Exchange Server 2003 の仮想サーバーで証明書を使用する方法

文書翻訳 文書翻訳
文書番号: 823024 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Exchange Server 2003 で証明書をインストールし、使用する方法について、手順を追って説明します。Exchange Server 2003 では、さまざまな仮想サーバーを組み込んで、多数の標準的なインターネット サービスの受信接続および送信接続を実行します。提供するサービスは次のとおりです。
  • POP3 (Post Office Protocol version 3)
  • IMAP4 (Internet Message Access Protocol version 4)
  • SMTP (Simple Mail Transfer Protocol)
  • NNTP (Network News Transfer Protocol)
これらの仮想サーバーに証明書をインストールすると、暗号化された通信を使用することができます。

: Exchange Server 2003 には、HTTP (Hypertext Transfer Protocol) 仮想サーバーも含まれていますが、HTTP 仮想サーバーは、インターネット サービス マネージャを使用して構成します。HTTP 仮想サーバーを構成する手順については、この資料では説明しません。 インターネット サービス マネージャを使用して Hypertext Transfer Protocol 仮想サーバーを構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
299875 HOW TO: Implement SSL on a Windows 2000 IIS 5.0 Computer

必要条件

推奨されるハードウェア、ソフトウェア、ネットワーク インフラストラクチャ、および Service Pack は、次のとおりです。
  • Service Pack 3 (SP3) を適用済みの Microsoft Windows 2000 Server
  • Microsoft Active Directory ディレクトリ サービス
  • Exchange Server 2003
  • Microsoft Outlook Express 5 以降 (テスト目的で使用)
この資料は、次のトピックについて詳しい知識のあるユーザーを対象としています。
  • Exchange システム マネージャ
  • TCP/IP
  • Microsoft ネットワーク モニタの構成方法と使用方法、およびキャプチャ フィルタの設定方法

証明書について

証明書は、パブリック ネットワークを経由する双方向通信をセキュリティで保護するために使用されます。証明書はデジタル署名されたステートメントで、公開キーと、証明書の所有者または発行先の名前が含まれています。証明書には、発行元つまり証明機関 (CA) の署名も含まれます。CA は、証明書に署名することで、証明書に名前が記載されたユーザーが、証明書の公開キーに関連付けられている秘密キーを所有していることを証明します。

証明書は、公開キーと、それに対応する秘密キーを所有するエンティティとの関係を確立させるメカニズムです。証明書の多くは ITU-T (International Telecommunication Union Telecommunication Standardization Sector) X.509 version 3 標準に基づいています。

証明書を使用して、次のタスクを実行できます。
  • 2 人のユーザーまたは 2 台のコンピュータ間で通信のセキュリティを強化し、送信されるメッセージまたはファイルの内容が、権限を持たないユーザーによって参照されないようにします。
  • 電子的なデータ交換 (ファイル転送やメッセージなど) にデジタル署名し、転送中に変更が加えられていないことを証明します。
  • 各個人の ID またはコンピュータの ID を証明します。
  • ハード ディスクやテープなどの記憶域に含まれているデータを暗号化します。
  • デバイス ドライバなどのファイルが承認済みであり、テストからインストールまでの間に変更されていないことを証明します。
通常、証明書の拡張子は .cer で、プロパティはコンピュータ上の他のファイルと同じです。証明書は通常、コンピュータ上の証明書ストアに格納されています。Windows 2000 には、VeriSign、Thawte、SecureNet など、X.509 version 3 に準拠するさまざまな公開の CA が発行する証明書が含まれています。Windows 2000 には、X.509 version 3 に準拠する Certificate Server サービスも組み込まれています。Certificate Server サービスを使用して、独自の CA を作成し、組織内および外部のクライアントやコンピュータで使用する証明書を配布することができます。この機能により、証明書を展開する際の選択の幅が広がります。

仮想サーバーでの証明書の使用方法

POP3 仮想サーバーおよび IMAP4 仮想サーバー

POP3 仮想サーバーおよび IMAP4 仮想サーバーでは、POP3 クライアントまたは IMAP4 クライアント (Microsoft Outlook Express など) を使用して Exchange Server 2003 コンピュータから電子メール メッセージを取得するために必要なサービスが提供されます。POP3 および IMAP4 は、接続速度が極端に遅い場合や、ユーザーに Outlook クライアント プログラムの完全な機能が不要な場合などに、Exchange Server 2003 から電子メール メッセージを取得するのに使用されます。

