送信匿名 TLS 証明書の選択

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-04-25

送信匿名 TLS (トランスポート層セキュリティ) 証明書は、次の場合に選択します。

• エッジ トランスポート サーバーとハブ トランスポート サーバーの間の SMTP (簡易メール転送プロトコル) セッションの認証
• ハブ トランスポート サーバー間での公開キーのみを使用する SMTP セッションの暗号化

ハブ トランスポート サーバー間の通信でセッションを暗号化するためには、匿名 TLS および証明書の公開キーを使用します。ただし、次の認証は Kerberos 認証です。SMTP セッションが確立されると、受信側のサーバーが証明書選択プロセスを開始し、TLS ネゴシエーションで使用する証明書を決定します。また、その受信サーバーは、証明書選択プロセスを開始するだけでなく実行します。その処理の詳細については、「受信匿名 TLS 証明書の選択」を参照してください。

ここでは、送信匿名 TLS 証明書の選択プロセスについて説明します。この手順はすべて送信サーバーで行われます。次の図は、このプロセスの手順を示しています。

注 :
証明書の初回読み込み時における送信証明書選択プロセスは、エッジ トランスポート サーバーの役割とハブ トランスポート サーバーの役割では異なります。次の図は、各サーバーの役割の開始ポイントを示しています。

ハブ トランスポート サーバーからの送信

1. ハブ トランスポート サーバーまたはエッジ トランスポート サーバーからの SMTP セッションが確立されると、証明書を読み込むためのプロセスが呼び出されます。

2. 証明書の読み込みプロセスは、SMTP セッションがハブ トランスポート サーバーから開始されたかエッジ トランスポートから開始されたかによって異なります。
   ハブ トランスポート サーバーの場合     次の条件を満たしているかどうかが確認されます。

   1. セッションの接続先の送信コネクタを確認し、SmartHostAuthMechanism プロパティが ExchangeServer 用に構成されているかどうかを調べます。送信コネクタの SmartHostAuthMechanism プロパティは、Set-SendConnector コマンドレットで設定できます。また、指定した送信コネクタの [スマート ホスト認証設定の構成] ページで [Exchange Server 認証] を選択して、SmartHostAuthMechanism プロパティを ExchangeServer に設定することもできます。[スマート ホスト認証設定の構成] ページを開くには、送信コネクタのプロパティ ページの [ネットワーク] タブで [変更] をクリックします。
   2. メッセージの DeliveryType プロパティを確認し、そのプロパティが SmtpRelayWithinAdSitetoEdge に設定されているかどうかを調べます。DeliveryType プロパティを表示するには、書式設定引数 (| FL) を指定して Get-Queue コマンドレットを実行します。
      上記の両方の条件を満たす必要があります。ExchangeServer が認証メカニズムとして有効になっていない場合、または DeliveryType プロパティが SmtpRelayWithinAdSitetoEdge に設定されていない場合、匿名 TLS は使用されず、証明書も読み込まれません。両方の条件を満たしている場合にのみ、証明書選択プロセスは手順 3. に進みます。
      エッジ トランスポート サーバーの場合     次の条件を満たしているかどうかが確認されます。
   3. セッションの接続先の送信コネクタを確認し、SmartHostAuthMechanism プロパティが ExchangeServer 用に構成されているかどうかを調べます。このトピックで既に説明したように、送信コネクタの SmartHostAuthMechanism プロパティは、Set-SendConnector コマンドレットを使って設定できます。また、指定した送信コネクタの [スマート ホスト認証設定の構成] ページで [Exchange Server 認証] を選択して、SmartHostAuthMechanism プロパティを ExchangeServer に設定することもできます。[スマート ホスト認証設定の構成] ページを開くには、送信コネクタのプロパティ ページの [ネットワーク] タブで [変更] をクリックします。
   4. セッションの接続先の送信コネクタで、SmartHost アドレス スペースのプロパティに "- -" が含まれているかどうかが確認されます。
      上記の両方の条件を満たす必要があります。ExchangeServer が認証メカニズムとして有効になっていない場合、またはアドレス スペースに "- -" が含まれていない場合、匿名 TLS は使用されず、証明書も読み込まれません。両方の条件を満たしている場合にのみ、証明書選択プロセスは手順 3. に進みます。

