA です。

以下の条件に合致する場合は、下位 CA になることを検討します。
  • 多数の公開された証明書を提供する。たとえば、デバイス ドライバのコード署名の証明書を提供する。
  • 下位 CA を実装および管理するための専門知識とサポートを提供できる。
  • 公に使用できる証明書を自由に作成、管理、および無効化できるようにする。

独自のルート証明機関の構造を実装および保持する方法

以下の条件に合致する場合は、独自のルート CA 構造を作成します。
  • 信頼性があり、効果的なルート CA を作成できる。また、このような CA を作成するための設備がある。
  • 組織内のユーザーのみ、または限られた数の外部のクライアント、顧客、またはコンピュータに接続を提供する。
  • 証明書を特定のログオン アカウントに関連付けることによって個人を識別するために、証明書を使用する。
  • 外部の組織を参照することを必要とせずに、証明書を作成、割り当て、および無効化するための、最大限の特権および柔軟性を必要とする。
CA 構造を実装および保持する場合は、(単純な操作ではありませんが) 証明書を発行および管理するコンピュータを常に利用できるようにする必要があります。証明書サーバーをインストールおよび構成する方法の詳細については、Microsoft Windows 2000 Server Resource Kit および Windows 2000 ヘルプを参照してください。

これらの方法は、組み合わせて使用することもできます。たとえば、電子商取引のパブリック Web サイトでは外部の CA を使用し、従業員がインターネットを通じて Exchange Server コンピュータに接続したときの従業員 ID の確認では独自の CA を使用できます。

証明書を入手するか、または独自の CA を設定したら、Exchange Server 仮想サーバーに証明書をインストールする必要があります。この手順は、通常、HTTP 仮想サーバーを除くすべての種類のサーバーにおいて同様です。POP3、IMAP4、SMTP、および NNTP 仮想サーバーに証明書をインストールするには、Exchange システム マネージャを使用します。HTTP 仮想サーバーを構成するには、インターネット サービス マネージャを使用します (この手順については、この資料では説明していません)。

外部の証明機関に対して証明書を要求する方法

この手順では、証明書の要求を準備して外部の CA に送信する必要がある場合に、外部の CA から証明書をインストールする方法について説明しています。証明書ファイルは、別の手順で処理する必要があります。

: 以下の手順は、POP3、IMAP4、SMTP、および NNTP プロトコルのみに適用されます。この資料では、SSL 用に HTTP を構成する方法については説明していません。
  1. [スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[Microsoft Exchange] をポイントし、[システム マネージャ] をクリックします。
  2. Exchange システム マネージャの左側のペインで [サーバー] をダブルクリックします。
  3. 構成する Exchange Server コンピュータをクリックし、[プロトコル] コンテナをダブルクリックします。
  4. 構成する各プロトコルで、適切なオブジェクトをダブルクリックします。
  5. [既定の (プロトコル名) 仮想サーバー] オブジェクトを右クリックし、[プロパティ] をクリックします。
  6. [アクセス] タブをクリックし、[証明書] をクリックします。
  7. IIS 証明書ウィザードが起動したら、[証明書の新規作成] をクリックし、[次へ] をクリックします。
  8. [証明書の要求を作成して後で送信する] を選択し、[次へ] をクリックします。
  9. 証明書に適切な名前を付けるか、またはデフォルトの設定 [既定の (プロトコル名) 仮想サーバー] を使用します。次に、ビット長を選択し、[次へ] をクリックします。 : キーの長さが長くなると、パフォーマンスに影響を与えます。この影響によって、コストが高くなる可能性もあります。

  10. 証明書を要求する CA の組織および組織単位の情報を入力し、[次へ] をクリックします。 この情報は、通常、CA の Web サイトから入手できます。また、CA に登録したときに情報が送信される場合もあります。

  11. サイトの一般名を入力し、[次へ] をクリックします。 : インターネットからのアクセスを許可する場合は、この名前に、仮想サーバーにリンクされている IP (インターネット プロトコル) アドレスにマップされた、外部で解決できる FQDN (完全修飾ドメイン名) を使用する必要があります。

