受信匿名 TLS 証明書の選択
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2009-11-23
受信匿名トランスポート層セキュリティ (TLS) 証明書の選択は、次のシナリオで発生します。
エッジ トランスポート サーバーとハブ トランスポート サーバー間の認証用の SMTP セッション
ハブ トランスポート サーバー間での公開キーのみを使用する SMTP セッションの暗号化
ハブ トランスポート サーバー間の通信でセッションを暗号化するためには、匿名 TLS および証明書の公開キーを使用します。認証には Kerberos が使用されます。SMTP セッションが確立されると、受信側のサーバーが証明書選択プロセスを開始し、TLS ネゴシエーションで使用する証明書を決定します。送信側のサーバーも証明書選択プロセスを実行します。その処理の詳細については、「送信匿名 TLS 証明書の選択」を参照してください。
このトピックでは、受信匿名 TLS 証明書の選択プロセスについて説明します。すべての手順を受信側サーバーで実行します。次の図は、このプロセスの手順を示しています。
受信匿名 TLS 証明書の選択
SMTP セッションが確立されると、Microsoft Exchange で証明書を読み込むプロセスが呼び出されます。
証明書読み込み機能では、セッションの接続されている受信コネクタがチェックされ、AuthMechanism プロパティが
ExchangeServer
に設定されているかどうかが確認されます。Set-ReceiveConnector コマンドレットを使用して、受信コネクタの AuthMechanism プロパティを設定できます。また特定の受信コネクタの [認証] タブで [Exchange Server 認証] を選択し、AuthMechanism プロパティをExchangeServer
に設定することも可能です。ExchangeServer
が認証機構として有効になっていないと、サーバーは SMTP セッションで送信側サーバーに X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。ExchangeServer
が認証機構として有効化されると、証明書選択プロセスは次の手順に進みます。Microsoft Exchange は Active Directory に照会し、サーバーにある証明書の拇印を取得します。証明書の拇印は、サーバー オブジェクト上の msExchServerInternalTLSCert 属性にあります。
msExchServerInternalTLSCert 属性が読み取れないか、その値が
null
である場合、Microsoft Exchange は X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。注意
SMTP セッションの間ではなく、Microsoft Exchange Transport サービスの起動時に msExchServerInternalTLSCert 属性が読み取れないか、その値が
null
である場合、イベント ID 12012 がアプリケーション ログに記録されます。拇印が見つかった場合、証明書選択プロセスでは、その拇印に一致する証明書をローカル証明書ストアで検索します。証明書が見つからない場合は、サーバーは X-ANONYMOUSTLS を通知せず、証明書が読み込まれずに、イベント ID 12013 がアプリケーション ログに記録されます。
証明書ストアから証明書が読み込まれた後、それが有効期限内であるかどうかが確認されます。証明書の Valid to フィールドが、現在の日付および時刻と比較されます。証明書が有効期限切れである場合、イベント ID 12015 がアプリケーションログに記録されます。この場合、証明書選択プロセスが失敗するわけではなく、残りのチェックは継続されます。
証明書がローカル コンピューターの証明書ストアで最新のものであるかどうかが確認されます。この確認の一環として、証明書ドメインの可能性のあるドメイン リストが作成されます。このドメイン リストは次のコンピューター構成に基づいています。
mail.contoso.com などの完全修飾ドメイン名 (FQDN)
EdgeServer01 などのホスト名
EdgeServer01.contoso.com などの物理 FQDN
EdgeServer01 などの物理ホスト名
注意
サーバーがクラスターとして、または Microsoft Windows 負荷分散を実行するコンピューター用に構成されている場合、DnsFullyQualifiedDomainName 設定ではなく、次のレジストリ キーが調べられます。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName
ドメイン リストが作成された後、証明書選択プロセスでは、一致する FQDN のある証明書ストアで、すべての証明書が検索されます。証明書選択プロセスでは、このリストから対象になる証明書のリストを識別します。証明書は、次の条件を満たしている必要があります。
証明書が X.509 version 3 またはそれ以降。
証明書が秘密キーに関連付けられている。
"サブジェクト" フィールドまたは "サブジェクトの別名" フィールドに、手順 6. で取得した FQDN が含まれる。
証明書が SSL (Secure Sockets Layer) または TLS の使用に対して有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、この証明書で SMTP サービスが有効になっている。
対象になる証明書から、次の順序で最も適した証明書が選択されます。
最新の Valid from の日付で対象になる証明書を並べ替えます。Valid from は、証明書の Version 1 フィールドです。
このリストで最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。
有効な PKI 証明書が見つからない場合、最初の自己署名入りの証明書が使用されます。
最も適した証明書が決定された後、別のチェックが行われ、拇印が msExchServerInternalTLSCert 属性に格納されている証明書と一致するかどうかが判断されます。証明書が一致すると、その証明書が X-ANONYMOUSTLS に使用されます。一致しない場合、イベント ID 1037 がアプリケーションログに記録されます。ただし、これによって X-ANONYMOUSTLS が失敗することはありません。
© 2010 Microsoft Corporation.All rights reserved.