最終回 Exchange Server 2007間の暗号化通信総まとめ


竹島 友理
NRIラーニングネットワーク株式会社

2009/3/5

Exchange Server 2007をセキュリティという観点から追う連載、最終回はサーバ間の暗号化通信をまとめます(編集部)

 第4回「クライアント/サーバ間のプロトコルと暗号化通信を知る」では、さまざまなクライアントとExchange Server 2007との暗号化通信に関してまとめました。そして標準で自動的に発行される Exchange Server 2007の「自己署名入り証明書」の有効期限と更新方法についてもご紹介しました。自己署名入り証明書は、内部メールの暗号化通信で使用されています。しかし、これは信頼されていない証明書なので、Outlook AnywhereやExchange ActiveSync(Windows Mobile)などのインターネットクライアント環境での使用はサポートされていません。従って、必要に応じて、Windowsの証明書サービスで構成したWindows証明機関(以降、CA)や、信頼できるサードパーティのCAから証明書を取得する必要があります。

 そこで今回は、Exchange Server 2007の証明書をCAから取得する方法をご紹介します。そしてその後で、Exchange Server 2007サーバ側の暗号化通信に関しても、まとめていきます。

 CAから証明書を取得する方法

 それでは、CAから証明書を取得する一連の流れと、証明書を取得するための手順を見ていきましょう。CAに証明書を要求し、証明書が発行され、発行された証明書をダウンロードしてインポートする一連の処理のことを「証明書の登録」といいます。

図1 証明書の登録

 手順1:CAに送信する証明書要求ファイルの作成

 まず、証明書を取得する Exchange Server 2007サーバで[Exchange管理シェル]を起動して、証明書要求のためのファイルを作成します。以下のコマンドレットを実行します(は半角スペースです)。 このとき、公開鍵と秘密鍵のキーペアも作成されます。

New-ExchangeCertificate-SubjectNameサブジェクト名-DomainNameドメイン名-GenerateRequest-Path要求ファイルのパス

 ここで-SubjectNameで指定する「サブジェクト名」には、このコマンドレットで作成される特定の公開鍵と秘密鍵のキーペアの所有者を識別するための名前(ここでは、Exchange Server 2007サーバを一意に識別するサーバ名やドメイン名)を、CN(共通名)、C(国/地域名)、O(組織名)、DC(ドメイン名)などの相対識別名をカンマで区切って入力します。例えば、「-SubjectName “DC=Adatum,DC=Com,CN=mail.adatum.com”」は、ドメイン名とともにサーバ名を指定しています。「-SubjectName “C=JP,O=Adatum Corp,CN=mail.adatum.com”」は、国/地域名とともにサーバ名を指定しています。

 -DomainNameで指定する「ドメイン名」には、サブジェクトの別名を指定します。例えば、外部DNSサーバで公開しているAレコード(HOSTレコード)のFQDN(例:mail.adatum.com)、サーバのNetBIOS名(例:mail)、サーバのFQDN(例:ex1.adatum.com)などです。また、Exchange Server 2007のクライアントアクセスサーバ用の証明書を要求する際は、自動検出サービス(Webサービスの1つ)で使用するFQDN(例:autodiscover.adatum.com)や、負荷分散サービスで使用する仮想サーバのFQDN(例:owa.adatum.com)なども含める必要があります。

 -GenerateRequestと-Pathで、証明書要求ファイルを指定されたパスに作成します。

 ここでは、例として、以下のコマンドレットを実行します(は半角スペースです)。

New-ExchangeCertificate-SubjectName"C=JP,O=Adatum Corp,CN=mail.adatum.com"-DomainNamemail.adatum.com,ex1.adatum.com,mail, ex1-GenerateRequest-PathC:\Certreq.txt

図2 証明書要求ファイルの作成

 これにより、CAに送信する証明書要求ファイルが、C:\Certreq.txtファイルに保存されます。


 手順2:証明書の要求と証明書の発行

 次に、手順1で作成した証明書ファイルをCAに送って、証明書を発行してもらいます。ここではWindows証明書サービスで構成したWindows CAを使用します。

  1. 証明書要求ファイルを作成したExchange Server 2007サーバでInternet Explorerを起動し、Windows CAサイト(http://Windows CAサーバ名/certsrv/)にアクセスします。
    図3 Windows CAのWebサイトにアクセス

  2. [証明書を要求する]をクリックし、[証明書の要求の詳細設定]をクリックします。

  3. [Base 64エンコードCMCまたはPKCS #10ファイルを使用して証明書の要求を送信するか、またはBase 64エンコードPKCS #7ファイルを使用して更新の要求を送信する]をクリックします。
    図4 証明書の要求の詳細設定

  4. [証明書の要求または更新要求の送信]というページが表示されたら、C:\Certreq.txt ファイルをメモ帳で開き、「-----BEGIN NEW CERTIFICATE REQUEST-----」から「-----END NEW CERTIFICATE REQUEST-----」まで(これらの文字列も含めます)をコピーして、証明書Webサイトの[保存された要求]ボックスに貼り付けます。
    図5 証明書要求ファイルの送信
    C:\Certreq.txtファイルのすべての内容を「保存された要求」のテキストボックスにコピーする。

  5. [証明書テンプレート]ボックスで、[Webサーバー]を選択し、[送信]をクリックします。これにより、証明書の要求が送信され(図1の2-1)、証明書が発行されます(図1の2-2)。

  6. [証明書のダウンロード]をクリックし、[保存]をクリックします。
    図6 発行された証明書のダウンロード

  7. C:\を参照して[保存]をクリックした後、[閉じる]をクリックします。これにより、Cドライブのルートにcertnew.cerファイルが保存されます(図1の2-3)。

  8. Internet Explorerを閉じます。
 
1/3

Index
Exchange Server 2007間の暗号化通信総まとめ
Page1
CAから証明書を取得する方法
手順1:CAに送信する証明書要求ファイルの作成
手順2:証明書の要求と証明書の発行
  Page2
手順3:発行された証明書のインポートと有効化
Exchange Server 2007サーバ側の暗号化通信
  Page3
パートナ企業間をつなぐならTLSで構成を


新・Exchangeで作るセキュアなメッセージ環境
連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH