受信匿名 TLS 証明書の選択

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2009-11-23

受信匿名トランスポート層セキュリティ (TLS) 証明書の選択は、次のシナリオで発生します。

  • エッジ トランスポート サーバーとハブ トランスポート サーバー間の認証用の SMTP セッション

  • ハブ トランスポート サーバー間での公開キーのみを使用する SMTP セッションの暗号化

ハブ トランスポート サーバー間の通信でセッションを暗号化するためには、匿名 TLS および証明書の公開キーを使用します。認証には Kerberos が使用されます。SMTP セッションが確立されると、受信側のサーバーが証明書選択プロセスを開始し、TLS ネゴシエーションで使用する証明書を決定します。送信側のサーバーも証明書選択プロセスを実行します。その処理の詳細については、「送信匿名 TLS 証明書の選択」を参照してください。

このトピックでは、受信匿名 TLS 証明書の選択プロセスについて説明します。すべての手順を受信側サーバーで実行します。次の図は、このプロセスの手順を示しています。

受信匿名 TLS 証明書の選択

受信匿名 TLS 証明書の選択

  1. SMTP セッションが確立されると、Microsoft Exchange で証明書を読み込むプロセスが呼び出されます。

  2. 証明書読み込み機能では、セッションの接続されている受信コネクタがチェックされ、AuthMechanism プロパティが ExchangeServer に設定されているかどうかが確認されます。Set-ReceiveConnector コマンドレットを使用して、受信コネクタの AuthMechanism プロパティを設定できます。また特定の受信コネクタの [認証] タブで [Exchange Server 認証] を選択し、AuthMechanism プロパティを ExchangeServer に設定することも可能です。

    ExchangeServer が認証機構として有効になっていないと、サーバーは SMTP セッションで送信側サーバーに X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。ExchangeServer が認証機構として有効化されると、証明書選択プロセスは次の手順に進みます。

  3. Microsoft Exchange は Active Directory に照会し、サーバーにある証明書の拇印を取得します。証明書の拇印は、サーバー オブジェクト上の msExchServerInternalTLSCert 属性にあります。

    msExchServerInternalTLSCert 属性が読み取れないか、その値が null である場合、Microsoft Exchange は X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。

    注意

    SMTP セッションの間ではなく、Microsoft Exchange Transport サービスの起動時に msExchServerInternalTLSCert 属性が読み取れないか、その値が null である場合、イベント ID 12012 がアプリケーション ログに記録されます。

  4. 拇印が見つかった場合、証明書選択プロセスでは、その拇印に一致する証明書をローカル証明書ストアで検索します。証明書が見つからない場合は、サーバーは X-ANONYMOUSTLS を通知せず、証明書が読み込まれずに、イベント ID 12013 がアプリケーション ログに記録されます。

  5. 証明書ストアから証明書が読み込まれた後、それが有効期限内であるかどうかが確認されます。証明書の Valid to フィールドが、現在の日付および時刻と比較されます。証明書が有効期限切れである場合、イベント ID 12015 がアプリケーションログに記録されます。この場合、証明書選択プロセスが失敗するわけではなく、残りのチェックは継続されます。

  6. 証明書がローカル コンピューターの証明書ストアで最新のものであるかどうかが確認されます。この確認の一環として、証明書ドメインの可能性のあるドメイン リストが作成されます。このドメイン リストは次のコンピューター構成に基づいています。

    • mail.contoso.com などの完全修飾ドメイン名 (FQDN)

    • EdgeServer01 などのホスト名

    • EdgeServer01.contoso.com などの物理 FQDN

    • EdgeServer01 などの物理ホスト名

      注意

      サーバーがクラスターとして、または Microsoft Windows 負荷分散を実行するコンピューター用に構成されている場合、DnsFullyQualifiedDomainName 設定ではなく、次のレジストリ キーが調べられます。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. ドメイン リストが作成された後、証明書選択プロセスでは、一致する FQDN のある証明書ストアで、すべての証明書が検索されます。証明書選択プロセスでは、このリストから対象になる証明書のリストを識別します。証明書は、次の条件を満たしている必要があります。

    • 証明書が X.509 version 3 またはそれ以降。

    • 証明書が秘密キーに関連付けられている。

    • "サブジェクト" フィールドまたは "サブジェクトの別名" フィールドに、手順 6. で取得した FQDN が含まれる。

    • 証明書が SSL (Secure Sockets Layer) または TLS の使用に対して有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、この証明書で SMTP サービスが有効になっている。

  8. 対象になる証明書から、次の順序で最も適した証明書が選択されます。

    1. 最新の Valid from の日付で対象になる証明書を並べ替えます。Valid from は、証明書の Version 1 フィールドです。

    2. このリストで最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。

    3. 有効な PKI 証明書が見つからない場合、最初の自己署名入りの証明書が使用されます。

  9. 最も適した証明書が決定された後、別のチェックが行われ、拇印が msExchServerInternalTLSCert 属性に格納されている証明書と一致するかどうかが判断されます。証明書が一致すると、その証明書が X-ANONYMOUSTLS に使用されます。一致しない場合、イベント ID 1037 がアプリケーションログに記録されます。ただし、これによって X-ANONYMOUSTLS が失敗することはありません。

 © 2010 Microsoft Corporation.All rights reserved.