証明機関からのサーバー証明書の取得

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2012-10-03

証明機関 (CA) からサーバー証明書を取得できます。これは、SSL (Secure Sockets Layer) または TLS (Transport Layer Security) を構成するためのプロセスの手順の 1 つです。サード パーティ CA からサーバー証明書を取得できます。サード パーティ CA は、証明書を発行する前に、身元情報の証明の提供を求める場合があります。また、Microsoft 証明書サービスなどのオンライン CA を使用して独自のサーバー証明書を発行することもできます。

注意

Cryptography Next Generation (CNG) 証明書は MicrosoftExchange Server 2010 ではサポートされていません。

サーバー証明書の詳細については、Windows Server 2003 インターネット インフォメーション サービス (IIS) のドキュメントを参照してください。

注意

MicrosoftExchange Server 2010 には、既定の自己署名入りの SSL 証明書が含まれています。この証明書を証明機関からのサード パーティ証明書に置き換えることができます。そのためには、最初に自己署名入りの証明書を削除する必要があります。自己署名入りの証明書を置き換える方法の詳細については、「クライアント アクセス サーバーに SSL 証明書をインストールする」を参照してください。

SSL に関連する他の管理タスクについては、「クライアント アクセス サーバーの SSL の管理」を参照してください。

前提条件

重要

セキュリティに関するベスト プラクティスとしては、Administrators グループに含まれていないアカウントを使用してコンピューターにログオンし、runas コマンドを使用して管理者として IIS マネージャーを実行します。コマンド プロンプトで、runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc" を入力します。

シェルによる証明機関からのサーバー証明書の取得

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「クライアント アクセス許可」の「クライアント アクセス サーバーのセキュリティ設定」。

次のコードの例は、コマンド ライン コンソールへ証明書要求を Base64 形式で出力します。証明書要求を組織内の CA、組織外の信頼できる CA、または商用 CA へ送る必要があります。これは、証明書要求出力を電子メール メッセージまたは CA の証明書要求 Web ページの適切なフィールドに貼り付けることで可能です。メモ帳などのテキスト エディターを使用して証明書要求をファイルに保存することもできます。

作成される証明書には以下の属性が関連付けられます。

  • サブジェクト名: c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com

  • サブジェクトの別名: woodgrovebank.com および example.com

  • エクスポート可能な秘密キー

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable

選択した CA が指定する手順を使用して、CA に証明書要求を送信します。

 © 2010 Microsoft Corporation.All rights reserved.