ハイブリッド展開の証明書の要件について

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

デジタル証明書は社内 Exchange 組織と Microsoft Office 365 のサービス、他の社内 Exchange サーバー、クライアント間の通信を確保する重要な部分です。証明書により、あるエンティティは他のエンティティの ID を信頼できるようになります。これにより、クライアントやサーバーが適切なソースと通信できるようになります。

ハイブリッド展開では、いくつかのサービスで証明書が使用されます。

  • Active Directory フェデレーション サービス (AD FS)   信頼できる第三者証明機関 (CA) によって発行された証明書を使用して、Web クライアントとフェデレーション サーバー プロキシ間の信頼を確立し、セキュリティ トークンに署名し、セキュリティ トークンを復号化します。

    詳細情報:「証明書 (英語の場合があります)

  • Exchange フェデレーション   自己署名証明書は社内のハイブリッド用の展開に構成された用に構成されている Exchange Server 2010 サーバー (つまり、「ハイブリッド サーバー」) 用の Service Pack 3 (SP3) と Microsoft フェデレーション ゲートウェイとの間に安全な接続を確立するために使用されます。

    詳細情報:フェデレーション委任について

  • Exchange サービス   信頼された第三者証明機関 (CA) によって発行された証明書を使用して、Exchange サーバーとクライアント間の Secure Sockets Layer (SSL) 通信のセキュリティを強化します。証明書を使用するサービスには、Outlook Web App、Exchange ActiveSync、Outlook Anywhere、およびメッセージ トランスポートがあります。

  • 既存の Exchange サーバー   既存の Exchange サーバーが、Outlook Web App 通信、メッセージ トランスポートなどをセキュリティで保護するために証明書を使用する可能性があります。 Exchange サーバーでの証明書の使用方法に応じて、自己署名証明書、または信頼されている第三者 CA によって発行された証明書を使用できます。

    詳細情報:デジタル証明書と SSL について

ハイブリッド展開での証明書要件

ハイブリッド展開を構成するときには、証明書を構成する必要があります。証明書は、信頼できる第三者 CA から購入する必要があります。AD FS、Exchange 2010 フェデレーション、Exchange 2010 サービス、および Exchange などの複数のサービスは、それぞれが証明書を必要とします。 組織に応じて、次のいずれかの方針を選択できます。

  • 複数のサーバーにわたって、すべてのサービスで使用される第三者証明書を使用する。

  • サービスを提供するサーバーごとに第三者証明書を使用する。

すべてのサービスで同じ証明書を使用するのか、または各サービス専用の証明書を使用するのかは、組織および実装するサービスによって異なります。 各オプションについて、いくつかの検討事項があります。

  • 複数のサーバーにまたがった第三者証明書   複数のサーバーにまたがってサービスで使用される第三者証明書は、若干安価に入手できるものの、更新と交換が煩雑になることがあります。 証明書の置換が必要な場合、証明書がインストールされた各サーバーの証明書を置換する必要があるため、煩雑となります。

  • 各サーバーに第三者証明書   サービスをホストする各サーバーに専用証明書を使用することにより、そのサーバー上のサービス専用の証明書を構成できます。 証明書を置換したり更新が必要な場合、証明書の置換が必要なのはサービスがインストールされたサーバーだけです。 他のサーバーは影響を受けません。

AD FS サーバーには専用第三者証明書、ハイブリッド サーバー上の Exchange サービスには別の証明書、そして必要に応じて、自分の Exchange サーバーには別の証明書を使用するようお勧めします。既定では、フェデレーション委任の一部として構成された社内のフェデレーション信頼は、自己署名入りの証明書を使用します特定の要件がない限り、フェデレーション委任の一部として構成されたフェデレーション信頼で第三者証明書を使用する必要はありません。

単一サーバー上にインストールされたサービスにより、そのサーバーに複数の完全修飾ドメイン名 (FQDN) の構成が必要となる場合があります。必要となる FQDN 数に対応した証明書を購入します。証明書は、サブジェクト、プリンシパル、名前、および 1 つまたは複数のサブジェクトの別名 (SAN) から構成されます。サブジェクト名は、証明書の発行対象である FQDN です。 SAN は、サブジェクト名に加えて証明書に追加可能な追加 FQDN です。 5 個の FQDN をサポートする証明書が必要な場合、5 個のドメインを追加可能な証明書を購入する必要があります (1 つのサブジェクト名と 4 つの SAN)。

サービス サーバー FQDNの例

Active Directory フェデレーション サービス (AD FS) (AD FS の構成を選択した場合)

ADFS

sts.contoso.com

自動検出

ハイブリッド サーバー

autodiscover.contoso.com

トランスポート

ハイブリッド サーバー

Exchange 2010 SP3 ハイブリッドサーバーの外部 FQDN と一致するラベル (hybrid.contoso.com など)。

Outlook Anywhere

ハイブリッド サーバー

Exchange 2010 SP3 ハイブリッド サーバーの内部 FQDN と一致するラベル (Ex2010.corp.contoso.com など)。

Exchange 2010 SP3 ハイブリッド サーバーの内部ホスト名と一致するラベル (Ex2010 など)。

Outlook Web App (Exchange 2010)

ハイブリッド サーバー

owa.contoso.com

Outlook Web App(既存の Exchange サーバー)

既存 Exchange サーバー

既存の Exchange サーバーの外部 FQDN と一致するラベル (mail.contoso.com など)。

 © 2010 Microsoft Corporation.All rights reserved.