クライアント アクセスの SSL について

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-04-06

SSL (Secure Sockets Layer) は、クライアントとサーバーの間の通信をセキュリティで保護するための方法です。クライアント アクセス サーバーの役割がインストールされた、Microsoft Exchange Server 2007 を実行しているコンピュータの場合、サーバーとクライアントの間の通信をセキュリティで保護するために SSL が使用されます。クライアントには、モバイル デバイス、組織のネットワーク内部のコンピュータ、および組織のネットワーク外部のコンピュータが含まれます。これには、仮想プライベート ネットワーク (VPN) 接続を使用するクライアントと使用しないクライアントが含まれます。

既定では、Exchange 2007 をインストールした場合、Microsoft Office Outlook Web Access、Microsoft Exchange ActiveSync、および Outlook Anywhere を使用するときに、SSL を使用してクライアント通信が暗号化されます。既定では、POP3 (Post Office Protocol Version 3) と IMAP4 (インターネット メッセージ アクセス プロトコル Version 4 rev1) は、SSL を使用して通信するように構成されていません。

SSL では、デジタル証明書を使用する必要があります。ここでは、さまざまな種類のデジタル証明書の概要と、クライアント アクセス サーバーでこれらの種類のデジタル証明書を使用するように構成する方法について説明します。

デジタル証明書の概要

デジタル証明書は、ユーザーやコンピュータの身元を確認するオンライン パスワードのような働きをする電子ファイルです。デジタル証明書は、クライアント通信で使用される SSL 暗号化チャネルを作成するために使用されます。証明書は、証明機関 (CA) によって発行されるデジタル ステートメントです。証明機関は証明書の保有者の身元を保証し、当事者が暗号化を使用して安全な方法で通信できるようにします。

デジタル証明書は次の 2 つの働きをします。

• 証明書の保有者 (ユーザー、Web サイト、さらにルーターなどのネットワーク リソースまで) の身元が正しいことを証明します。
• オンラインでやり取りされるデータの盗用や改ざんを防止します。

デジタル証明書は、信頼されているサード パーティ CA または Microsoft Windows 公開キー基盤 (PKI) によって証明書サービスを使用して発行してもらうことも、自己署名入りの証明書を作成することもできます。証明書の種類によって、それぞれ長所と短所があります。どの種類のデジタル証明書にも改ざん防止策が施されており、偽造することはできません。

証明書はさまざまな目的で使用するために発行できます。これには、Web ユーザー認証、Web サーバー認証、S/MIME (Secure/Multipurpose Internet Mail Extensions)、インターネット プロトコル セキュリティ (IPsec)、トランスポート層セキュリティ (TLS)、およびコード署名などがあります。

証明書には公開キーが含まれ、その公開キーを対応する秘密キーを保持するユーザー、コンピュータ、またはサービスの ID に結び付けます。公開キーと秘密キーは、送信される前のデータを暗号化するために、クライアントとサーバーで使用されます。Microsoft Windows ベースのユーザー、コンピュータ、およびサービスの場合、CA の信頼は、信頼されたルート証明書ストアにルート証明書のコピーがあり、証明書に有効な証明のパスが含まれているときに確立されます。証明書が有効であるためには、証明書が取り消されたり、有効期限が切れたりしていないことが必要です。

証明書の種類

デジタル証明書には、大きく分けて、自己署名入り証明書、Windows PKI で生成された証明書、およびサード パーティ証明書の 3 種類があります。

自己署名入りの証明書

Exchange 2007 をインストールすると、自己署名入りの証明書が自動的に構成されます。自己署名入りの証明書は、証明書を作成したアプリケーションによって署名されます。証明書のサブジェクトと名前が一致します。発行者とサブジェクトが証明書で定義されています。自己署名入りの証明書によって、クライアント プロトコルで通信に SSL を使用できます。Exchange ActiveSync および Outlook Web Access では、自己署名入りの証明書を使用して SSL 接続を確立できます。Outlook Anywhere では、自己署名入りの証明書を処理できません。自己署名入りの証明書は、クライアント コンピュータまたはモバイル デバイス上の信頼されたルート証明書ストアに手動でコピーする必要があります。クライアントが SSL 経由でサーバーに接続し、サーバーが自己署名入りの証明書を提示する場合、クライアントはその証明書が信頼された機関によって発行されていることを確認するよう求められます。クライアントは、明示的に発行元の機関を信頼する必要があります。クライアントが続行すると、SSL 通信を続行できます。

小規模な組織でサード パーティ証明書を使用したり、独自の PKI をインストールして独自の証明書を発行したりすることはあまりありません。コストがかかることや、管理者が独自の証明書階層を作成する知識と経験を持たないことがその理由です。自己署名入りの証明書を使用すると、コストは最小限で済み、セットアップも簡単です。その一方で、自己署名入りの証明書を使用する場合、証明書のライフサイクル管理、更新、信頼管理、および失効のインフラストラクチャの確立がはるかに難しくなります。