ただし、POP3 および IMAP4 では、メッセージの送信や認証にクリア テキストが使用されます。POP3 仮想サーバーまたは IMAP4 仮想サーバーに証明書を追加すると、SSL (Secure Sockets Layer) 暗号化が使用できます。SSL 暗号化を使用すると、パブリック ネットワーク経由の転送の間、認証シーケンスおよびメッセージ本文がいずれも暗号化されます。

SMTP 仮想サーバー

SMTP 仮想サーバーでは、次のサービスが、単独、または SMTP コネクタとの組み合わせで提供されます。
  • 外部 SMTP サーバーとのメールの収集および配信
  • Exchange Server ルーティング グループ間のメール ルーティング
  • POP3/IMAP4 クライアントからのメール受信
外部ドメインとメールの送受信を行う SMTP 仮想サーバーを、Exchange SMTP コネクタおよび SSL 暗号化を使用して構成できない場合があります。これは、インターネット上の多くの SMTP サーバーで、SSL 暗号化がサポートされていないためです。しかし、SMTP を POP3 および IMAP4 電子メール メッセージの配信メカニズムとして使用する場合には、これらのトランザクションを暗号化する必要があります。このことは特に、POP3 または IMAP4 電子メール メッセージの収集目的で SSL を構成している場合に重要です。

マイクロソフトでは、2 つの SMTP 仮想サーバーを個別に作成して、Exchange Server ルーティング グループ用と POP3 および IMAP4 電子メール メッセージの配信用にそれぞれ使用することをお勧めします。両方の仮想サーバーを証明書と SSL 暗号化を使用して構成する場合は、デフォルトの SMTP 仮想サーバーを使用して SMTP コネクタ経由で、外部ドメインに接続できます。

HTTP 仮想サーバー

Microsoft Outlook Web Access (OWA) を使用して電子メール メッセージを取得するユーザーのサポートには、通常、HTTP (Hypertext Transfer Protocol) 仮想サーバーで証明書を使用します。この目的で使用する証明書は、サードパーティから入手することをお勧めします。ユーザーは、サードパーティの証明書を使用することにより、キオスクやインターネット カフェなどにある公共のコンピュータから、自分のメールボックスに接続できます。

NNTP 仮想サーバー

次の条件に該当する場合には、NNTP 仮想サーバーで証明書を使用します。
  • NNTP を使用して Exchange Server 2003 パブリック フォルダに接続するクライアントがあります。
  • NNTP を使用して、組織間でパブリック フォルダをレプリケートします。
通常、Usenet ニュースグループ サーバーへの接続では、認証や暗号化はサポートされていません。NNTP で証明書を使用する場合は、この目的で第 2 の NNTP 仮想サーバーを作成する必要があります。

証明書発行元の選択方法

証明書を入手して、仮想サーバーで使用する場合には、次の 3 つの方法から選択することができます。
  • 外部 CA から証明書を個別に購入します。
  • 外部 CA の下位 CA として管理します。
  • 独自のルート CA 構造を実装して管理します。
場合によっては、これらの方法を組み合わせる必要があります。たとえば、独自の CA 構造を作成し、さらに外部 CA から証明書を個別に購入することができます。

外部証明機関からの証明書の購入方法

VeriSign や Thawte などの外部 CA に申請して、Windows 2000 と共にインストールされているルート証明書で検証される証明書を取得できます。次の条件に該当する場合は、外部 CA から証明書を個別に購入します。
  • インターネット ユーザー全般に対してセキュリティが強化された接続を提供する必要があります (電子商取引環境など)。
  • キオスクやインターネット カフェなどにある公共のコンピュータから接続するユーザーをサポートする必要があります。
  • 独自の CA 環境をサポートできない、またはサポートする予定がありません。
通常、証明書を 1 つ取得するには最も安いもので 600 米ドル程度かかります。証明書を 1 つだけ取得する場合、この方法が最も安価です。たとえば、この方法で証明書を購入すると、社内のユーザーは、Windows および Internet Explorer 4.0 以降を実行しているどのコンピュータからでも、セキュリティの強化された接続を使用して自分のメールボックスにアクセスできます。

外部証明機関の下位証明機関として設定する方法

この方法では、自分の会社を、外部 CA によって証明される下位 CA として設定を完了します。つまり、証明書を個別に購入する代わりに、公開の証明書にリンクされていることで信頼を得る証明書を複数発行できます。ただし、独自の CA 構造を管理する必要があります。承認には 3 〜 6 か月かかり、費用は米ドルで 5 万ドル以上です。たとえば、マイクロソフトは、VeriSign によって証明されている下位 CA です。

