クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する方法
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-10-24
ここでは、Exchange 管理シェルを使用して、複数のホスト名を使用するように SSL (Secure Sockets Layer) 証明書を構成する方法について説明します。
Microsoft Exchange Server 2007 を実行するコンピュータを展開し、クライアント アクセス サーバーの役割をインストールする場合は、Outlook Web Access や Outlook 2007 などのすべてのクライアントが、証明書が信頼されていないことを示すエラー メッセージを受信せずに、暗号化されたセッションを使用してサービスに接続できるようにする必要があります。
.gif "note") 注 : |
|---|
| Internet Security and Acceleration (ISA) Server が Exchange 2007 への SSL 接続を処理できるようにするには、複数のサーバーまたは複数のホスト名で使用する証明書を要求するときに、最初の SAN エントリとして証明書のサブジェクト名を指定する必要があります。 |
Exchange 管理シェルを使用すると、クライアント アクセス サーバーの DNS ホスト名をすべて含む証明書要求を作成できます。これでユーザーが、代替の名前の属性に列挙されている Outlook Anywhere、自動検出、POP3、IMAP4、ユニファイド メッセージングなどのサービスの証明書に接続できるようにすることができます。たとえば、次の例に示すように名前を指定すると、ユーザーは Exchange サービスに接続できるようになります。
- https://CAS01/owa
- https://CAS01.FQDN.name/owa
- https://CASIntranetName/owa
- https://autodiscover.emaildomain.com
単一の証明書を作成し、クライアントが SSL またはトランスポート層セキュリティ (TLS) を使用して各ホスト名に正常に接続できるようにすることができます。複数の証明書を要求し、IP ポートと証明書の組み合わせごとに複数の IP アドレスとインターネット インフォメーション サービス (IIS) Web サイトの構成を管理する必要はありません。
証明書要求の Subject Alternative Name プロパティに、考えられる DNS 名の値をすべて追加することで、単一の証明書を作成できます。Microsoft Windows ベースの証明書サービスの証明機関は、このような要求に対して 1 つの証明書を作成します。
| 注 : |
|---|
| サード パーティまたはインターネット ベースの証明機関は、ユーザーが承認を受けている DNS 名についてのみ証明書を発行します。このため、イントラネットの DNS 名は許可されない可能性があります。 |
クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成するには、次の操作を行います。
- New-ExchangeCertificate コマンドレットを使用して証明書要求ファイルを作成します。
- このファイルを Windows 証明書サービスの証明機関に送信し、[証明機関] ページの [Web サーバー] テンプレートを使用します。これにより、クライアント アクセス サーバーにインポートできる .cer ファイルが作成されます。
- Get-ExchangeCertificate コマンドレットを使用して証明書の拇印を特定します。
- 証明書は、インポートした後で、Enable-ExchangeCertificate コマンドレットを使用して IIS、IMAP4、および POP3 に割り当てることができます。
開始する前に
この手順を実行するには、使用するアカウントに Exchange 表示専用管理者の役割が委任されている必要があります。
Exchange 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。
.gif "important") 重要 : |
|---|
| 以下の手順を実行する前に、「クライアント アクセスのセキュリティの管理」に目を通してください。 |
| 重要 : |
|---|
| セキュリティに関するベスト プラクティスとしては、Administrators グループに含まれていないアカウントを使用してコンピュータにログオンし、runas コマンドを使用して管理者として IIS マネージャを実行します。コマンド プロンプトで、runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc" を入力します。 |
| 重要 : |
|---|
| SSL または TLS サービス用の証明書を構成する場合は、多くの要素について考慮する必要があります。それぞれの要素が構成全体にどのような影響を与える可能性があるかを確実に理解しておく必要があります。操作を開始する前に、「TLS の証明書または証明書の要求の作成」に目を通してください。 |
手順
Exchange 管理シェルを使用して証明書要求ファイルを作成するには、次の操作を行います。
次のコマンドを実行します。
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txtこのコマンドにより、PKCS#10 形式の証明書要求を含むテキスト ファイルが作成されます。
Exchange 管理シェルを使用して証明書をインポートするには、次の操作を行います。
次のコマンドを実行します。
Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
Exchange 管理シェルを使用して証明書の拇印を特定するには、次の操作を行います。
拇印を特定するには、次のコマンドを実行します。
Get-ExchangeCertificate -DomainName "CAS01"
| 注 : |
|---|
| 指定したホスト名に一致する証明書が複数ある場合は、このコマンドによって複数の証明書が返されます。このため、要求に対応する正しい証明書の拇印を選択するようにしてください。 |
Exchange 管理シェルを使用して証明書を IIS、POP3、および IMAP4 に割り当てるには、次の操作を行います。
証明書を IIS、POP3、および IMAP4 に割り当てるには、次のコマンドを実行します。
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"または、証明書をサーバーに割り当ててから、Exchange サーバーで実行されているすべてのサービスに、そのサーバーから証明書を割り当てるようにするには、次のコマンドを実行します。
Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
Import-ExchangeCertificate、Enable-ExchangeCertificate、Get-ExchangeCertificate、および New-ExchangeCertificate コマンドレットの構文およびパラメータの詳細については、「グローバル コマンドレット」を参照してください。
詳細情報
SSL または TLS 用の証明書や証明書要求を作成する方法の詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。