モバイル デバイスのセキュリティと Exchange 2007

  • [アーティクル]

 

トピックの最終更新日: 2008-01-23

Microsoft Exchange Server 2007 では、クライアントと Exchange サーバー間のセキュリティ向上のために SSL (Secure Sockets Layer) が使用されます。既定では、Exchange ActiveSync、Office Outlook Web Access、および Outlook Anywhere で SSL が使用されます。POP3 および IMAP4 を有効にすると、それらのプロトコルにも SSL を構成できます。

Exchange ActiveSync で SSL を使用するには、クライアント アクセス サーバーと使用するモバイル デバイスの両方で SSL 証明書が必要になります。クライアント アクセス サーバーの役割を実行している Exchange 2007 コンピュータに SSL 証明書をインストールするのは簡単です。ただし、モバイル デバイスに SSL 証明書をインストールする方法は多少難しく、必ずしもすべてのデバイスであらゆる種類の証明書がサポートされているわけではありません。SSL を使用してモバイル デバイスとクライアント アクセス サーバー間の通信を暗号化することに加えて、Exchange ActiveSync の証明書ベースの認証ではデジタル証明書を使用することができます。ここでは、SSL 証明書を使用して、モバイル デバイスと Exchange サーバー間の Exchange ActiveSync 通信のセキュリティを向上させる方法について説明します。また、認証に SSL を使用する暗号化とデジタル証明書を使用する暗号化の違いについても説明します。

SSL と証明書ベースの認証の比較

デジタル証明書には主に 2 つの用途があります。1 つは、クライアントとサーバー間の通信チャネルの暗号化です。もう 1 つは認証です。

デジタル証明書を使用してクライアントとサーバー間の通信チャネルの暗号化を行うと、データが送信される前にサーバーの証明書の公開キーによって暗号化が行われます。クライアントがデータを受信すると、クライアントの秘密キーによってデータが解読されます。

認証は、クライアントおよびサーバーがデータを送信するために識別情報を検証するプロセスです。Exchange 2007 では、Exchange サーバーとの通信を求めているユーザーまたはクライアントの身元が主張されているとおりの身元かどうかを、認証を使用して判断します。認証を使用して、デバイスが特定の個人に属していることを確認できます。既定では、Exchange ActiveSync は基本認証を使用します。ただし、Exchange ActiveSync 仮想ディレクトリで認証方法を変更することで、認証方法を証明書ベースの認証に変更することができます。証明書ベースの認証の詳細については、「ActiveSync の認証方法の選択」を参照してください。

クライアント アクセス サーバーへの SSL 証明書のインストール

既定では、Exchange 2007 を実行しているコンピュータにクライアント アクセス サーバーの役割をインストールするときに、Exchange サーバー上の既定のインターネット インフォメーション サービス (IIS) Web サイトに Exchange ActiveSync の仮想ディレクトリが作成されます。

Microsoft-Server-ActiveSync 仮想ディレクトリは、SSL を使用するように自動的に構成されます。この設定は変更しないことをお勧めします。既定では、自己署名入りの SSL 証明書はクライアント アクセス サーバーにインストールされています。ただし Exchange ActiveSync では、モバイル デバイスと Exchange サーバー間の通信を暗号化するために、この自己署名入りの証明書を使用することはできません。Exchange ActiveSync で SSL を使用できるようにするには、Windows 公開キー基盤 (PKI) ベースの証明書、または信頼されたサード パーティ証明書をインストールして構成する必要があります。

Exchange ActiveSync で SSL を使用するように構成する方法

Exchange ActiveSync で SSL を使用するためにクライアント アクセス サーバーで実行する必要のある手順は、サーバーに SSL 証明書をインストールするために従う必要のある手順のみです。これらの手順は、信頼されたサード パーティ証明書を使用するか Windows PKI 証明書を使用するかによって、わずかに異なります。Windows PKI 証明書を構成する方法、または信頼されたサード パーティから証明書を取得する方法の詳細については、「クライアント アクセス サーバーの SSL について」を参照してください。

Exchange ActiveSync クライアントで SSL を使用するように構成する方法

Windows PKI 証明書または信頼されたサード パーティ証明書の取得に加えて、Exchange ActiveSync クライアント デバイスで SSL を使用するように構成する必要があります。Exchange ActiveSync では、Exchange 2007 への接続に自己署名入りの証明書を使用することはサポートしていません。モバイル デバイスでは、完全な証明書チェーン全体でデジタル証明書を検証できる必要があります。証明書チェーンは、最終証明書によって特定された対象の証明に必要とされるすべての証明書から構成されます。これには、最終証明書、中間証明機関の証明書、およびルート証明書が含まれています。チェーン内のすべての中間証明機関は、1 レベル上位の証明機関によって発行された証明書を保持しています。自己署名入りの証明書は、完全な証明書チェーンでは検証できません。