次の条件に該当する場合には、下位 CA として管理することを検討します。
  • コード署名デバイス ドライバ用など、公開の証明書を多数提供する必要があります。
  • 下位 CA を実装し、管理するために必要な専門技術とサポートを準備できます。
  • 公共で使用できる証明書の作成、管理、失効を自由に行う必要があります。

独自のルート証明機関構造の実装方法と管理方法

次の条件に該当する場合には、独自のルート CA 構造を作成します。
  • 信頼できる、効果的なルート CA を作成でき、そのための装置を所有しています。
  • 社内の組織内のユーザーのみ、または数の限られた外部クライアント、ユーザー、コンピュータに対してのみ接続を提供します。
  • 証明書を特定のログオン アカウントに関連付けることによって個人を識別します。
  • 外部組織を参照することなく、最大限に自由かつ柔軟に、証明書の作成、割り当て、失効を行う必要があります。
CA 構造の実装および管理は、単純な処理ではありません。証明書の発行および管理を行うコンピュータは、常に使用可能な状態である必要があります。証明書サーバーのインストールおよび構成方法については、Microsoft Windows 2000 Server リソース キットおよび Windows 2000 のヘルプを参照してください。

必要に応じて、外部 CA と独自の CA を組み合わせることができます。たとえば、公開している電子商取引 Web サイト用には外部 CA を使用し、独自の CA は、インターネット経由で Exchange Server コンピュータに接続する社内のユーザーを識別する目的で使用することができます。

証明書の入手または CA の設定が完了したら、Exchange Server 仮想サーバーに証明書をインストールする必要があります。この手順は、HTTP 仮想サーバーを除き、すべてのサーバーで共通です。POP3、IMAP4、SMTP、NNTP の各仮想サーバーに証明書をインストールするには、Exchange システム マネージャを使用します。HTTP 仮想サーバーを構成するには、インターネット サービス マネージャを使用します (この手順については、この資料では説明しません)。

外部証明機関からの証明書の要求方法

この手順では、外部 CA から証明書をインストールする際に、証明書の要求を用意して外部 CA に送信する方法について説明します。証明書ファイルは、個別の手順で処理する必要があります。

: 次の手順は、POP3、IMAP4、SMTP、NNTP のみに該当します。この資料では、HTTP を SSL 用に構成する方法は説明しません。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] を順にポイントして、[システム マネージャ] をクリックします。
  2. [管理グループを表示する] オプションがオンになっている場合は、[管理グループ]、[First Administrative Group] (First Administrative Group は該当する管理グループの名前) を順に展開します。

    : 管理グループを表示するには、[Your_Organization] を右クリックし、[プロパティ] をクリックします。次に [管理グループを表示する] チェック ボックスをオンにして、[OK] を 2 回クリックし、Exchange システム マネージャを再起動します。
  3. [サーバー] を展開して、構成する Exchange Server コンテナを展開し、[プロトコル] コンテナを展開します。
  4. 構成するプロトコルをそれぞれ展開し、[既定の Protocol_Name 仮想サーバー] オブジェクトを右クリックして、[プロパティ] をクリックします。
  5. [アクセス] タブをクリックして、[証明書] をクリックします。
  6. サーバー証明書ウィザードで、[次へ]、[証明書の新規作成]、[次へ] を順にクリックします。
  7. [証明書の要求を作成して後で送信する]、[次へ] を順にクリックします。
  8. [名前] ボックスに証明書の適切な名前を入力するか、デフォルト設定の [既定の Protocol_Name 仮想サーバー] をそのまま使用します。
  9. [ビット長] 一覧で使用するビット長をクリックし、[次へ] をクリックします。

    : キーを長くするとパフォーマンスに影響が生じ、結果的に費用が高くなることがあります。
  10. [組織] ボックスと [組織単位] ボックスに、証明書の要求先の CA の組織および組織単位の情報を入力し、[次へ] をクリックします。

    ここで必要な情報は、通常は CA の Web サイトで確認できます。または、CA に登録したときに送信されます。
  11. [一般名] ボックスにサイトの一般名を入力し、[次へ] をクリックします。

