Exchange 2013 ハイブリッド サーバーの証明書更新における注意事項

こんにちは。Exchange サポートの河本です。
Exchange Server 2013 がリリースされてから 3 年程が経過している現在、Exchange 2013 をハイブリッド サーバーとして利用されているお客様でハイブリッド サーバーの証明書の更新方法についてお問い合わせが入ってきています。ハイブリッド サーバーの証明書の更新についていくつか注意事項がありますので、以下にご案内します。

証明書更新の前提
ハイブリッド サーバーに使用する証明書は信頼できる第三者証明機関 (CA)  から発行された公的証明書を取得します。その際に以下の 2 点について注意ください。

A. 使用する公的証明書は以下の証明書要件を満たしている

Title: ハイブリッド展開の証明書要件
Url: https://technet.microsoft.com/ja-jp/library/hh563848(v=exchg.150).aspx

B.  証明書の Subject プロパティに CN が含まれている。

Exchange Server 2013 をハイブリッド サーバーとして使用する場合は、Exchange Server 2013 と Exchange Online 間で使用する送信コネクタ、受信コネクタには TLS のセキュリティで保護された接続を確立するために、ハイブリッド サーバーに使用される証明書名 (TlsCertificateName) が指定されます(注)。この際、指定される証明書のサブジェクト名 (Subject) には CN が含まれている必要があるため、公的証明書を取得する場合は、CN が含まれたサブジェクト名であることをご確認下さい。

注)
ハイブリット構成ウィザードによって自動的に構成されるため、手動で設定する必要はありません

証明書更新手順の注意点
前述の証明書の前提を踏まえて無事に証明書をExchange 2013 ハイブリッド サーバーにインストールしたとします。これで終わりと思うかもしれませんが、実は思わぬ落とし穴があります。それは新しい証明書が以前の証明書の発行者 (Issuer) やサブジェクト名 (Subject) が異なっている場合に、インターネットや Exchange Online からメールを受信できない問題が発生する可能性がある点です。以下の KB 2989382 として公開しています。

ID   : 2989382
Title: 新たにサーバーへ証明書をインストールした後、ハイブリッド環境で電子メールを受け取ることができない
Url: https://support.microsoft.com/ja-jp/kb/2989382

KB 2989382 に対処策が記載されていますが、ハイブリッド サーバーの Office 365 専用の受信コネクタの設定を変更した上で、ハイブリッド 構成ウィザードを実行する必要があります。

更新手順
以下に手順を紹介します。

1. Office 365 から受信する受信コネクタの設定を変更
1-1. ハイブリット サーバーで Exchange 管理シェルを起動します。
1-2. 下記コマンドを実行してハイブリッド サーバーの Office 365 から受信する受信コネクタの TLS 関連の設定を変更します。

Get-ReceiveConnector "<ハイブリッド サーバー名>\Default Frontend <ハイブリッド サーバー名>" | Set-ReceiveConnector -TlsCertificateName $null -TlsDomainCapabilities $null

例)
Get-ReceiveConnector "Ex2k13Hybrid\Default Frontend Ex2k13Hybrid" | Set-ReceiveConnector -TlsCertificateName $null -TlsDomainCapabilities $null

2. ハイブリット構成ウィザードの実行
ハイブリット構成ウィザードを実行します。

<注意事項>
ハイブリッド 構成ウィザードを、最新の累積的更新プログラム (CU) を適用されていない Exchange 2013 サーバーから実行するとエラーとなり、KB 2988229 として公開しております。

ID : 2988229
Title: "Subtask CheckPrereqs execution failed" error in Hybrid Configuration wizard for Exchange Server 2013
URL: https://support.microsoft.com/en-us/kb/2988229

そのためハイブリッド 構成ウィザードを実行する場合は、 Exchange 2013 サーバーに最新の CU が適用されていることをご確認ください。

2-1 Exchange 2013 ハイブリッド サーバーまたはドメイン参加している任意の管理端末より Exchange 管理センターへアクセスし、 [ハイブリッド] の項目にクリックし、[セットアップ] にて “変更” をクリックします。

0829-1
 

2-2 Exchange Online の管理者アカウント情報を入力し後に、以下のように Office 365 ハイブリッド構成ウィザード ツールをダウンロードするように促されますので、ダウンロードします。

0829-2
 

2-3 ダウンロードが完了すると、Office 365 ハイブリッド構成ウィザードが実行されます。自動的に実行されない場合は、Microsoft Office 365 Hybrid Configuration Wizard のショットカットをダブル クリックし、ウィザードを実行します。

0829-3
 

2-4. ウィザードに従い処理を進め、以下の “証明書のトランスポート” にて今回新規にインストールした証明書を選択します。

0829-4

 

<注意>
"証明書のトランスポート" にて今回新規にインストールした証明書が選択されていない場合は、以下の手順を実施した上で上記の手順 2-1から実施下さい。

2-4-1. ハイブリット サーバーで Exchange 管理シェルを起動します。
2-4-2. 下記のコマンドを実行し、今回更新した証明書の Thumbprint の情報を確認します。

Get-ExchangeCertificate | FL Subject, Thumbprint

2-4-3. 手順 2-4-2 にて取得した Thumbprint の値をもとに、証明書の情報を取得し、変数 $cert にセットします。

例: $cert = Get-ExchangeCertificate -Thumbprint 9999C12D77772708F2F7944C4B8EF41F2578E999

2-4-4.  下記コマンドを実行してハイブリット環境で使用する証明書として新しい証明書を指定します。

Set-HybridConfiguration -TlsCertificateName: "<I>$($cert.Issuer)<S>$($cert.Subject)"

2-5. ウィザードに従い残りのステップを進めて、最後に [更新] を選択します。
2-6. 無事に更新が完了しましたら下記画面が表示されます。


3. 証明書の確認
オンプレミスおよびオンラインの各コネクタに新しいサーバー証明書が設定されていることを確認します。

・オンプレミス側
--------------------------
1. Exchange Management Shell を起動します。
2. 次のコマンドを実行し、Office365 用の送信コネクターの証明書の情報が新しいサーバー証明書に更新されていることを確認します。
Get-SendConnector -Identity "Outbound to Office 365" | fl TlsCertificateName

3. 次のコマンドを実行し、Office365 用の受信コネクターの証明書の情報が新しいサーバー証明書に更新されていることを確認します。
Get-ReceiveConnector -Identity " Office365 用の受信コネクターの Identity パラメーター" | fl TlsCertificateName

・Exchange Online 側
--------------------------
1. Exchange 管理センターへログオンします。
2. [メール フロー] - [コネクタ] をクリックします。
3. [Inbound from 5d8bf6e8-91bf-436f-....] の受信コネクターをダブル クリックします。
4. [次へ] をクリックします。
5. [Office 365 で認証するために送信側サーバーが使う証明書の件名がこのドメイン名に一致することを確認する (推奨)] が選択されており、値として新しいサーバー証明書が設定されていることを確認します。
6. [キャンセル] を押し、受信コネクタの画面を閉じます。

7. 続いて、[Outbound to 5d8bf6e8-91bf-436f-b386....] の送信コネクターをダブル クリックします。
8. [次へ] をクリックします。
9. [次へ] をクリックします。
10. [次へ] をクリックします。
11. [常にトランスポート層セキュリティ..] のチェックボックスがオンになっていることを確認します。
12. [キャンセル] を押し、送信コネクタの画面を閉じます。