送信匿名 TLS 証明書の選択
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-04-25
送信匿名 TLS (トランスポート層セキュリティ) 証明書は、次の場合に選択します。
- エッジ トランスポート サーバーとハブ トランスポート サーバーの間の SMTP (簡易メール転送プロトコル) セッションの認証
- ハブ トランスポート サーバー間での公開キーのみを使用する SMTP セッションの暗号化
ハブ トランスポート サーバー間の通信でセッションを暗号化するためには、匿名 TLS および証明書の公開キーを使用します。ただし、次の認証は Kerberos 認証です。SMTP セッションが確立されると、受信側のサーバーが証明書選択プロセスを開始し、TLS ネゴシエーションで使用する証明書を決定します。また、その受信サーバーは、証明書選択プロセスを開始するだけでなく実行します。その処理の詳細については、「受信匿名 TLS 証明書の選択」を参照してください。
ここでは、送信匿名 TLS 証明書の選択プロセスについて説明します。この手順はすべて送信サーバーで行われます。次の図は、このプロセスの手順を示しています。
注 : |
---|
証明書の初回読み込み時における送信証明書選択プロセスは、エッジ トランスポート サーバーの役割とハブ トランスポート サーバーの役割では異なります。次の図は、各サーバーの役割の開始ポイントを示しています。 |
ハブ トランスポート サーバーからの送信
ハブ トランスポート サーバーまたはエッジ トランスポート サーバーからの SMTP セッションが確立されると、証明書を読み込むためのプロセスが呼び出されます。
証明書の読み込みプロセスは、SMTP セッションがハブ トランスポート サーバーから開始されたかエッジ トランスポートから開始されたかによって異なります。
ハブ トランスポート サーバーの場合 次の条件を満たしているかどうかが確認されます。- セッションの接続先の送信コネクタを確認し、SmartHostAuthMechanism プロパティが
ExchangeServer
用に構成されているかどうかを調べます。送信コネクタの SmartHostAuthMechanism プロパティは、Set-SendConnector コマンドレットで設定できます。また、指定した送信コネクタの [スマート ホスト認証設定の構成] ページで [Exchange Server 認証] を選択して、SmartHostAuthMechanism プロパティをExchangeServer
に設定することもできます。[スマート ホスト認証設定の構成] ページを開くには、送信コネクタのプロパティ ページの [ネットワーク] タブで [変更] をクリックします。 - メッセージの DeliveryType プロパティを確認し、そのプロパティが
SmtpRelayWithinAdSitetoEdge
に設定されているかどうかを調べます。DeliveryType プロパティを表示するには、書式設定引数 (| FL
) を指定して Get-Queue コマンドレットを実行します。
上記の両方の条件を満たす必要があります。ExchangeServer
が認証メカニズムとして有効になっていない場合、または DeliveryType プロパティがSmtpRelayWithinAdSitetoEdge
に設定されていない場合、匿名 TLS は使用されず、証明書も読み込まれません。両方の条件を満たしている場合にのみ、証明書選択プロセスは手順 3. に進みます。
エッジ トランスポート サーバーの場合 次の条件を満たしているかどうかが確認されます。 - セッションの接続先の送信コネクタを確認し、SmartHostAuthMechanism プロパティが
ExchangeServer
用に構成されているかどうかを調べます。このトピックで既に説明したように、送信コネクタの SmartHostAuthMechanism プロパティは、Set-SendConnector コマンドレットを使って設定できます。また、指定した送信コネクタの [スマート ホスト認証設定の構成] ページで [Exchange Server 認証] を選択して、SmartHostAuthMechanism プロパティをExchangeServer
に設定することもできます。[スマート ホスト認証設定の構成] ページを開くには、送信コネクタのプロパティ ページの [ネットワーク] タブで [変更] をクリックします。 - セッションの接続先の送信コネクタで、SmartHost アドレス スペースのプロパティに "- -" が含まれているかどうかが確認されます。
上記の両方の条件を満たす必要があります。ExchangeServer
