次の方法で共有


ドメイン セキュリティの使用相互 TLS の構成

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2009-12-07

ここでは、Microsoft Exchange Server 2010 および Microsoft Office Outlook 2007 の一連の機能である、ドメイン セキュリティのための相互 TLS を構成して、S/MIME およびその他のメッセージレベルのセキュリティ ソリューションに対して比較的低コストな代替方法を提供する方法について説明します。

このシナリオのために、ここでは、Contoso という架空の企業の Exchange 管理者が、パートナーである Woodgrove 銀行と、ドメインのセキュリティで保護された電子メールを交換するように、Exchange 2010 環境を構成する方法を説明します。Contoso 管理者は、Woodgrove 銀行と送受信する電子メールはすべて相互 TLS で確実に保護されるようにしたいと考えています。また、相互 TLS を使用できない場合、Woodgrove 銀行と送受信する電子メールはすべて拒否されるようにドメイン セキュリティ機能を構成したいとも考えています。

Contoso は、証明書を生成する内部公開キー基盤 (PKI) を持っています。PKI のルート証明書は、主要な第三者の認証機関 (CA) によって署名されています。Woodgrove 銀行は、同じ第三者 CA を使用して、証明書を生成します。したがって、Contoso と Woodgrove 銀行は相手のルート CA を信頼しています。

相互 TLS を設定するために、Contoso の Exchange 管理者は次の手順を実行します。

手順 1:TLS 証明書のための証明書要求を生成する

手順 2:証明書をエッジ トランスポート サーバーにインポートする

手順 3:送信ドメイン セキュリティを構成する

手順 4:受信ドメイン セキュリティを構成する

手順 5:ドメインのセキュリティで保護されたメール フローのテスト

前提条件

  • このトピックは、読者が既に「サード パーティ証明書サービスに対する要求を生成する」を読んで理解していることを前提としています。

  • MicrosoftExchange EdgeSync サービスは、ドメイン セキュリティのために完全に展開されている必要があります。通常は、ExchangeCertificate コマンドレットを使用しないドメイン セキュリティ機能に対して行われる構成の変更は組織内で行い、MicrosoftExchange EdgeSync サービスを使用してエッジ トランスポート サーバーと同期します。

  • エッジ トランスポート サーバーで相互 TLS を正常に実行できるようにする前に、証明書の検証と証明書失効リストのチェックが有効になるように、コンピューターと PKI 環境を構成しておく必要があります。詳細については、「ドメイン エッジ トランスポート サーバーでドメイン セキュリティに PKI を使用する」を参照してください。

  • このシナリオ内の個々の構成手順では、エンド ツー エンドのシナリオ タスク全体を実行するための権限は少なくなりますが、アカウントを "Organization Management/組織の管理" 役割グループのメンバーにする必要があります。

手順 1:TLS 証明書のための証明書要求を生成する

Contoso には、サードパーティ CA の下位の内部 PKI があります。このシナリオでは、下位とは、Contoso が自身の企業インフラストラクチャに展開している CA に、公的な第三者 CA によって署名されたルート証明書が含まれていることを指します。既定では、公的な第三者 CA は、Microsoft Windows 証明書ストアにある信頼されたルート証明書の 1 つです。したがって、信頼されたルート ストアに同じ第三者 CA が含まれ、Contoso に接続するクライアントは、Contoso が提示する証明書によって認証を受けることができます。

Contoso には、mail1.contoso.com と mail2.mail.contoso.com という、TLS 証明書が必要な 2 つのエッジ トランスポート サーバーがあります。したがって、Contoso の電子メール管理者は、各サーバーに 1 つずつ、2 つの証明書要求を生成する必要があります。

次の例では、管理者が Base64 で符号化された PKCS#10 証明書要求の生成に使用するコマンドを示します。

Contoso 管理者は、CN=mail1.contoso.com の場合、このコマンドを実行する必要があります。

$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1

Contoso 管理者は、CN=mail2.mail.contoso.com の場合、このコマンドを実行する必要があります。

$Data2 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail2" -SubjectName "DC=com,DC=Contoso,CN=mail2.mail.contoso.com"  -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail2-request.req" -Value $Data2

構文およびパラメーターの詳細については、「New-ExchangeCertificate」を参照してください。

重要

作成する証明書または証明書の要求の具体的な詳細は、多くの変数に依存します。要求を生成している場合、証明書を発行する CA または PKI 管理者と緊密に連携して作業するようにしてください。TLS の証明書の要求を作成する方法の詳細については、「サード パーティ証明書サービスに対する要求を生成する」を参照してください。

