クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2012-07-23
シェルを使用して、複数のホスト名を使用するように SSL (Secure Sockets Layer) 証明書を構成することができます。
Microsoft Exchange Server 2010 クライアント アクセス サーバーを展開する場合は、Microsoft Office Outlook Web App や Office Outlook 2007 などのすべてのクライアントが、証明書が信頼されていないことを示すエラー メッセージを受信せずに、暗号化されたセッションを使用してサービスに接続できるようにする必要があります。
シェルを使用すると、クライアント アクセス サーバーの DNS ホスト名をすべて含む証明書要求を作成できます。これでユーザーが、代替の名前の属性に列挙されている Outlook Anywhere、自動検出、POP3、IMAP4、ユニファイド メッセージングなどのサービスの証明書に接続できるようにすることができます。たとえば、次の例に示すように名前を指定すると、ユーザーは Exchange サービスに接続できるようになります。
https://CAS01/owa
https://CAS01.FQDN.name/owa
https://CASIntranetName/owa
https://autodiscover.emaildomain.com
単一の証明書を作成し、クライアントが SSL またはトランスポート層セキュリティ (TLS) を使用して各ホスト名に正常に接続できるようにすることができます。複数の証明書を要求し、IP ポートと証明書の組み合わせごとに複数の IP アドレスとインターネット インフォメーション サービス (IIS) Web サイトの構成を管理する必要はありません。
証明書要求の Subject Alternative Name プロパティに、考えられる DNS 名の値をすべて追加することで、単一の証明書を作成できます。Windows ベースの証明書サービスの証明機関は、このような要求に対して 1 つの証明書を作成します。
注意
サード パーティまたはインターネット ベースの証明機関は、ユーザーが使用を承認されている DNS 名についてのみ証明書を発行します。このため、イントラネットの DNS 名はおそらく許可されません。
クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成するには、次の操作を行います。
New-ExchangeCertificate コマンドレットを使用して証明書要求ファイルを作成します。
このファイルを Windows 証明書サービスの証明機関に送信し、[証明機関] ページの [Web サーバー] テンプレートを使用します。これにより、クライアント アクセス サーバーにインポートできる .cer ファイルが作成されます。
Get-ExchangeCertificate コマンドレットを使用して証明書の拇印を特定します。
証明書は、インポートした後で、Enable-ExchangeCertificate コマンドレットを使用して IIS、IMAP4、および POP3 に割り当てることができます。
SSL に関連する他の管理タスクについては、「クライアント アクセス サーバーの SSL の管理」を参照してください。
前提条件
Administrators グループに含まれていないアカウントを使用してコンピューターにログオンし、runas コマンドを使用して管理者として IIS マネージャーを実行済みであること。これはセキュリティのベスト プラクティスです。これを実行するには、コマンド プロンプトで、**runas /user:**Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc" を入力します。
「Exchange 2010 の TLS 機能と関連用語」を読み終えている。これには、SSL または TLS サービス用の証明書を構成する時に、考慮する必要がある数多くの変数およびそれらの変数が全体の構成に与える影響に関する情報が含まれています。
シェルを使用して証明書要求ファイルを作成する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。 「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。
この例では、PKCS#10 形式の証明書要求を含むテキスト ファイルを作成します。
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt
シェルを使用して証明書をインポートする
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。 「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。
この例では、以前に取得した証明書をインポートします。
Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
シェルを使用して証明書の拇印を特定する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。 「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。
この例では、CAS01
のホスト名と一致する証明書の拇印を特定します。
Get-ExchangeCertificate -DomainName "CAS01"
注意
この例では、指定したホスト名に一致する証明書が複数ある場合は、複数の証明書が返されます。このため、要求に対応する正しい証明書の拇印を選択するようにしてください。
シェルを使用して、証明書を IIS、POP3、および IMAP4 に割り当てる
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。 「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。
この例では、IIS、POP3、および IMAP4 に証明書を割り当てます。
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
この例では、証明書をサーバーに割り当て、その結果、Exchange サーバー上で実行しているすべてのサービスに証明書が割り当てられます。
Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
Import-ExchangeCertificate、Enable-ExchangeCertificate、Get-ExchangeCertificate、および New-ExchangeCertificate コマンドレットの構文およびパラメーターの詳細については、「グローバル コマンドレット」を参照してください。
© 2010 Microsoft Corporation.All rights reserved.