が認証メカニズムとして有効になっていない場合、またはアドレス スペースに "- -" が含まれていない場合、匿名 TLS は使用されず、証明書も読み込まれません。両方の条件を満たしている場合にのみ、証明書選択プロセスは手順 3. に進みます。
- セッションの接続先の送信コネクタを確認し、SmartHostAuthMechanism プロパティが
Microsoft Exchange は Active Directory ディレクトリ サービスに照会し、サーバーにある証明書の拇印を取得します。証明書の拇印は、サーバー オブジェクト上の msExchServerInternalTLSCert 属性にあります。
msExchServerInternalTLSCert を読み取ることができない場合、または値がnull
の場合は、SMTP セッションで X-ANONYMOUSTLS が通知されず、証明書も読み込まれません。注 : msExchServerInternalTLSCert 属性が読み取られないか、その値が null
である場合、SMTP セッションのときではなく Microsoft Exchange Transport サービスの起動時に、イベント ID 12012 がアプリケーション ログに記録されます。拇印が見つかった場合、証明書選択プロセスでは、その拇印に一致する証明書をローカル証明書ストアで検索します。証明書が見つからない場合、サーバーは X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。また、イベント ID 12013 がアプリケーション ログに記録されます。
証明書ストアから証明書が読み込まれた後、有効期限内かどうかの確認があります。証明書の Valid to フィールドが、現在の日付と時刻に比較されます。証明書が有効期限切れである場合、イベント ID 12015 がアプリケーションログに記録されます。ただし、証明書選択プロセスが失敗するわけではなく、残りのチェックを続けます。
証明書は、それがローカル コンピュータの証明書ストアで最新のものであるかどうかを確認されます。この確認の一環として、証明書ドメインの可能性のあるドメイン リストが作成されます。このドメイン リストは次のコンピュータ構成に基づいています。
- mail.contoso.com などの完全修飾ドメイン名 (FQDN)
- EdgeServer01 などのホスト名
- EdgeServer01.contoso.com などの物理 FQDN
- EdgeServer01 などの物理ホスト名
注 : サーバーがクラスタとして、または Microsoft Windows 負荷分散を実行するコンピュータ用に構成されている場合、DnsFullyQualifiedDomainName 設定ではなく、次のレジストリ キーが調べられます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName
ドメイン一覧の構築後、証明書選択プロセスは証明書ストアで検索を実行し、FQDN が一致する証明書をすべて表示します。証明書選択プロセスでは、このリストから対象になる証明書のリストを識別します。証明書は、次の条件を満たしている必要があります。
- 証明書が X.509 version 3 またはそれ以降。
- 証明書が秘密キーに関連付けられている。
- "サブジェクト" フィールドまたは "サブジェクトの別名" フィールドに、手順 6. で取得した FQDN が含まれる。
- 証明書が SSL (Secure Sockets Layer) または TLS の使用に対して有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、証明書が SMTP サービスに対して有効になっている。
対象になる証明書から、次の順序で最も適した証明書が選択されます。
- 最新の Valid from の日付によって対象になる証明書を並べ替えます。Valid from は、証明書の Version 1 フィールドです。
- このリストで最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。
- 有効な PKI 証明書が見つからない場合、最初の自己署名入りの証明書が使用されます。
最も適した証明書が決定された後、別のチェックが行われ、拇印が msExchServerInternalTLSCert 属性に格納されている証明書と一致するかどうかが判断されます。証明書が一致すれば、その証明書が X-AnonymousTLS 通知に使用されます。一致しない場合、イベント ID 1037 がアプリケーションログに記録されます。ただし、これによって X-AnonymousTLS が失敗することはありません。
詳細情報
他の TLS シナリオでどのように証明書が選択されるかの詳細については、次のトピックを参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。