3. Microsoft Exchange は Active Directory ディレクトリ サービスに照会し、サーバーにある証明書の拇印を取得します。証明書の拇印は、サーバー オブジェクト上の msExchServerInternalTLSCert 属性にあります。
   msExchServerInternalTLSCert を読み取ることができない場合、または値が null の場合は、SMTP セッションで X-ANONYMOUSTLS が通知されず、証明書も読み込まれません。

   注 :
   msExchServerInternalTLSCert 属性が読み取られないか、その値が null である場合、SMTP セッションのときではなく Microsoft Exchange Transport サービスの起動時に、イベント ID 12012 がアプリケーション ログに記録されます。

4. 拇印が見つかった場合、証明書選択プロセスでは、その拇印に一致する証明書をローカル証明書ストアで検索します。証明書が見つからない場合、サーバーは X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。また、イベント ID 12013 がアプリケーション ログに記録されます。

5. 証明書ストアから証明書が読み込まれた後、有効期限内かどうかの確認があります。証明書の Valid to フィールドが、現在の日付と時刻に比較されます。証明書が有効期限切れである場合、イベント ID 12015 がアプリケーションログに記録されます。ただし、証明書選択プロセスが失敗するわけではなく、残りのチェックを続けます。

6. 証明書は、それがローカル コンピュータの証明書ストアで最新のものであるかどうかを確認されます。この確認の一環として、証明書ドメインの可能性のあるドメイン リストが作成されます。このドメイン リストは次のコンピュータ構成に基づいています。

   • mail.contoso.com などの完全修飾ドメイン名 (FQDN)
   • EdgeServer01 などのホスト名
   • EdgeServer01.contoso.com などの物理 FQDN
   • EdgeServer01 などの物理ホスト名

   注 :
   サーバーがクラスタとして、または Microsoft Windows 負荷分散を実行するコンピュータ用に構成されている場合、DnsFullyQualifiedDomainName 設定ではなく、次のレジストリ キーが調べられます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName

7. ドメイン一覧の構築後、証明書選択プロセスは証明書ストアで検索を実行し、FQDN が一致する証明書をすべて表示します。証明書選択プロセスでは、このリストから対象になる証明書のリストを識別します。証明書は、次の条件を満たしている必要があります。

   • 証明書が X.509 version 3 またはそれ以降。
   • 証明書が秘密キーに関連付けられている。
   • "サブジェクト" フィールドまたは "サブジェクトの別名" フィールドに、手順 6. で取得した FQDN が含まれる。
   • 証明書が SSL (Secure Sockets Layer) または TLS の使用に対して有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、証明書が SMTP サービスに対して有効になっている。

8. 対象になる証明書から、次の順序で最も適した証明書が選択されます。

   • 最新の Valid from の日付によって対象になる証明書を並べ替えます。Valid from は、証明書の Version 1 フィールドです。
   • このリストで最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。
   • 有効な PKI 証明書が見つからない場合、最初の自己署名入りの証明書が使用されます。

9. 最も適した証明書が決定された後、別のチェックが行われ、拇印が msExchServerInternalTLSCert 属性に格納されている証明書と一致するかどうかが判断されます。証明書が一致すれば、その証明書が X-AnonymousTLS 通知に使用されます。一致しない場合、イベント ID 1037 がアプリケーションログに記録されます。ただし、これによって X-AnonymousTLS が失敗することはありません。

詳細情報

他の TLS シナリオでどのように証明書が選択されるかの詳細については、次のトピックを参照してください。

• 受信匿名 TLS 証明書の選択
• 受信用 STARTTLS 証明書の選択
• Set-SendConnector
• Enable-ExchangeCertificate

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。