ページのトップへ

手順 2:証明書をエッジ トランスポート サーバーにインポートする

Contoso 管理者が証明書要求を生成した後で、Contoso の CA 管理者はその要求を使用してサーバーの証明書を生成します。生成された証明書は、単一の証明書または証明書チェーンとして発行され、適切なエッジ トランスポート サーバーにコピーされる必要があります。

重要

Microsoft 管理コンソール (MMC) で証明書マネージャー スナップインを使用して、TLS の証明書を Exchange サーバーにインポートしないでください。証明書マネージャー スナップインを使用して証明書を Exchange サーバーにインポートしても、この手順で作成される要求は発行済みの証明書にはバインドされません。そのため、TLS は失敗する可能性があります。 .pfx ファイルとして保存される証明書およびキーは、証明書マネージャー スナップインを使用してローカル コンピューター ストアにインポートすることができます。

証明書をエッジ トランスポート サーバーにインポートするときは、SMTP サービスの証明書も有効にする必要があります。Contoso 管理者は、各エッジ トランスポート サーバー上で、各証明書に 1 回ずつ次のコマンドを実行します。

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

前出の例は、証明書を Enable-ExchangeCertificate コマンドレットにパイプライン処理することによって、TLS 証明書をインポートして有効にします。また、インポートした後で証明書を有効にすることもできます。これを行うと、有効にする証明書の拇印を指定することが必要になります。

構文およびパラメーターの詳細については、「Import-ExchangeCertificate」および「Enable-ExchangeCertificate」を参照してください。

証明書および関連するキーのトランスポート

PKI または CA プロバイダーから証明書を受信したら、災害対策の一環としてバックアップできるように、発行された証明書を .pfx (PKCS#12) ファイルに変換します。.pfx ファイルには、証明書および関連するキーが含まれます。証明書とキーをトランスポートして別のコンピューターに移動することが必要な場合もあります。たとえば、ドメインのセキュリティで保護された電子メールを送受信する複数のエッジ トランスポート サーバーがある場合、すべてのサーバーで機能する 1 つの証明書を作成できます。この場合、各エッジ トランスポート サーバーに TLS の証明書をインポートして有効にする必要があります。

.pfx ファイルのコピーを安全な場所にアーカイブして保存する限り、証明書をいつでもインポートして有効にすることができます。.pfx ファイルには秘密キーが含まれるので、安全な場所の記憶装置に保存することで、物理的にファイルを保護することが重要です。

Import-ExchangeCertificate コマンドレットは常に .pfx ファイルからの秘密キーをエクスポート不可としてマークします。この機能は意図的なものです。

MMC で証明書マネージャー スナップインを使用して .pfx ファイルをインポートする場合、秘密キーをエクスポート可能にして、強力なキー保護を指定することができます。

重要

TLS 用の証明書に対しては強力なキー保護を有効にしないでください。強力なキー保護を有効にすると、秘密キーにアクセスするたびにプロンプトが表示されます。ドメイン セキュリティを使用する場合、ユーザーはエッジ トランスポート サーバー上の SMTP サービスです。

ページのトップへ

手順 3:送信ドメイン セキュリティを構成する

送信ドメイン セキュリティを構成するには、次の 3 つの手順を実行する必要があります。

  1. Set-TransportConfig コマンドレットを実行して、ドメインのセキュリティで保護された電子メールを送信するために使用するドメインを指定します。

  2. Set-SendConnector コマンドレットを実行して、ドメインのセキュリティで保護された電子メールを送信するために使用するドメインにメールを送信する送信コネクタの DomainSecureEnabled プロパティを設定します。

  3. Get-SendConnector コマンドレットを実行して、以下のことを確認します。

    • ドメインのセキュリティで保護された電子メールを送信するために使用するドメインにメールを送信する送信コネクタが、DNS (ドメイン ネーム システム) を使用してメールをルーティングしている。

    • ドメイン セキュリティに使用する証明書のサブジェクト名またはサブジェクトの別名と一致させるために、FQDN が設定されている。

これらの 3 つの手順で行う変更はグローバルなので、変更は内部の Exchange サーバー上で行う必要があります。構成に加えた変更は、MicrosoftExchange EdgeSync サービスを使用して、エッジ トランスポート サーバーにレプリケートされます。

手順 3a:トランスポート構成の送信側ドメインを指定する

ドメインのセキュリティで保護された電子メールを送信するために使用するドメインを指定することは、比較的簡単です。Contoso 管理者は、内部の Exchange 2010 サーバーで次のコマンドを実行します。

