受信用 STARTTLS 証明書の選択

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2011-04-27

受信用 STARTTLS 証明書の選択は、次のようなシナリオで発生します。

  • SMTP ホストが、エッジ トランスポート サーバーでトランスポート層セキュリティ (TLS) を要求する場合。エッジ トランスポート サーバーで TLS を要求するホストは、他の SMTP ホストである場合もあります。これは、ドメイン セキュリティのシナリオにも当てはまります。ドメイン セキュリティの詳細については、「ドメイン セキュリティについて」を参照してください。

  • Microsoft Outlook Express などの SMTP クライアントが、ハブ トランスポート サーバーで TLS を要求する場合。

  • インターネットに接続されたハブ トランスポート サーバーが、エッジ トランスポート サーバーで TLS を要求する場合。

SMTP セッションが確立されると、受信側のサーバーが証明書選択プロセスを開始し、TLS ネゴシエーションで使用する証明書を決定します。送信側サーバーでも証明書の選択処理が実行されます。この処理の詳細については、「送信匿名 TLS 証明書の選択」を参照してください。

ここでは、受信用 STARTTLS の証明書の選択処理について説明します。ここで説明するすべての手順は、受信側サーバーで実行されます。次の図は、この処理の手順を示しています。

受信用 STARTTLS 証明書の選択

受信用 STARTTLS 証明書の選択

  1. SMTP セッションが確立されると、Microsoft Exchange は証明書を読み込むためのプロセスを呼び出します。

  2. 証明書の読み込み機能で、セッションの接続先の受信コネクタが確認され、AuthMechanism プロパティの値が TLS に設定されているかどうかが調べられます。受信コネクタの AuthMechanism プロパティは、Set-ReceiveConnector コマンドレットを使用して設定できます。また、特定の受信コネクタの [認証] タブで [トランスポート層セキュリティ (TLS)] を選択することによって、AuthMechanism プロパティを TLS に設定することができます。

    認証機構として TLS が有効になっていない場合、そのサーバーは送信側サーバーに X-STARTTLS のオプションを通知せず、証明書は読み込まれません。認証機構として TLS が有効になっている場合、証明書の選択処理は次の手順に進みます。

  3. 受信コネクタの構成から完全修飾ドメイン名 (FQDN) の値を取得します。受信コネクタの FQDN の値が null である場合、サーバーの物理的な FQDN が取得されます。

  4. この FQDN に対応する証明書をローカル コンピューターの証明書ストアから検索します。証明書が見つからない場合は、サーバーは X-STARTTLS を通知せず、証明書は読み込まれません。また、イベント ID 12014 がアプリケーション ログに記録されます。

  5. 証明書ストアから、対応する FQDN を持つすべての証明書を検索します。証明書選択プロセスでは、このリストから対象になる証明書のリストを識別します。証明書は、次の条件を満たしている必要があります。

    • 証明書が X.509 version 3 またはそれ以降。

    • 証明書が秘密キーに関連付けられている。

    • "サブジェクト" フィールドまたは "サブジェクトの別名" フィールドに、手順 3. で取得した FQDN が含まれる。

    • 証明書が SSL (Secure Sockets Layer) または TLS の使用に対して有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、証明書が SMTP サービスに対して有効になっている。

  6. これらのチェックによって有効な証明書が見つからなかった場合は、サーバーは X-STARTTLS を通知せず、証明書は読み込まれません。また、イベント ID 12014 がアプリケーション ログに記録されます。

  7. 対象になる証明書から、次の順序で最も適した証明書が選択されます。

    1. 最新の Valid from の日付によって対象となる証明書を並べ替えます。Valid from は、証明書の Version 1 フィールドです。

    2. このリストで最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。

    3. 有効な PKI 証明書が見つからない場合、最初の自己署名証明書が使用されます。

  8. 証明書の有効期限が切れているかどうかが確認されます。証明書のプロパティの Valid to フィールドが現在の日時と比較されます。証明書の有効期限が切れていない場合、STARTTLS が通知されます。証明書の有効期限が切れていた場合、イベント ID 12016 がアプリケーション ログに記録されますが、STARTTLS は通知されます。

 © 2010 Microsoft Corporation.All rights reserved.