Exchange Server 2007 で自己署名証明書期限切れのイベント ID 12015 および ID 12014 が記録される


現象


Microsoft Exchange Server 2007 で自己署名証明書を使用している場合、自己署名証明書の期限が切れた後に次のような問題が生じることがあります。
  • Microsoft Exchange Server 2007 で Hub Transport サーバー (以下 Hub サーバー)、または Edge サーバーを構成している場合、STARTTLS を使用できなくなる、または STARTTLS のみを認証として要求している通信では認証が行えなくなり送受信できなることがあります。
  • Exchange Server 2007 の Hub サーバー間、および Hub サーバー、Edge サーバー間で X-ANONYMOUSTLS (既定) を使用して認証している場合、以下のイベントが記録されます。なお、Hub サーバー間、Hub、Edge サーバー間では証明書の有効期限が切れていても X-ANONYMOUSTLS を使用したメッセージの送受信が可能です。
  • OWA、POP3、IMAP4、ActiveSync、Outlook Anywhere からのアクセスなど Microsoft Internet Explorer、Microsoft Outlook Express で SSL を使用して Exchange Server と通信する場合、以下の [セキュリティの警告] ダイアログが表示されたり、Exchange Server へ接続できなくなったりします。
    このサイトと取り交わす情報は、ほかの人から読み取られたり変更されることはありません。しかし、このサイトのセキュリティ証明書には問題があります。



    セキュリティ証明書は有効期限が切れたか、また有効になっていません。
  • Microsoft Office Outlook 2007 から TCP/IP を使用して Exchange Server 2007 へログオンし、可用性サービス、オフライン アドレス帳、自動検出サービスにアクセスする場合、以下の [セキュリティの警告] ダイアログが表示されます。
    このサイトと取り交わす情報は、ほかの人から読み取られたり変更されることはありません。しかし、このサイトのセキュリティ証明書には問題があります。



    セキュリティ証明書は有効期限が切れたか、また有効になっていません。

回避策


既定で作成される自己署名証明書の有効期限は 12 ヶ月です。この問題を回避するには、既定でインストールされる自己署名証明書を信頼されたサード パーティ証明書、または Windows PKI により署名された証明書のいずれかに置き換えます。これらの証明書を入手できない場合に限り、定期的に自己署名証明書を更新してください。

Hub サーバー、Edge サーバー

Hub サーバー、Edge サーバーで自己署名証明書を更新するには、次の手順で操作します。
  1. Exchange 管理シェルを開きます。
  2. 以下のコマンドを実行します。

    New-ExchangeCertificate -domainname 当該サーバーの FQDN
Hub サーバー、Edge サーバーにて New-ExchangeCertificate を実行して証明書を作成すると、作成された証明書は既定で SMTP に対して有効になります。Enable-ExchangeCertificate -Service SMTP を実行する必要はありません。該当の証明書が有効となっているサービスは以下のコマンドレットで確認できます。


Get-ExchangeCertificate |fl services

サイト内に Edge サーバーが存在する場合、自己署名証明書を更新した後に次の手順で再購読するよう設定します。
  1. Edge Subscription を実行します。
  2. Edge サーバー上の Exchange 管理シェルで以下を実行します。


    New-EdgeSubscription -filename "作成する xml ファイル名までのパス"

    たとえば、次のように入力します。

    New-EdgeSubscription -filename "C:\edge.xml"

  3. 手順 2 で作成した xml ファイルを Hub サーバー上にコピーします。
  4. Hub サーバー上の Exchange 管理シェルで以下を実行します。

    New-EdgeSubscription -filename "コピーした xml ファイル名までのパス" -site "AD サイト名"

    たとえば、次のように入力します。

    New-EdgeSubscription -filename "c:\edge.xml" -site "Default-First-Site-Name"
  5. Edge サーバーにて、Microsoft Exchange ADAM サービスを再起動します。なお、ADAM サービスの再起動に伴い、以下のサービスも同時に再起動されます。
    • Microsoft Exchange Transport
    • Microsoft Exchange Anti-spam Update
    • Microsoft Exchange Credential Service

クライアント アクセス サーバー

SSL を使用して通信するクライアント アクセス サーバーで既定の自己署名証明書を更新するには、次の手順で操作します。
  1. Exchange 管理シェルを開きます。
  2. 以下のコマンドを実行します。

    New-ExchangeCertificate -domainname 当該サーバーの FQDN
  3. 以下のコマンドを実行し、表示される結果から Services 欄に該当のサービスが表示されていることを確認します。


    Get-ExchangeCertificate
  4. 該当のサービスを有効にするために以下のコマンドを実行します。(既定では POP3、IMAP4 に対しては作成時に有効になりますが、IIS に対しては有効となりません。)


    Enable-ExchangeCertificate -Thumbprint 拇印 -Services IIS

関連情報


Exchange 2007 Server で自己署名証明書を使用する際の手順および注意点については、次のマイクロソフト Web サイトを参照してください。