Exchange ActiveSync で Windows PKI 証明書を使用できるようにするには、デバイスの個人用証明書ストア内のデジタル証明書のインストールが可能なデバイスが必要です。Windows Mobile 6.0 のデバイスではこの機能がサポートされています。しかしその他のデバイスではサポートされていません。使用しているデバイスで証明書のインストールがサポートされているかどうかを確認するには、デバイスのドキュメントを参照してください。

Exchange ActiveSync では、信頼されたサード パーティ証明書を使用することをお勧めします。Windows Mobile デバイスには、信頼されたルート証明書ストアに最も一般的な信頼されたサード パーティ証明書がいくつかプレインストールされています。信頼されたサード パーティ証明書がモバイル デバイスにプレインストールされていない場合は、そのデバイスで証明書のインストールがサポートされているかどうかを確認する必要があります。

Windows Mobile デバイスに SSL 証明書のコピーをインストールする必要がある場合は、以下の手順を実行します。

証明書をファイルに保存するには、次の操作を行います。

  1. クライアント アクセス サーバーの IIS マネージャで、[既定の Web サイト] または Microsoft-Server-ActiveSync 仮想ディレクトリを右クリックして、[プロパティ] をクリックします。

  2. [ディレクトリ セキュリティ] タブをクリックします。

  3. [セキュリティで保護された通信][証明書の表示] をクリックします。

  4. [証明書] ダイアログ ボックスで、[詳細] タブをクリックします。

  5. [ファイルへコピー] をクリックします。

  6. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  7. [いいえ、秘密キーをエクスポートしません] を選択し、[次へ] をクリックします。

  8. [DER encoded binary X.509 (.CER)] を選択し、[次へ] をクリックします。

  9. ファイル名を入力し、[次へ] をクリックします。次に、[完了] をクリックします。

証明書をファイルに保存したら、そのファイルをデバイスにインストールできます。デバイスに証明書をインストールする手順は、デバイスのオペレーティング システムによって異なります。デバイスのオペレーティング システムに対応する手順を選択してください。

Windows Mobile デバイス センターを使用して、Windows Mobile 5.0 または 6.0 のデバイスに証明書をインストールするには、次の操作を行います。

  1. Windows Mobile デバイス センターで、[ファイル管理] をクリックし、[デバイスのコンテンツの参照] をクリックします。

  2. 前の手順で作成された .cer ファイルを、デバイスのフォルダにドラッグします。

  3. デバイスで、[スタート] ボタンをクリックし、[ファイル エクスプローラ] をクリックします。

  4. 手順 2. で選択したフォルダに移動します。

  5. .cer ファイルを開き、確認を求められたら [はい] をクリックします。

多くの Windows Mobile 5.0 デバイスでは、証明書ファイルを .cer ファイルから直接インストールできないようにするセキュリティ ポリシーが実装されています。前の手順が失敗した場合、次の手順を使用します。

SmartPhoneAddCert ツールを使用して Windows Mobile 5.0 デバイスに証明書をインストールするには、次の操作を行います。

  1. SmartPhoneAddcert.exe ツールをダウンロードします (このサイトは英語の場合があります)。

    note注 :
    モバイル通信事業者によっては、このツールの署名済みバージョンが用意されている場合があります。お使いのデバイスに署名済みバージョンが用意されている場合は、モバイル通信事業者からその署名済みバージョンをダウンロードします。

  2. SmartPhoneAddCert.exe を実行して、コンピュータのフォルダにコンテンツを抽出します。

  3. デスクトップ ActiveSync または Windows Mobile デバイス センター (このサイトは英語の場合があります) を使用して、デバイスに SmartPhoneAddCert.exe をコピーします。

  4. デバイス上に、Storage という名前のフォルダを作成します。

  5. デバイスの Storage フォルダに .cer ファイルをコピーします。

  6. SmartPhoneAddCert.exe を実行します。Storage フォルダにコピーした .cer ファイルを選択し、証明書をインストールします。

note注 :
.cer ファイルを含んだ .cab ファイルを作成している場合、この .cab ファイルをデバイスにコピーし, .cab ファイルを実行して証明書をインストールすることもできます。

詳細情報

Exchange 2007 と同期する際にモバイル デバイスを構成する方法、および Windows Mobile デバイスで SSL を構成する方法の詳細については、Windows Mobile デバイス センターを参照してください (このサイトは英語の場合があります)。