PKI の計画での一般的な考慮事項
Exchange 2003 ベースのメッセージ セキュリティ システムの一部として実装する電子メール クライアントや PKI の詳細にかかわらず、展開を計画する場合にすべての PKI 管理者が検討する必要のある一般的な考慮事項がいくつかあります。PKI 管理者は、デジタル証明書と Active Directory 属性に関連する問題を理解している必要があります。
デジタル証明書と Active Directory 属性
Exchange 2003 ベースの S/MIME システムで使用できる Microsoft 電子メール クライアントは、デジタル証明書の格納域に Active Directory を使用する必要があります。その他の電子メール クライアントは、LDAP インターフェイス経由で Active Directory を使用するように構成できます。これらの各種の電子メール クライアントで Active Directory を効果的に使用するには、デジタル証明書を格納するために Active Directory でどういう属性が使用できるかを理解している必要があります。PKI 管理者は、電子メール クライアント管理者に問い合わせ、その後で Active Directory にデジタル証明書を格納するための総合的な戦略を立案する必要があります。
デジタル証明書の格納域のために Active Directory で使用できる属性には、userCertificate と userSMIMECertificate の 2 つがあります。特定の電子メール クライアントがどちらの属性を使用し、有効なデジタル証明書を検索するためにどのよううな順序でこれらの属性に対してクエリを実行するかを理解している必要があります。この両方の属性に有効な証明書が含まれていると、別の電子メール クライアントが、同じユーザーについての異なるデジタル証明書を返す可能性があります。
.gif "important") 重要 : |
|---|
| Outlook と S/MIME Control を使用した Outlook Web Access は、デジタル証明書の検索を実行するときに、それぞれ異なる Active Directory 属性を最初に検索します。ユーザーの両方の Active Directory 属性に有効な証明書が含まれていると、そのユーザーが Outlook を使用した場合と、S/MIME Control を使用した Outlook Web Access を使用した場合とで異なる結果が得られます。詳細については、「Exchange Server 2003 での S/MIME のトラブルシューティング」を参照してください。 |
デジタル証明書の格納域にどの 1 つの属性を使用するかを判断し、その属性のみを使用する必要があります。多くの場合、この属性は userCertificate 属性になります。さらに、S/MIME をサポートするデジタル証明書を格納するための単一の Active Directory 属性を決定する時点で既に Active Directory 展開が存在している場合は、Active Directory の内容をチェックし、古いデジタル証明書や許可されていないデジタル証明書をすべて削除してください。これらの既存のデジタル証明書の検索および削除に使用できる Visual Basic® のサンプル スクリプトについては、「デジタル証明書のクリーンアップ スクリプト」を参照してください。
userCertificate 属性
Active Directory 内の userCertificate 属性 (X509 証明書とも呼ばれます) は、ユーザーに関連した DER Encoded X.509 v3 証明書を格納します。この属性は、Windows Server 2003 CA がそのユーザーのために発行した任意の証明書を公開する場所です。Windows Server 2003 を使用して S/MIME 証明書を生成する場合、これらの証明書はこの属性を検索すれば見つかります。この属性の内容は、Active Directory ユーザーとコンピュータでユーザー オブジェクトを調べるときに、[公開された証明書] タブで表示することができます。
この属性は Windows Server 2003 CA によって使用されますが、PKI を備えた他の証明書サーバーによって発行されたデジタル証明書を格納するためにも使用できます。userCertificate 属性は、PKI の一部として S/MIME が実装されている場合に優先される属性です。S/MIME は将来、さらに広範囲の PKI 展開で使用されるようになるため、この属性をデジタル証明書格納のための、優先される属性にする必要があります。
S/MIME Control を使用した Outlook Web Access は、組織の PKI を優先するために、この属性を最初に検索します。
userSMIMECertificate 属性
userSMIMECertificate 属性は、PKCS #7 形式のデジタル証明書を格納します。任意の X.509 v3 証明書を格納する userCertificate とは異なり、この属性は、S/MIME 証明書のみを格納するために特別に設計されました。この属性は、RFC 2798 で InetOrgPerson クラスの一部として指定されており、PKI の外部での S/MIME の使用を簡略化するものです。詳細については、「Definition of the inetOrgPerson LDAP Object Class」(英語) (http://www.ietf.org/rfc/rfc2798.txt) を参照してください。userSMIMECertificate は証明書だけでなく、完全な証明書チェーンも格納します。これによって、ユーザーは、発行元の PKI に直接アクセスしなくても証明書を検証できるようになります。
一般に、環境内でこの属性を使用することはありません。
この属性は、Active Directory ユーザーとコンピュータではアクセスできません。この属性にデジタル証明書を発行するには、Outlook の [グローバル アドレス一覧に発行] ボタンを使用します。この属性を使用しないことを決定している場合は、許可されていない不適切な証明書をユーザーが誤って Active Directory に公開しないようにするために、このボタンを無効にしてください。[グローバル アドレス一覧に発行] 機能とそれを無効にする方法の詳細については、「PKI での Outlook のサポート」を参照してください。