新しい Exchange 証明書の作成

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2011-03-19

クライアント アクセス サーバーの役割をインストール後、組織でのさまざまなサービス用に、SSL (Secure Sockets Layer) 証明書を作成する必要があります。

前提条件

クライアント アクセス サーバーの役割がインストールされています。

実行内容

  • EMC を使用して新しい Exchange 証明書を作成する

  • シェルを使用して新しい Exchange 証明書を作成する

EMC を使用して新しい Exchange 証明書を作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。

  1. コンソール ツリーで、[サーバーの構成] をクリックします。

  2. 操作ウィンドウで、[Exchange 証明書の新規作成] をクリックして Exchange 証明書の新規作成ウィザードを開きます。このウィザードを使用すると、Exchange 組織に必要な証明書の種類を簡単に決定できます。

  3. [概要] ページで、証明書のわかりやすい名前を入力します。

  4. [ドメイン スコープ] ページで、[ワイルドカードの証明書を有効にする] チェック ボックスをオンにします。ワイルドカードの証明書を作成して証明書をすべてのサブドメインに自動的に適用する場合は、ルート ドメインを入力します。

  5. ワイルドカードの証明書の作成を選択しなかった場合は、[Exchange 構成] ページを使用して、証明書でサポートする必要があるサービスとプロトコルを選択します。次のオプションから選択します。

    • フェデレーションの共有 この証明書をフェデレーションの共有で使用する場合は、[この証明書をフェデレーションの共有で使用する] チェック ボックスをオンにします。

    • クライアント アクセス サーバー (Outlook Web App) この証明書を Outlook Web App で使用する場合は、イントラネットまたはインターネット上で Outlook Web App の該当するチェック ボックスをオンにし、Outlook Web App へのアクセスに使用するドメイン名を入力します。

    • クライアント アクセス サーバー (Exchange ActiveSync) この証明書を Exchange ActiveSync で使用する場合は、[Exchange ActiveSync を有効にする] チェック ボックスをオンにし、Exchange ActiveSync へのアクセスに使用するドメイン名を入力します。

    • クライアント アクセス サーバー (Exchange Web サービス、Outlook Anywhere、および自動検出) この証明書を Exchange Web サービス、Outlook Anywhere、または自動検出サービスで使用するには、該当するチェック ボックスをオンにし、組織の外部ホスト名を入力します。自動検出サービスの場合は、通常の URL 形式を使用するか、短縮 URL 形式を使用するか、カスタム形式を使用するかを選択し、[自動検出の URL] ボックスに自動検出サービスの URL を完全パスで入力します。

    • クライアント アクセス サーバー (POP/IMAP) ユーザーがイントラネットおよびインターネット上で POP および IMAP を使用するかどうかを指定するには、このチェック ボックスをオンにします。POP および IMAP の両方で使用するドメイン名を入力します。

    • ユニファイド メッセージング サーバー ユニファイド メッセージングを使用する場合は、自己署名証明書を使用するかパブリック証明書を使用するかを選択します。Office Communications Server でユニファイド メッセージングを使用する場合は、必ずパブリック証明書を使用する必要があります。どちらを選択する場合も、ユニファイド メッセージング サーバーの完全修飾ドメイン名 (FQDN) を入力します。

    • ハブ トランスポート サーバー インターネット メールのセキュリティを高めるために相互 TLS を使用する場合や、POP および IMAP クライアントの送信用にハブ トランスポート サーバーを使用する場合は、ハブ トランスポート サーバーの FQDN を入力します。

    • 従来の Exchange サーバー 以前のバージョンの Exchange Server からのアップグレード中、一時的に共存シナリオでの運用を行う場合は、[従来のドメインを使用] をオンにし、従来のドメイン名を入力します。

  6. [証明書ドメイン] ページで、証明書に追加されるドメインの一覧を確認します。[追加] をクリックすると、別のドメインを追加できます。また、変更が必要な場合は一覧の中からドメインを 1 つクリックして、[編集] をクリックします。[共通名として設定] オプションを使用して、証明書の共通名にするドメインを 1 つ選択します。

  7. [組織と場所] ページで、Exchange 組織に関する情報を入力します。組織名、組織単位、場所情報 (国/地域、都道府県、市区町村など) を入力する必要があります。[証明書要求ファイルのパス] セクションの下の [参照] をクリックして証明書要求ファイルの場所を選択し、使用するファイル名を入力します。

  8. [証明書の完了] ページで、入力したすべての情報が正しいことを確認します。問題がなければ、[新規作成] をクリックします。

  9. [完了] ページで、一覧表示されている手順に従って要求を完了します。このページには、新しい証明書を作成するのに必要なコマンドレット構文も含まれています。

シェルを使用して新しい Exchange 証明書を作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。

次のコードの例は、コマンド ライン コンソールへ証明書要求を Base64 形式で出力します。証明書要求を組織内の証明機関 (CA)、組織外の信頼できる CA、または商用 CA へ送る必要があります。これは、証明書要求出力を電子メール メッセージまたは CA の証明書要求 Web ページの適切なフィールドに貼り付けることで可能です。メモ帳などのテキスト エディターを使用して証明書要求をファイルに保存することもできます。

作成される証明書には以下の属性が関連付けられます。

  • サブジェクト名: c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com

  • サブジェクトの別名: woodgrovebank.com および example.com

  • エクスポート可能な秘密キー

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable $true

 © 2010 Microsoft Corporation.All rights reserved.