    : インターネットからのアクセスを許可する場合、外部で解決可能な完全修飾ドメイン名 (FQDN) を指定し、その FQDN を仮想サーバーにリンクされている IP アドレスにマップする必要があります。
  12. [国/地域] 一覧で、国名または地域名をクリックします。
  13. [都道府県] ボックスと [市区町村] ボックスに、組織に該当する情報を入力して、[次へ] をクリックします。
  14. [ファイル名] ボックスで、次のいずれかを実行します。
    • 証明書の作成先の名前とパスを入力します。
    • このボックスに表示されているデフォルトのファイル名をそのまま使用します。
  15. [次へ] をクリックします。
  16. [要求ファイルの概要を請求] ページの情報を確認します。情報に誤りがある場合は、[戻る] をクリックして修正が必要なページに戻り、修正後に [次へ] をクリックして [要求ファイルの概要] ページに進んで、[次へ] をクリックします。
  17. 最後のページには、指定したファイル名で証明書が作成されたことを確認するメッセージが表示されます。デフォルト設定は drive name:\certreq.txt です。
  18. [完了] をクリックします。

外部証明機関からの証明書のインストール方法

上記で作成した証明書の要求ファイルを CA に送信します。CA の Web ベースのインターフェイスを使用して証明書の要求を送信できる場合もあります。送信後、拡張子が .cer のファイルが配信されます。このファイルを受信したら、サーバー証明書ウィザードを再起動してこの証明書をインストールします。これを行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] を順にポイントして、[システム マネージャ] をクリックします。
  2. [管理グループを表示する] オプションがオンになっている場合は、[管理グループ]、[First Administrative Group] (First Administrative Group は該当する管理グループの名前) を順に展開します。

    : 管理グループを表示するには、[Your_Organization] を右クリックし、[プロパティ] をクリックします。次に [管理グループを表示する] チェック ボックスをオンにして、[OK] を 2 回クリックし、Exchange システム マネージャを再起動します。
  3. [サーバー] を展開して、構成する Exchange Server コンテナを展開し、[プロトコル] コンテナを展開します。
  4. 構成するプロトコルをそれぞれ展開し、[既定の Protocol_Name 仮想サーバー] オブジェクトを右クリックして、[プロパティ] をクリックします。
  5. [アクセス] タブをクリックして、[証明書] をクリックします。
  6. サーバー証明書ウィザードが再起動し、保留中の証明書の要求があるというメッセージが表示されたら、[次へ] をクリックします。
  7. [保留中の証明書の要求] ページで [保留中の要求を処理し、証明書をインストールする] をクリックし、[次へ] をクリックします。
  8. [パスとファイル名] ボックスに、外部 CA から受信した証明書のパスを入力します。
  9. [証明書の概要] ページを確認して、[次へ] をクリックします。

    証明書内の情報には、証明書の発行者、証明書の有効期限、証明書の用途が含まれます。[証明書の概要] ページに表示される証明書のフレンドリ名も含まれます。
  10. 仮想サーバーに証明書が正常にインストールされたというメッセージが表示されたら、[完了] をクリックします。

Microsoft Certificate Server からの証明書のインストール方法

Windows 2000 に、ルート CA または下位 CA として Certificate Server サービスをインストールしている場合は、証明書サーバー要求をオンラインの CA に直接送信できます。

: オンラインの CA に要求を送信できるのは、スタンドアロンの CA ではなくエンタープライズ CA として、CA を Active Directory にインストールしている場合のみです。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] を順にポイントして、[システム マネージャ] をクリックします。
  2. [管理グループを表示する] オプションがオンになっている場合は、[管理グループ]、[First Administrative Group] (First Administrative Group は該当する管理グループの名前) を順に展開します。

    : 管理グループを表示するには、[Your_Organization] を右クリックし、[プロパティ] をクリックします。次に [管理グループを表示する] チェック ボックスをオンにして、[OK] を 2 回クリックし、Exchange システム マネージャを再起動します。
  3. [サーバー] を展開して、構成する Exchange Server コンテナを展開し、[プロトコル] コンテナを展開します。
  4. 構成するプロトコルをそれぞれ展開し、[既定の Protocol_Name 仮想サーバー] オブジェクトを右クリックして、[プロパティ] をクリックします。
  5. [アクセス] タブをクリックして、[証明書] をクリックします。
  6. サーバー証明書ウィザードで、[次へ]、[証明書の新規作成]、[次へ] を順にクリックします。
  7. [証明書の要求の送信方法] ページで、[オンライン証明機関に直ちに証明書の要求を送信する]、[次へ] を順にクリックします。
  8. [名前] ボックスに、この証明書の識別に適切な名前を入力するか、デフォルト名である [既定の Protocol_Name 仮想サーバー] をそのまま使用します。
  9. [ビット長] 一覧で使用するビット長をクリックし、[次へ] をクリックします。

    : キーが長いと、パフォーマンスに悪影響が生じます。
  10. [組織] ボックスと [組織単位] ボックスに、サーバーの組織および組織単位の情報を入力し、[次へ] をクリックします。
  11. [共通名] ボックスにサイトの共通名を入力し、[次へ] をクリックします。