  12. [地理情報] のページで、組織に応じた情報を [国/地域]、[都道府県]、および [市区町村] に入力し、[次へ] をクリックします。
  13. 証明書を作成する場所の名前とパスを入力するか、またはデフォルトのファイル名を使用します。[次へ] をクリックします。
  14. [要求ファイルの概要を請求] ページに表示された情報を確認し、[次へ] をクリックします。
  15. 最後のページでは、指定したファイル名を持つ証明書が作成されていることを確認します。デフォルトの設定では ドライブ名:\certreq.txt になります。
  16. [完了] をクリックします。

外部の証明機関から証明書をインストールする方法

上記の手順で作成した証明書要求ファイルを CA に送信します。CA で、証明書要求の送信を受け付ける Web ベースのインターフェイスを提供している場合もあります。要求が受理されると、ファイル拡張子 .cer を持つファイルを受信します。このファイルを受信したら、証明書ウィザードを再開して、証明書をインストールします。
  1. 上記の手順で使用した仮想サーバーを右クリックし、[プロパティ] をクリックします。次に、[アクセス] タブをクリックし、[証明書] をクリックします。
  2. 証明書ウィザードが再開し、保留中の証明書要求があることを示す通知が表示されたら、[次へ] をクリックします。
  3. [保留中の証明書の要求] ページで [保留中の要求を処理し、証明書をインストールする] をクリックし、[次へ] をクリックします。
  4. [保留中の要求を処理] ページで、外部の CA から受け取った証明書へのパスとファイル名を入力します。
  5. [証明書の概要] ページの内容を確認し、[次へ] をクリックします。

    証明書に含まれる情報には、証明書の発行元、証明書の有効期限、証明書の使用目的、および証明書のフレンドリ名があります。これらの情報は、[証明書の概要] ページに表示されます。
  6. 仮想サーバーに証明書が正常にインストールされたことを示す通知が表示されたら、[完了] をクリックします。

Microsoft 証明書サーバーから証明書をインストールする方法

Windows 2000 にルート CA または下位 CA として Microsoft 証明書サーバーをインストールした場合は、証明書サーバーの要求をオンラインで直接 CA に送信できます。

: Active Directory で、スタンドアロン CA ではなくエンタープライズ CA として CA をインストールした場合にのみ、オンラインで要求を送信できます。
  1. [スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[Microsoft Exchange] をポイントし、[システム マネージャ] をクリックします。
  2. Exchange システム マネージャの左側のペインで [サーバー] をダブルクリックします。
  3. 構成する Exchange Server コンピュータを選択し、[プロトコル] コンテナをダブルクリックします。
  4. 構成する各プロトコルで、適切なオブジェクトをダブルクリックします。
  5. [既定の (プロトコル名) 仮想サーバー] オブジェクトを右クリックし、[プロパティ] をクリックします。
  6. [アクセス] タブをクリックし、[証明書] をクリックします。
  7. IIS 証明書ウィザードが起動したら、[証明書の新規作成] をクリックし、[次へ] をクリックします。
  8. [要求の送信] ページで [オンライン証明機関に直ちに要求を送信する] をクリックし、[次へ] をクリックします。
  9. この証明書を識別するための適切な名前を付けるか、またはデフォルトの名前 [既定の (プロトコル名) 仮想サーバー] を使用します。次に、適切なビット長をクリックし、[次へ] をクリックします。

    : キーの長さが長くなるとパフォーマンスに悪影響を与えます。
  10. サーバーの組織および組織単位の情報を入力し、[次へ] をクリックします。
  11. サイトの一般名を入力し、[次へ] をクリックします。 この名前は、この証明書を使用するプロトコルの仮想サーバーの IP アドレスにマップする、FQDN (完全修飾ドメイン名) と一致します。ユーザーがインターネットからこの仮想サーバーに接続する場合、この名前は外部で解決できる FQDN である必要があります。