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

TLSSendDomainSecureList パラメーターには、ドメイン名を複数値の一覧で指定できます。Set-TransportConfig コマンドは、TLSSendDomainSecureList のすべての値を、コマンドレットで指定された新しい値に置き換えます。そのため、その他のドメインを既に構成しており、新しいドメインを追加する場合は、既存のドメインを一覧に追加するか、一時変数を使用する必要があります。次の例は、既存の値を上書きせずに woodgrovebank.com ドメインを TLSSendDomainSecureList パラメーターに追加する方法を示します。

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSSendDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSSendDomainSecureList $TransportConfig.TLSSendDomainSecureList

構文およびパラメーターの詳細については、「Set-TransportConfig」を参照してください。

手順 3b:既定の送信コネクタを構成する

Contoso は、既定の DNS ルーティングの対象となる Internet という名前の送信コネクタを使用して、ドメインのセキュリティで保護された電子メールをパートナーに送信します。既定の DNS ルーティングの対象となる送信コネクタは既定のインターネット送信コネクタなので、スマート ホストではなく、DNS を使用してメールがルーティングされます。FQDN は、既に mail.contoso.com に設定されています。Contoso 管理者が作成した証明書は、New-ExchangeCertificateDomainName パラメーターを mail.contoso.com に設定しているので、送信コネクタは、追加の構成なしで証明書を使用することができます。

テスト用のサブドメインを構成している場合は、作成した証明書と一致するように、送信コネクタの FQDN を更新することが必要な場合があります (subdomain.mail.contoso.com など)。一方、"サブジェクト" または "サブジェクトの別名" フィールドにサブドメインを含む証明書を作成した場合は、送信コネクタの FQDN を更新する必要はありません。

したがって、Contoso 管理者が送信コネクタに対して行う必要のある構成は、DomainSecureEnabled パラメーターの設定のみです。この設定を行うには、Contoso 管理者は、インターネット送信コネクタ用の内部の Exchange 2010 サーバーで次のコマンドを実行します。

Set-SendConnector Internet -DomainSecureEnabled:$true

構文およびパラメーターの詳細については、「Set-SendConnector」を参照してください。

手順 3c:送信コネクタ構成を確認する

構成変更を完了した後に、Contoso 管理者は、ドメイン セキュリティ用に使用している送信コネクタをが適切に構成されていることを確認する必要があります。このためには、Contoso 管理者が次のコマンドを実行する必要があります。

Get-SendConnector Internet | Format-List Name,DNSRoutingEnabled,FQDN,DomainSecureEnabled

このコマンドは、ドメイン セキュリティ用に構成された関連パラメーターを一覧表示して、Contoso 管理者が構成を確認できるようにします。

構文およびパラメーターの詳細については、「Get-SendConnector」を参照してください。

ページのトップへ

手順 4:受信ドメイン セキュリティを構成する

受信ドメイン セキュリティを構成するには、次の 2 つの手順を実行する必要があります。

  1. Set-TransportConfig コマンドレットを実行して、ドメインのセキュリティで保護された電子メールの送信元であるドメインを指定します。

  2. エッジ トランスポート サーバーで、Exchange 管理シェルまたは Exchange 管理コンソール (EMC) を使用して、ドメインのセキュリティで保護された電子メールの送信元である受信コネクタのドメイン セキュリティを有効にします。ドメイン セキュリティには、相互 TLS 認証が必要なので、受信コネクタの TLS も有効にする必要があります。

手順 4a:トランスポート構成の受信者ドメインを指定する

ドメインのセキュリティで保護された電子メールを受信するために使用するドメインを指定することは、比較的簡単です。ドメインを指定するには、Contoso 管理者は、内部の Exchange 2010 サーバーまたは管理ワークステーション上のシェルで、次のコマンドを実行します。

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

TLSReceiveDomainSecureList パラメーターには、ドメイン名を複数値の一覧で指定できます。Set-TransportConfig コマンドは、TLSReceiveDomainSecureList パラメーターのすべての値を Set-TransportConfig コマンドレットで指定された新しい値に置き換えます。そのため、その他のドメインを既に構成しており、新しいドメインを追加する場合は、既存のドメインを一覧に追加するか、一時変数を使用する必要があります。次の例は、既存の値を上書きせずに woodgrovebank.com ドメインを TLSReceiveDomainSecureList パラメーターに追加する方法を示します。

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSReceiveDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSReceiveDomainSecureList $TransportConfig.TLSReceiveDomainSecureList

