最終回 Exchange Server 2007間の暗号化通信総まとめ

竹島 友理
NRIラーニングネットワーク株式会社
2009/3/5

Exchange Server 2007をセキュリティという観点から追う連載、最終回はサーバ間の暗号化通信をまとめます（編集部）

---

　第4回「クライアント／サーバ間のプロトコルと暗号化通信を知る」では、さまざまなクライアントとExchange Server 2007との暗号化通信に関してまとめました。そして標準で自動的に発行される Exchange Server 2007の「自己署名入り証明書」の有効期限と更新方法についてもご紹介しました。自己署名入り証明書は、内部メールの暗号化通信で使用されています。しかし、これは信頼されていない証明書なので、Outlook AnywhereやExchange ActiveSync（Windows Mobile）などのインターネットクライアント環境での使用はサポートされていません。従って、必要に応じて、Windowsの証明書サービスで構成したWindows証明機関（以降、CA）や、信頼できるサードパーティのCAから証明書を取得する必要があります。

　そこで今回は、Exchange Server 2007の証明書をCAから取得する方法をご紹介します。そしてその後で、Exchange Server 2007サーバ側の暗号化通信に関しても、まとめていきます。

　CAから証明書を取得する方法

　それでは、CAから証明書を取得する一連の流れと、証明書を取得するための手順を見ていきましょう。CAに証明書を要求し、証明書が発行され、発行された証明書をダウンロードしてインポートする一連の処理のことを「証明書の登録」といいます。

図1　証明書の登録

　手順1：CAに送信する証明書要求ファイルの作成

　まず、証明書を取得する Exchange Server 2007サーバで［Exchange管理シェル］を起動して、証明書要求のためのファイルを作成します。以下のコマンドレットを実行します（△は半角スペースです）。 このとき、公開鍵と秘密鍵のキーペアも作成されます。

New-ExchangeCertificate△-SubjectName△サブジェクト名△-DomainName△ドメイン名△-GenerateRequest△-Path△要求ファイルのパス

　ここで-SubjectNameで指定する「サブジェクト名」には、このコマンドレットで作成される特定の公開鍵と秘密鍵のキーペアの所有者を識別するための名前（ここでは、Exchange Server 2007サーバを一意に識別するサーバ名やドメイン名）を、CN（共通名）、C（国／地域名）、O（組織名）、DC（ドメイン名）などの相対識別名をカンマで区切って入力します。例えば、「-SubjectName “DC=Adatum,DC=Com,CN=mail.adatum.com”」は、ドメイン名とともにサーバ名を指定しています。「-SubjectName “C=JP,O=Adatum Corp,CN=mail.adatum.com”」は、国／地域名とともにサーバ名を指定しています。

　-DomainNameで指定する「ドメイン名」には、サブジェクトの別名を指定します。例えば、外部DNSサーバで公開しているAレコード（HOSTレコード）のFQDN（例：mail.adatum.com）、サーバのNetBIOS名（例：mail）、サーバのFQDN（例：ex1.adatum.com）などです。また、Exchange Server 2007のクライアントアクセスサーバ用の証明書を要求する際は、自動検出サービス（Webサービスの1つ）で使用するFQDN（例：autodiscover.adatum.com）や、負荷分散サービスで使用する仮想サーバのFQDN（例：owa.adatum.com）なども含める必要があります。

　-GenerateRequestと-Pathで、証明書要求ファイルを指定されたパスに作成します。

　ここでは、例として、以下のコマンドレットを実行します（△は半角スペースです）。

New-ExchangeCertificate△-SubjectName△"C=JP,O=Adatum Corp,CN=mail.adatum.com"△-DomainName△mail.adatum.com,ex1.adatum.com,mail, ex1△-GenerateRequest△-Path△C:\Certreq.txt

図2　証明書要求ファイルの作成

　これにより、CAに送信する証明書要求ファイルが、C:\Certreq.txtファイルに保存されます。

　手順2：証明書の要求と証明書の発行

　次に、手順1で作成した証明書ファイルをCAに送って、証明書を発行してもらいます。ここではWindows証明書サービスで構成したWindows CAを使用します。

1. 証明書要求ファイルを作成したExchange Server 2007サーバでInternet Explorerを起動し、Windows CAサイト（http://Windows CAサーバ名/certsrv/）にアクセスします。

   図3　Windows CAのWebサイトにアクセス

   
   
2. ［証明書を要求する］をクリックし、［証明書の要求の詳細設定］をクリックします。
   
   
3. ［Base 64エンコードCMCまたはPKCS #10ファイルを使用して証明書の要求を送信するか、またはBase 64エンコードPKCS #7ファイルを使用して更新の要求を送信する］をクリックします。

   図4　証明書の要求の詳細設定

   
   
4. ［証明書の要求または更新要求の送信］というページが表示されたら、C:\Certreq.txt ファイルをメモ帳で開き、「-----BEGIN NEW CERTIFICATE REQUEST-----」から「-----END NEW CERTIFICATE REQUEST-----」まで（これらの文字列も含めます）をコピーして、証明書Webサイトの［保存された要求］ボックスに貼り付けます。

   図5 証明書要求ファイルの送信 C:\Certreq.txtファイルのすべての内容を「保存された要求」のテキストボックスにコピーする。

   
   
5. ［証明書テンプレート］ボックスで、［Webサーバー］を選択し、［送信］をクリックします。これにより、証明書の要求が送信され（図1の2-1）、証明書が発行されます（図1の2-2）。
   
   
6. ［証明書のダウンロード］をクリックし、［保存］をクリックします。

   図6　発行された証明書のダウンロード

   
   
7. C:\を参照して［保存］をクリックした後、［閉じる］をクリックします。これにより、Cドライブのルートにcertnew.cerファイルが保存されます（図1の2-3）。
   
   
8. Internet Explorerを閉じます。

1/3

Index
Exchange Server 2007間の暗号化通信総まとめ
	Page1 CAから証明書を取得する方法 手順1：CAに送信する証明書要求ファイルの作成 手順2：証明書の要求と証明書の発行
	Page2 手順3：発行された証明書のインポートと有効化 Exchange Server 2007サーバ側の暗号化通信
	Page3 パートナ企業間をつなぐならTLSで構成を

新・Exchangeで作るセキュアなメッセージ環境 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）