証明書検証エラーを修正する方法
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-04-13
証明書を検証できないときは、Microsoft Operations Manager 2005 を使用している場合はオペレータ コンソールに、System Center Operations Manager 2007 を使用している場合はオペレーション コンソールに、次のようなエラーが返される場合があります。このエラーは、アプリケーション ログのイベントとして返される場合もあります。ここでは、これらのエラーを解決する方法について説明し、証明書検証エラーを解決する際に役立つドキュメントについても紹介します。
Microsoft Exchange Transport サービスでトランスポート層セキュリティ (TLS) の証明書を選択する方法の詳細については、「SMTP TLS 証明書の選択」を参照してください。
証明書検証エラーまたは状態メッセージ
- 証明書は有効であるが自己署名入りである。 このエラーは、情報状態メッセージです。既定では、Microsoft Exchange Server 2007 でインストールされる証明書は自己署名入りです。一般的なベスト プラクティスとして、信頼されているサード パーティの証明機関 (CA) の証明書を使用することをお勧めします。
詳細については、「ドメイン セキュリティのためにエッジ トランスポート サーバーの PKI を有効にする方法」を参照してください。 - 証明書の対象が渡された値と一致しない。 この状態メッセージは、証明書の "サブジェクト名" フィールドまたは "サブジェクト別名" フィールドのドメイン名が、送信者あるいは受信者の完全修飾ドメイン名 (FQDN) に一致していないことを示します。このエラーを修正するには、この証明書を検証しようとした送信コネクタまたは受信コネクタの FQDN と一致する新しい証明書を作成する必要があります。
詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。 - 証明書の署名を検証できない。 この状態メッセージは、Microsoft Exchange Transport サービスが証明書チェーンを検証できない、または証明書の署名を検証するために使用された公開キーが正しいキーではないことを示します。
詳細については、Exchange 2007 のドメインのセキュリティについてのホワイト ペーパーを参照してください (このサイトは英語の場合があります)。 - 証明書チェーンが処理されているが、信頼プロバイダによって信頼されていないルート証明書で終了している。 この状態メッセージは、この操作に使用されている証明書がコンピュータの証明書ストアに信頼されていないことを示します。この証明書を信頼するには、このコンピュータの証明書ストアに対象の証明書のルート証明機関が存在している必要があります。
証明書をローカル証明書ストアに手動で追加する方法の詳細については、Microsoft 管理コンソール (MMC) の証明書マネージャ スナップインのヘルプ ファイルを参照してください。 - 証明書が要求された用途に対して有効ではない。 この状態メッセージは、現在のアプリケーションで使用するために証明書を有効にする必要があることを示します。たとえば、この証明書をドメイン セキュリティに使用しようとする場合には、証明書を SMTP (簡易メール転送プロトコル) で有効にする必要があります。
証明書を有効にする方法の詳細については、「Enable-ExchangeCertificate」を参照してください。
また、この状態メッセージは、使用している証明書の "拡張キー使用法" フィールドに正しいデータが指定されていないことを示す可能性もあります。TLS (トランスポート層セキュリティ) に使用されるすべての証明書は、OID とも呼ばれるサーバー認証オブジェクト識別子を含んでいる必要があります。"拡張キー使用法" フィールドにサーバー認証 OID が含まれていない TLS 用証明書を使用する場合には、新しい証明書を作成する必要があります。
詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。 - 現在のシステム クロックまたは署名済みファイルのタイムスタンプに基づいて検証する場合、要求される証明書の日付が有効期間内にない。 この状態メッセージは、システム時間が正しくない、証明書が有効期限切れである、またはファイルに署名したシステムの時間が正しくないことを示します。以下の条件を満たすことを確認します。
- ローカル コンピュータの時計が正確である。
- 証明書の有効期限が切れていない。
- 送信側のシステム クロックが正確である。
証明書の有効期限が切れている場合は、新しい証明書を作成する必要があります。
詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。
- 証明書チェーンの有効期間の入れ子が正しくない。 この状態メッセージは、証明書チェーンが破壊されているか、そうでない場合は信頼できないことを示します。New-ExchangeCertificate コマンドレットを使用して新しい証明書を作成するか、証明機関に連絡してこの証明書に使用された証明書チェーンを確認します。
- エンドエンティティとしてのみ使用可能な証明書が CA として、またはその逆に使用されている。 この状態メッセージは、証明書が証明機関ではなくエンドエンティティ証明書により発行されているため無効であることを示します。エンドエンティティ証明書は、特定のアプリケーションを暗号化することを目的に作成された証明書です。New-ExchangeCertificate コマンドレットを使用して新しい証明書を作成するか、証明機関に連絡して証明書を確認します。
- 証明書または署名が取り消されている。 証明機関に連絡し、この問題を解決してください。
- 証明書が発行元によって明示的に取り消されている。 証明機関に連絡し、この問題を解決してください。
- 失効サーバーがオフラインであるため失効機能で失効を確認できない。 この状態メッセージは、証明書の失効サーバーに到達できなかったことを示します。これは、失効サーバーが故障しているための一時的なエラーである場合もあります。そうでない場合は、このコンピュータが失効サーバーにアクセスできるかどうかを確認してください。このコンピュータと失効サーバーの間にファイアウォールまたはプロキシ サーバーがある場合は、この障壁を通過できるようにコンピュータが設定されていることを確認してください。
詳細については、「ドメイン セキュリティのためにエッジ トランスポート サーバーの PKI を有効にする方法」を参照してください。 - 失効処理を継続できず、証明書も確認できない。 この状態メッセージは、一般的なネットワークのエラーによって失効処理が中断されたことを示します。このコンピュータと失効サーバーの間にファイアウォールまたはプロキシ サーバーがある場合は、この障壁を通過できるようにコンピュータが設定されていることを確認してください。
詳細については、「ドメイン セキュリティのためにエッジ トランスポート サーバーの PKI を有効にする方法」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。