構文およびパラメーターの詳細については、「Set-TransportConfig」を参照してください。

手順 4b:受信コネクタを構成する

ドメインのセキュリティで保護された電子メールの送信元であるドメインからのメールを受け付ける、各エッジ トランスポート サーバーに受信コネクタを構成する必要があります。Contoso 環境は、両方のエッジ トランスポート サーバーに、Internet という Identity パラメーター値の、単一のインターネット受信コネクタを持つように構成されます。したがって、Woodgrove 銀行とのメールを送受信するときに TLS を有効にするには、Contoso 管理者は、両方のエッジ トランスポート サーバーの既定のインターネット受信コネクタで TLS が有効になっていることを確認する必要があります。このためには、Contoso 管理者が次のコマンドを mail1.contoso.com と mail2.mail.contoso.com の両方に実行します。

Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS

構文およびパラメーターの詳細については、「Set-ReceiveConnector」を参照してください。

また、次の手順で、EMC を使用して受信コネクタを構成することもできます。

  1. エッジ トランスポート サーバーで、EMC を開き、[エッジ トランスポート] をクリックします。次に、結果ウィンドウの [受信コネクタ] タブをクリックします。

  2. ドメインのセキュリティで保護された電子メールの送信元となるドメインからのメールを受け付ける受信コネクタ、この場合はコネクタ Internet を選択し、次に、操作ウィンドウの [プロパティ] をクリックします。

  3. [認証] タブで、[トランスポート層セキュリティ (TLS)][ドメイン セキュリティを有効にする (相互認証 TLS)] を選択し、[OK] をクリックします。

認証機構に TLS を指定しても、TLS は必ずしもすべての受信接続に適用されるわけではないことに注意してください。

TLS は、次の理由から、Woodgrove 銀行からの接続に適用されます。

  • Woodgrove 銀行は、Set-TransportConfig コマンドレットの TLSReceiveDomainSecureList パラメーターで指定されている。

  • DomainSecureEnabled パラメーターが受信コネクタで $true に設定されている。

Set-TransportConfig コマンドレットの TLSReceiveDomainSecureList パラメーターに指定されていないその他の送信者は、送信側システムが TLS をサポートしている場合は、TLS のみを使用することになります。

ページのトップへ

手順 5:ドメインのセキュリティで保護されたメール フローのテスト

ドメインのセキュリティで保護された電子メールを構成した後は、パフォーマンス ログとプロトコル ログを確認して、接続をテストすることができます。メッセージは、ドメインのセキュリティで保護されたメール フロー パス経由で正常に認証されると、Outlook にドメインのセキュリティで保護されているメッセージとして表示されます。

パフォーマンス カウンター

ドメイン セキュリティ機能としては、[MSExchange セキュリティで保護されたメール トランスポート] にある、次の一連のパフォーマンス カウンターが挙げられます。

  • ドメインのセキュリティで保護された受信メッセージ数

  • ドメインのセキュリティで保護された送信メッセージ数

  • ドメインのセキュリティで保護された送信セッションのエラー数

これらのパフォーマンス カウンターを使用して、ドメインのセキュリティで保護されたメール フロー用の新しいカウンター ログ ファイルを作成し、送受信したメッセージ数を監視したり、失敗した相互 TLS セッションを監視したりすることもできます。カウンター ログを作成して構成する方法の詳細については、[パフォーマンス ログと警告] MMC スナップインに含まれているヘルプ ファイルを参照してください。

プロトコル ログ

送信と受信のプロトコル ログを確認して、TLS ネゴシエーションが正常に実行されたかどうかを判断することができます。

詳細なプロトコル ログを表示するには、組織がドメインのセキュリティで保護された電子メールの送受信に使用するコネクタ上でプロトコルのログ出力レベルを Verbose に設定する必要があります。これを行うには、Contoso 管理者は両方のエッジ トランスポート サーバーで以下を実行します。

Set-ReceiveConnector Internet -ProtocolLoggingLevel Verbose

送信コネクタ上でプロトコル ログ出力を有効にするには、Contoso 管理者が内部の Exchange サーバーまたは管理ワークステーション上で以下を実行します。構成変更は、Microsoft Exchange EdgeSync サービスを使用して、エッジ トランスポート サーバーにレプリケートされます。

Set-SendConnector Internet -ProtocolLoggingLevel Verbose

構文およびパラメーターの詳細については、「Set-ReceiveConnector」および「Set-SendConnector」を参照してください。

プロトコル ログを参照する方法の詳細については、「プロトコル ログ出力を構成する」を参照してください。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.