  12. [地理情報] のページで、証明機関に応じた情報を [国/地域]、[都道府県]、および [市区町村] に入力し、[次へ] をクリックします。
  13. [証明書機関の選択] ページで組織のオンライン CA を確認し、[次へ] をクリックします。
  14. [証明書の要求の提出] ページで、ウィザードに入力した情報を確認し、[次へ] をクリックします。 最後のページでは、選択した仮想サーバーに証明書がインストールされたことを確認します。

  15. [完了] をクリックします。

セキュリティで保護された通信を強制する方法

証明書をインストールしたら、POP3、IMAP4、および SMTP プロトコル上で、セキュリティで保護された通信を強制できます。

: NNTP プロトコルの場合は、セキュリティで保護された通信を強制できません。
  1. [スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[Microsoft Exchange] をポイントし、[システム マネージャ] をクリックします。
  2. Exchange システム マネージャの左側のペインで、[サーバー] をダブルクリックします。
  3. 構成する Exchange Server コンピュータをクリックし、[プロトコル] コンテナをダブルクリックします。
  4. セキュリティを強制する各プロトコルで、適切なオブジェクトをダブルクリックします。
  5. [既定の (プロトコル名) 仮想サーバー] オブジェクトを右クリックし、[プロパティ] をクリックします。
  6. [アクセス] タブをクリックし、[通信] をクリックします。
  7. [セキュリティ保護されたチャネルを要求] チェック ボックスをオンにします。 また、[128 ビット暗号化を要求] チェック ボックスもオンにできます。ただし、このオプションを使用するには、Exchange Server コンピュータと Exchange Server コンピュータに接続するクライアントの両方が 128 ビット暗号化をサポートしている必要があります。

  8. [OK] をクリックし、もう一度 [OK] をクリックして変更を適用し、仮想サーバーのプロパティを閉じます。

証明書が正しくインストールされたことを確認する方法

仮想サーバーが SSL 暗号化を使用し、証明書が正しくインストールされていることを確認するには、セキュリティで保護されたチャネルを使用して接続するように Outlook Express を構成してから、ネットワーク モニタを使用してプロトコル パケットが暗号化されていることを確認します。
  1. Microsoft Outlook Express で [ツール] メニューの [アカウント] をクリックします。
  2. [メール] タブ (POP3、IMAP4、または SMTP の場合) または [ニュース] タブ (NNTP の場合) をクリックします。
  3. 適切なプロトコルの Exchange Server アカウントをダブルクリックし、[詳細設定] タブをクリックします。
  4. [このサーバーではセキュリティで保護された接続 (SSL) が必要] チェック ボックスをオンにします。 このチェック ボックスをオンにすると、POP3 ポート番号が 110 から 995 に、IMAP4 ポート番号が 143 から 993 に、NNTP ポート番号が 119 から 563 に変更されます。SMTP ポート番号は 25 のままです。

  5. [OK] をクリックして [(アカウント名) のプロパティ] ボックスを閉じます。次に、[閉じる] をクリックして Outlook Express に戻ります。
  6. ネットワーク モニタ キャプチャを実行し、上記の手順で設定したアカウントを使用して、Exchange Server コンピュータに接続します。パケットを調べると、セキュリティを構成したプロトコルのパケットは暗号化されています。

トラブルシューティング

独自のルート CA を実行している場合、または下位 CA を保持している場合に、証明書サーバー環境が応答しないと、現在発行されているすべての証明書および証明書失効リストが失われることがあります。証明書および証明書失効リストを失うと、クライアントは、これらの証明書を使用して構成されているプロトコル仮想サーバーに安全に接続できません。このため、独自の CA を実装するかどうかを判断することが重要です。

関連情報

証明書サーバーの詳細については、『Microsoft Windows 2000 Server Resource Kit』および『Microsoft Exchange 2000 Server Resource Kit』を参照してください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。


関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 319574 (最終更新日 2002-04-12) を基に作成したものです。

プロパティ

文書番号: 319574 - 最終更新日: 2004年1月14日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Exchange 2000 Server Standard Edition
キーワード:?
kbhowto kbhowtomaster KB319574
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com