Windows 公開キー基盤証明書

2 つめの種類の証明書は、Windows PKI によって生成された証明書です。PKI は、公開キー暗号を使用して、電子トランザクションにかかわる各当事者の正当性を確認および認証するデジタル証明書、証明機関 (CA)、および登録機関 (RA) のシステムです。Active Directory ディレクトリ サービスを使用する組織で CA を実装すると、証明書のライフサイクル管理、更新、信頼管理、および失効のインフラストラクチャが実現します。ただし、Windows PKI によって生成された証明書を作成および管理するには、サーバーとインフラストラクチャの展開にある程度の追加コストがかかります。

Windows PKI を展開するには証明書サービスが必要であり、コントロール パネルの [プログラムの追加と削除] を使用してインストールできます。証明書サービスは、ドメイン内の任意のサーバーにインストールできます。

ドメインに参加している Windows CA から証明書を取得する場合は、CA を使用して証明書の要求または署名を行い、ネットワーク上のサーバーやコンピュータに発行することができます。これにより、サード パーティ証明書ベンダと同じような PKI を、低コストで使用できます。これらの PKI 証明書は、他の種類の証明書のように公に展開することはできませんが、PKI CA が秘密キーを使用して要求者の証明書に署名すると、要求者が検証されます。この CA の公開キーは、証明書の一部になっています。信頼されたルート証明書ストアにこの証明書を持つサーバーは、その公開キーを使用して要求者の証明書を解読し、要求者を認証することができます。

PKI によって生成された証明書を展開する手順は、自己署名入りの証明書を展開する手順と似ています。Microsoft Exchange への SSL 接続を確立できるようにするコンピュータまたはモバイル デバイスの信頼されたルート証明書ストアに、信頼されたルート証明書のコピーを PKI からインストールする必要があります。

Windows PKI によって、組織では独自の証明書を発行できます。クライアントは、内部ネットワークの Windows PKI に証明書を要求して受け取ることができます。Windows PKI では、証明書を更新したり、取り消したりすることができます。

詳細については、以下のトピックを参照してください。

• 証明書の詳細については、Windows Server 2003 の公開キー基盤に関するページを参照してください (このサイトは英語の場合があります)。
• Windows PKI を実装するためのベスト プラクティスの詳細については、Microsoft Windows Server 2003 公開キー基盤を実装するためのベスト プラクティスに関するページを参照してください (このサイトは英語の場合があります)。
• Windows ベースの PKI を展開する方法の詳細については、Windows Server 2003 PKI 運用ガイドのページを参照してください (このサイトは英語の場合があります)。

信頼されたサード パーティ証明書

サード パーティ (商用) 証明書は、サード パーティ (商用) CA によって生成される証明書で、購入してネットワーク サーバーで使用することができます。自己署名入りの証明書および PKI ベースの証明書の 1 つの問題は、証明書がクライアント コンピュータやモバイル デバイスによって自動的に信頼されないために、クライアント コンピュータやデバイスの信頼されたルート証明書ストアに証明書をインポートする必要があることです。サード パーティ (商用) 証明書には、このような問題はありません。ほとんどの商用 CA 証明書は、信頼されたルート証明書ストアに既に存在しているため、信頼された状態になっています。発行者が信頼されているので、証明書も信頼されます。サード パーティ証明書を使用すると、展開が大幅に簡略化されます。

大規模な組織や、証明書を公に展開する必要がある組織では、証明書に付随するコストこそ発生するものの、サード パーティ (商用) 証明書を使用するのが最良の方法です。小規模および中規模な組織では、商用証明書が最良の方法ではない場合があるため、それ以外のいずれかの証明書オプションを選択することもあります。

証明書の種類の選択

インストールする証明書の種類を選択するときには、いくつかの項目を検討する必要があります。有効な証明書は署名されている必要があります。自己署名されている場合と、CA によって署名されている場合があります。自己署名入りの証明書には制限事項があります。たとえば、すべてのモバイル デバイスで、信頼されたルート証明書ストアにデジタル証明書をインストールできるわけではありません。モバイル デバイスに証明書をインストールできるかどうかは、モバイル デバイスの製造元およびモバイル通信事業者によって異なります。製造元やモバイル通信事業者によっては、信頼されたルート証明書ストアへのアクセスを無効にしている場合があります。この場合、自己署名入り証明書も Windows PKI CA からの証明書もモバイル デバイスにインストールできません。

ほとんどのモバイル デバイスには、信頼されたサード パーティの商用証明書がプレインストールされています。ユーザーに快適な操作性を提供するには、Windows Mobile 6.0 を実行するデバイスと、サード パーティ CA からのデジタル証明書を使用して、Exchange ActiveSync の証明書ベースの認証を実装します。

詳細情報

詳細については、以下のトピックを参照してください。

• クライアント アクセス サーバーの SSL の管理
• クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する方法
• Windows Mobile 搭載デバイスに証明書をインストールする方法
• SSL が使用されるように Outlook Web Access 仮想ディレクトリを構成する方法

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。