次の方法で共有

受信匿名 TLS 証明書の選択

適用対象:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

重要

Microsoft Exchange Server 2016 および Microsoft Exchange Server 2019 は、2025 年 10 月 14 日にサポート終了となります。 サポートを維持するには、アップグレードする必要があります。 詳細については、「Exchange 2016 および Exchange Server 2019 のサポート終了」を参照してください。

受信匿名トランスポート層セキュリティ (TLS) 証明書の選択は、次のシナリオで発生します。

  • 認証のために Microsoft Edge トランスポート サーバーとメールボックス サーバー間の簡易メール転送プロトコル (SMTP) セッション。
  • メールボックス サーバー間の SMTP セッション。

メールボックス サーバー間の通信では、X 匿名 TLS と証明書の公開キーを使用してセッションを暗号化します。 セッション暗号化の後、Kerberos 認証はサーバー間で行われます。 SMTP セッションが確立されると、受信側サーバーは証明書の選択プロセスを開始して、TLS ネゴシエーションで使用する証明書を決定します。 送信側サーバーは、証明書の選択プロセスも実行します。 送信サーバーによる証明書の選択プロセスの詳細については、「 送信匿名 TLS 証明書の選択」を参照してください。

この記事では、受信匿名 TLS 証明書の選択プロセスについて説明します。 すべての手順は、受信側サーバーで実行されます。 次の図は、このプロセスの手順を示しています。

受信匿名 TLS 証明書の選択プロセスを示すスクリーンショット。

前の図に示した手順を次に示します。

  1. SMTP セッションが確立されると、Microsoft Exchange は証明書を読み込むプロセスを呼び出します。

  2. "証明書の読み込み" 関数では、セッションが接続されている受信コネクタがチェックされ、 AuthMechanism プロパティが ExchangeServer の値に設定されているかどうかを確認します。 このチェックより前に、値 ExchangeServer を認証メカニズムとして有効にする必要があります。 ExchangeServer が認証メカニズムとして有効になっていない場合は、[認証] タブで [Exchange Server認証] を選択して有効にすることができます。ExchangeServer が認証メカニズムとして有効になっていない場合、メールボックス サーバーは SMTP セッションの送信サーバーに X-ANONYMOUSTLS をアドバタイズしないため、証明書の読み込みが妨けられます。

    注:

    AuthMechanism プロパティが ExchangeServer の値に設定されていない場合は、Set-ReceiveConnector コマンドを使用して、受信コネクタの AuthMechanism プロパティを値 ExchangeServer に設定できます。

  3. Microsoft Exchange は Active Directory サービスにクエリを実行して、サーバー上の証明書の拇印を取得します。 サーバー オブジェクトの msExchServerInternalTLSCert 属性には、証明書の拇印が格納されます。

    • msExchServerInternalTLSCert 属性を読み取ることができない場合、または値が null の場合、Microsoft Exchange は X-ANONYMOUSTLS をアドバタイズせず、証明書は読み込まれません。

      • msExchServerInternalTLSCert 属性を読み取ることができない場合は、次のコマンドを実行して、msExchServerInternalTLSCert 属性の現在の値を表示できます。

        Get-TransportService -Identity <Mailbox Server Name> | ft InternalTransportCertificateThumbprint

      • msExchServerInternalTLSCert 属性の値が null の場合は、内部トランスポート証明書として使用する証明書に SMTP サービスを割り当てる/再割り当てすることで、その値を更新できます。 SMTP サービスを割り当て/再割り当てするには、次のコマンドを実行します。

        Enable-ExchangeCertificate -thumbprint <Certificate thumbprint> -Services SMTP

        注:

        Enable-ExchangeCertificate コマンドの詳細については、「Enable-ExchangeCertificate」を参照してください。

    • msExchServerInternalTLSCert 属性を読み取ることができない場合、または SMTP セッション中ではなく、Microsoft Exchange トランスポート サービスの起動時に値が null の場合は、イベント ID 12012 がアプリケーション ログに記録されます。

  4. 拇印が見つかった場合、証明書の選択プロセスでは、ローカル コンピューターの証明書ストアで拇印と一致する証明書が検索されます。 証明書が見つからない場合、サーバーは X-ANONYMOUSTLS をアドバタイズせず、証明書は読み込まれず、 イベント ID 12013 はアプリケーション ログに記録されます。

  5. 証明書ストアから証明書が読み込まれた後、有効期限が切れているかどうかを確認します。 証明書の [有効] フィールドは、現在の日付と時刻と比較されます。 証明書の有効期限が切れている場合、 イベント ID 12015 はアプリケーション ログに記録されます。 ただし、証明書の選択プロセスは失敗せず、 AnonymousTLS をアドバタイズします。

    重要

    証明書の有効期限が切れている場合は、証明書の選択プロセスの失敗または正常な完了に関係なく、証明書を更新する必要があります。 証明書を更新する方法については、「Exchange Server証明書の更新」を参照してください。

詳細

他の TLS シナリオで証明書を選択する方法の詳細については、次の記事を参照してください。