次の方法で共有


TLS の機能と関連用語

製品: Exchange Server 2013

Microsoft Exchange Server 2013 には管理機能とその他の拡張機能があり、トランスポート層セキュリティ (TLS) の全体的な管理性が改善されています。 この機能を使用するときは、いくつかの TLS 関連機能とその働きを理解しておく必要があります。 用語や概念の中には複数の TLS 関連機能に適用されるものがあります。 ここでは、TLS とドメイン セキュリティの一連の機能に関する相違点や一般的な用語を理解できるように各機能について簡単に説明します。

  • トランスポート層のセキュリティ: TLS は、インターネットまたはイントラネット上でセキュリティで保護された Web 通信を提供するために使用される標準プロトコルです。 TLS を使用すると、クライアントはサーバーを認証でき、オプションでサーバーがクライアントを認証できます。 また、通信の暗号化によってセキュリティで保護されたチャネルが提供されます。 TLS は最新バージョンの SSL (Secure Sockets Layer) プロトコルです。

  • 相互 TLS: TLS の相互認証は TLS とは異なります。TLS は通常デプロイされます。 通常、TLS を展開する場合は、暗号化の形式で機密性を提供するためにのみ使用されます。 送信者と受信者間の認証は行われません。 さらに、TLS を展開すると、場合によっては受信側サーバーのみが認証されます。 このような TLS の展開は、TLS の HTTP 実装の典型的な形です。 受信側サーバーのみが認証されるこのような実装が SSL です。

    相互 TLS 認証では、各サーバーは、別のサーバーによって提供された証明書を検証することでその他のサーバーの ID を確認します。 このシナリオの、Exchange 2013 環境で確認済みの接続を経由して外部ドメインから受信したメッセージについては、Microsoft Outlook では [ドメイン保護] アイコンが表示されます。

  • ドメイン セキュリティ: ドメイン セキュリティは、管理可能で便利なテクノロジとして相互 TLS を有効にする、証明書管理、コネクタ機能、Outlook クライアント動作などの一連の機能です。 Exchange 2013 クライアント アクセス サーバーで送信電子メールをルーティングするとき、ドメイン セキュリティはサポートされません。

  • Opportunistic TLS: Exchange 2013 では、セットアップによって自己署名証明書が作成されます。 TLS は既定で有効になっています。 これにより、送信側システムは、Exchange への受信 SMTP セッションを暗号化できます。 既定では、Exchange 2013 はすべてのリモート接続についても TLS の使用を試行します。

  • 直接信頼: 既定では、エッジ トランスポート サーバーとメールボックス サーバー間のすべてのトラフィックが認証され、暗号化されます。 さらに、認証と暗号化の基になるメカニズムは相互 TLS です。 Exchange 2013 は、X.509 検証を使用する代わりに、直接信頼を使用して証明書を認証します。 直接信頼とは、Active Directory または Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に証明書が存在することで証明書が検証されるという意味です。 Active Directory は、信頼されたストレージ メカニズムと見なされます。 直接信頼を使用する場合は、証明書が自己署名されているか、または証明機関によって署名されているかはどちらでもかまいません。 Exchange 組織にエッジ トランスポート サーバーをサブスクライブする場合、エッジ サブスクリプションが Active Directory でメールボックス サーバーの検証用にエッジ トランスポート サーバーの証明書を発行します。 Microsoft Exchange EdgeSync サービスは、エッジ トランスポート サーバーを検証するためのメールボックス サーバーの証明書セットを使用して AD LDS を更新します。