証明書検証エラーのトラブルシューティング
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2012-07-23
ここでは、証明書検証エラーを解決する方法について説明し、エラーを解決する際に役立つドキュメントについても紹介します。
Microsoft Exchange トランスポート サービスでトランスポート層セキュリティ (TLS) の証明書を選択する方法の詳細については、次のトピックを参照してください。
証明書検証エラーまたは状態メッセージ
証明書が有効であるが自己署名入りである。
このエラーは情報状態メッセージです。既定では、Exchange Server 2010 でインストールされる証明書は自己署名入りです。一般的なベスト プラクティスとして、信頼されているサード パーティの証明機関 (CA) の証明書を使用することをお勧めします。
詳細については、「ドメイン エッジ トランスポート サーバーでドメイン セキュリティに PKI を使用する」を参照してください。
証明書の対象が渡された値と一致しない。
この状態メッセージは、証明書の "サブジェクト名" フィールドまたは "サブジェクト別名" フィールドのドメイン名が、送信者あるいは受信者の完全修飾ドメイン名 (FQDN) に一致していないことを示します。このエラーを修正するには、この証明書を検証しようとした送信コネクタまたは受信コネクタの FQDN と一致する新しい証明書を作成する必要があります。
詳細については、「TLS 証明書について」を参照してください。
証明書の署名を検証できない。
この状態メッセージは、Microsoft Exchange Transport サービスが証明書チェーンを検証できない、または証明書の署名を検証するために使用された公開キーが正しいキーではないことを示します。
証明書チェーンが処理されているが、信頼プロバイダーによって信頼されていないルート証明書で終了している。
この状態メッセージは、この操作に使用されている証明書がコンピューターの証明書ストアに信頼されていないことを示します。この証明書を信頼するには、このコンピューターの証明書ストアに対象の証明書のルート証明機関が存在している必要があります。
証明書をローカル証明書ストアに手動で追加する方法の詳細については、Microsoft 管理コンソール (MMC) の証明書マネージャー スナップインのヘルプ ファイルを参照してください。
証明書が要求された用途に対して有効ではない。
この状態メッセージは、現在のアプリケーションで使用するために証明書を有効にする必要があることを示します。たとえば、この証明書をドメイン セキュリティに使用しようとする場合には、証明書を SMTP で有効にする必要があります。
証明書を有効にする方法の詳細については、「Enable-ExchangeCertificate」を参照してください。
また、この状態メッセージは、使用している証明書の "拡張キー使用法" フィールドに正しいデータが指定されていないことを示す可能性もあります。TLS に使用されるすべての証明書は、OID とも呼ばれるサーバー認証オブジェクト識別子を含んでいる必要があります。"拡張キー使用法" フィールドにサーバー認証 OID が含まれていない TLS 用証明書を使用する場合には、新しい証明書を作成する必要があります。
詳細については、「TLS 証明書について」を参照してください。
現在のシステム クロックまたは署名済みファイルのタイムスタンプに基づいて検証する場合、要求される証明書の日付が有効期間内にない。
この状態メッセージは、システム時刻が正しくないか、証明書の期限が切れたか、またはこのファイルに署名したシステムの時刻が正しくないことを示します。以下の条件を満たすことを確認します。
ローカル コンピューターの時計が正確である。
証明書の有効期限が切れていない。
送信側のシステム クロックが正確である。
証明書の有効期限が切れている場合は、新しい証明書を作成する必要があります。
詳細については、「TLS 証明書について」を参照してください。
証明書チェーンの有効期間の入れ子が正しくない。
この状態メッセージは、証明書チェーンが破壊されているか、そうでない場合は信頼できないことを示します。New-ExchangeCertificate コマンドレットを使用して新しい証明書を作成するか、証明機関に連絡してこの証明書に使用された証明書チェーンを確認します。
エンドエンティティとしてのみ使用可能な証明書が CA として、またはその逆に使用されている。
この状態メッセージは、証明書が証明機関ではなくエンドエンティティ証明書により発行されているため無効であることを示します。エンドエンティティ証明書は、特定のアプリケーションを暗号化することを目的に作成された証明書です。New-ExchangeCertificate コマンドレットを使用して新しい証明書を作成するか、証明機関に連絡して証明書を確認します。
証明書または署名が取り消されている。
証明機関に連絡し、この問題を解決してください。
証明書が発行元によって明示的に取り消されている。
証明機関に連絡し、この問題を解決してください。
失効サーバーがオフラインであるため失効機能で失効を確認できない。
この状態メッセージは、証明書の失効サーバーに到達できなかったことを示します。これは、失効サーバーが故障しているための一時的なエラーである場合もあります。そうでない場合は、このコンピューターが失効サーバーにアクセスできるかどうかを確認してください。このコンピューターと失効サーバーの間にファイアウォールまたはプロキシ サーバーがある場合は、この障壁を通過できるようにコンピューターが設定されていることを確認してください。
詳細については、「ドメイン エッジ トランスポート サーバーでドメイン セキュリティに PKI を使用する」を参照してください。
失効処理を継続できず、証明書も確認できない。
この状態メッセージは、一般的なネットワークのエラーによって失効処理が中断されたことを示します。このコンピューターと失効サーバーの間にファイアウォールまたはプロキシ サーバーがある場合は、この障壁を通過できるようにコンピューターが設定されていることを確認してください。
詳細については、「ドメイン エッジ トランスポート サーバーでドメイン セキュリティに PKI を使用する」を参照してください。
© 2010 Microsoft Corporation.All rights reserved.