    共通名は、この証明書を使用する該当のプロトコル仮想サーバーの IP アドレスにマップする DNS 完全修飾ドメイン名 (FQDN) に一致させます。ユーザーがインターネットからこの仮想サーバーに接続する場合は、この共通名は外部で解決可能な FQDN である必要があります。
  12. [国/地域] 一覧で、国名または地域名をクリックします。
  13. [都道府県] ボックスと [市区町村] ボックスに、組織に該当する情報を入力して、[次へ] をクリックします。
  14. [証明機関の選択] ページで、組織のオンライン CA を確認して、[次へ] をクリックします。
  15. [証明書の要求の送信] ページで、ウィザードに入力した詳細を確認します。情報に誤りがある場合は、[戻る] をクリックして修正が必要なページに戻り、修正後に [次へ] をクリックして [要求ファイルの概要] ページに進んで、[次へ] をクリックします。
  16. 最後のページでは、選択した仮想サーバーに証明書がインストールされたことを確認するメッセージが表示されます。
  17. [完了] をクリックします。

[セキュリティで保護されたチャネルを要求] オプションをオンにする方法

証明書のインストール後、POP3、IMAP4、SMTP の各プロトコルに関して、[セキュリティで保護されたチャネルを要求] オプションをオンにできます。

: NNTP プロトコルには、[セキュリティで保護されたチャネルを要求] オプションをオンにする設定はありません。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] を順にポイントして、[システム マネージャ] をクリックします。
  2. [管理グループを表示する] オプションがオンになっている場合は、[管理グループ]、[First Administrative Group] (First Administrative Group は該当する管理グループの名前) を順に展開します。

    : 管理グループを表示するには、[Your_Organization] を右クリックし、[プロパティ] をクリックします。次に [管理グループを表示する] チェック ボックスをオンにして、[OK] を 2 回クリックし、Exchange システム マネージャを再起動します。
  3. [サーバー] を展開して、構成する Exchange Server コンテナを展開し、[プロトコル] コンテナを展開します。
  4. 構成するプロトコルをそれぞれ展開し、[既定の Protocol_Name 仮想サーバー] オブジェクトを右クリックして、[プロパティ] をクリックします。
  5. [アクセス] タブをクリックして、[通信] をクリックします。
  6. [セキュリティで保護されたチャネルを要求] チェック ボックスをオンにします。

    [128 ビット暗号化を要求する] チェック ボックスをオンにすることもできます。ただし、Exchange Server コンピュータと、接続するクライアント コンピュータの両方で、128 ビット暗号化がサポートされている必要があります。
  7. [OK] をクリックした後、もう一度 [OK] をクリックして変更を承認し、仮想サーバーのプロパティを閉じます。

証明書が正常にインストールされたことを確認する方法

仮想サーバーで SSL 暗号化が使用されていることと、証明書が正常にインストールされていることを確認するには、セキュリティが強化されたチャネルを使用して接続するように Outlook Express を構成してから、ネットワーク モニタを使用してプロトコル パケットが暗号化されていることを確認します。これを行うには、次の手順を実行します。
  1. Microsoft Outlook Express を起動し、[ツール] メニューの [アカウント] をクリックします。
  2. [メール] タブ (POP3、IMAP4、SMTP の場合) または [ニュース] タブ (NNTP の場合) をクリックします。
  3. 該当するプロトコルの Exchange Server アカウントをダブルクリックして、[詳細設定] タブをクリックします。
  4. [このサーバーはセキュリティで保護された接続 (SSL) が必要] チェック ボックスをオンにします。

    このボックスをオンにすると、POP3 ポート番号は 110 から 995 へ、IMAP4 ポートは 143 から 993 へ、NNTP ポートは 119 から 563 へ、それぞれ変更されますが、SMTP ポートは 25 のまま変更されません。
  5. [OK] をクリックし、[閉じる] をクリックします。
  6. [ネットワーク モニタ] キャプチャを実行して、上記で設定したアカウントを使用して Exchange Server コンピュータに接続します。パケットを調べるときは、セキュリティを構成したプロトコルのパケットが暗号化されていることを確認します。

関連情報

Certificate Server サービスの詳細については、Microsoft Windows 2000 Server リソース キットおよび Microsoft Exchange 2000 Server リソース キットを参照してください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 823024 (最終更新日 2003-07-17) を基に作成したものです。

プロパティ

文書番号: 823024 - 最終更新日: 2007年11月26日 - リビジョン: 1.1
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
キーワード:?
kbhowto KB823024
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com