受信用 STARTTLS 証明書の選択

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2011-01-19

受信用 STARTTLS 証明書の選択は、次のようなシナリオで発生します。

  • SMTP (簡易メール転送プロトコル) ホストが、エッジ トランスポート サーバーでトランスポート層セキュリティ (TLS) を要求する場合。エッジ トランスポート サーバーで TLS を要求するホストは、他の SMTP ホストである場合もあります。これは、ドメイン セキュリティのシナリオにも当てはまります。ドメイン セキュリティの詳細については、「ドメイン セキュリティの計画」を参照してください。
  • Microsoft Outlook Express などの SMTP クライアントが、ハブ トランスポート サーバーで TLS を要求する場合。
  • インターネットに接続されたハブ トランスポート サーバーが、エッジ トランスポート サーバーで TLS を要求する場合。

SMTP セッションが確立されると、受信側サーバーで証明書の選択処理が開始され、TLS ネゴシエーションで使用する証明書が決定されます。送信側サーバーでも証明書の選択処理が実行されます。この処理の詳細については、「送信匿名 TLS 証明書の選択」を参照してください。

ここでは、受信用 STARTTLS の証明書の選択処理について説明します。ここで説明するすべての手順は、受信側サーバーで実行されます。次の図に、この処理の手順を示します。

受信用 STARTTLS 証明書の選択

  1. SMTP セッションが確立されると、Microsoft Exchange は証明書を読み込むためのプロセスを呼び出します。
  2. 証明書の読み込み機能で、セッションの接続先の受信コネクタが確認され、AuthMechanism プロパティの値が TLS に設定されているかどうかが調べられます。受信コネクタの AuthMechanism プロパティは、Set-ReceiveConnector コマンドレットを使用して設定できます。また、特定の受信コネクタの [認証] タブで [トランスポート層セキュリティ (TLS)] を選択することによって、AuthMechanism プロパティを TLS に設定することができます。
    認証機構として TLS が有効になっていない場合、そのサーバーは送信側サーバーに X-STARTTLS のオプションを通知せず、証明書は読み込まれません。認証機構として TLS が有効になっている場合、証明書の選択処理は次の手順に進みます。
  3. 受信コネクタの構成から完全修飾ドメイン名 (FQDN) の値を取得します。受信コネクタの FQDN の値が null である場合、サーバーの物理的な FQDN が取得されます。
  4. この FQDN に対応する証明書をローカル コンピュータの証明書ストアから検索します。証明書が見つからない場合は、サーバーは X-STARTTLS を通知せず、証明書は読み込まれません。また、イベント ID 12014 がアプリケーション ログに記録されます。
  5. 証明書ストアから、対応する FQDN を持つすべての証明書を検索します。この一覧から、有効な証明書の一覧を特定します。有効な証明書は、以下の条件を満たしている必要があります。
    • 証明書は X.509 Version 3 以降の証明書である。
    • 証明書には秘密キーが関連付けられている。
    • "サブジェクト" フィールドまたは "サブジェクト代替名" フィールドに、手順 3. で取得した FQDN が含まれている。
    • 証明書の SSL (Secure Sockets Layer)/TLS が有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、証明書が SMTP サービスに対して有効になっている。
  6. これらのチェックによって有効な証明書が見つからなかった場合は、サーバーは X-STARTTLS を通知せず、証明書は読み込まれません。また、イベント ID 12014 がアプリケーション ログに記録されます。
  7. 以下の順序に基づいて、有効な証明書の中から最適な証明書が選択されます。
    • 有効な証明書を Valid from の日付に基づいて、新しい順に並び替えます。Valid from は証明書の Version 1 のフィールドです。
    • この一覧の最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。
    • 有効な PKI 証明書が見つからない場合は、最初の自己署名入りの証明書が使用されます。
  8. 証明書の有効期限が切れているかどうかが確認されます。証明書のプロパティの Valid to フィールドが現在の日時と比較されます。証明書の有効期限が切れていない場合、STARTTLS が通知されます。証明書の有効期限が切れていた場合、イベント ID 12016 がアプリケーション ログに記録されますが、STARTTLS は通知されます。

詳細情報

他の TLS のシナリオにおける証明書の選択方法の詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。