受信匿名 TLS 証明書の選択

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2011-01-19

受信 匿名トランスポート層セキュリティ (TLS) 証明書の選択は、次のシナリオで発生します。

  • エッジ トランスポート サーバーとハブ トランスポート サーバーの間の SMTP (簡易メール転送プロトコル) セッションの認証
  • ハブ トランスポート サーバー間での公開キーのみを使用する SMTP セッションの暗号化

ハブ トランスポート サーバー間の通信でセッションを暗号化するためには、匿名 TLS および証明書の公開キーを使用します。ただし、次の認証は Kerberos 認証です。SMTP セッションが確立されると、受信側のサーバーが証明書選択プロセスを開始し、TLS ネゴシエーションで使用する証明書を決定します。送信側のサーバーも証明書選択プロセスを実行します。その処理の詳細については、「送信匿名 TLS 証明書の選択」を参照してください。

このトピックでは、受信匿名 TLS 証明書の選択プロセスについて説明します。すべての手順を受信側サーバーで実行します。次の図は、このプロセスの手順を示しています。

受信匿名 TLS 証明書の選択

  1. SMTP セッションが確立されると、Microsoft Exchange で証明書を読み込むプロセスが呼び出されます。

  2. 証明書読み込み機能では、セッションの接続されている受信コネクタがチェックされ、AuthMechanism プロパティが ExchangeServer に設定されているかどうかが確認されます。受信コネクタの AuthMechanism プロパティは、Set-ReceiveConnector コマンドレットを使用して設定できます。また、AuthMechanism プロパティを ExchangeServer に設定することは、受信コネクタの [認証] タブで [Exchange Server 認証] を選択することによっても可能です。
    ExchangeServer が認証機構として有効化されない場合、サーバーは SMTP セッションの送信側サーバーに X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。ExchangeServer が認証機構として有効化されると、証明書選択プロセスは次の手順に進みます。

  3. Microsoft Exchange は Active Directory ディレクトリ サービスに照会し、サーバーにある証明書の拇印を取得します。証明書の拇印は、サーバー オブジェクト上の msExchServerInternalTLSCert 属性にあります。
    msExchServerInternalTLSCert 属性が読み取られないか、その値が null である場合、Microsoft Exchange は X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。

    note注 :
    msExchServerInternalTLSCert 属性が読み取られないか、その値が null である場合、SMTP セッションのときではなく Microsoft Exchange Transport サービスの起動時に、イベント ID 12012 がアプリケーション ログに記録されます。

  4. 拇印が見つかった場合、証明書選択プロセスでは、その拇印に一致する証明書をローカル証明書ストアで検索します。証明書が見つからない場合、サーバーは X-ANONYMOUSTLS を通知せず、証明書は読み込まれません。また、イベント ID 12013 がアプリケーション ログに記録されます。

  5. 証明書ストアから証明書が読み込まれた後、有効期限内かどうかの確認があります。証明書の Valid to フィールドが、現在の日付と時刻に比較されます。証明書が有効期限切れである場合、イベント ID 12015 がアプリケーションログに記録されます。ただし、証明書選択プロセスが失敗するわけではなく、残りのチェックを続けます。

  6. 証明書は、それがローカル コンピュータの証明書ストアで最新のものであるかどうかを確認されます。この確認の一環として、証明書ドメインの可能性のあるドメイン リストが作成されます。このドメイン リストは次のコンピュータ構成に基づいています。

    • mail.contoso.com などの完全修飾ドメイン名 (FQDN)
    • EdgeServer01 などのホスト名
    • EdgeServer01.contoso.com などの物理 FQDN
    • EdgeServer01 などの物理ホスト名
    note注 :
    サーバーがクラスタとして、または Microsoft Windows 負荷分散を実行するコンピュータ用に構成されている場合、DnsFullyQualifiedDomainName 設定ではなく、次のレジストリ キーが調べられます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName

  7. ドメイン リストが作成された後、証明書選択プロセスでは、一致する FQDN のある証明書ストアで、すべての証明書が検索されます。証明書選択プロセスでは、このリストから対象になる証明書のリストを識別します。証明書は、次の条件を満たしている必要があります。

    • 証明書が X.509 version 3 またはそれ以降。
    • 証明書が秘密キーに関連付けられている。
    • "サブジェクト" フィールドまたは "サブジェクトの別名" フィールドに、手順 6. で取得した FQDN が含まれる。
    • 証明書が SSL (Secure Sockets Layer) または TLS の使用に対して有効になっている。具体的には、Enable-ExchangeCertificate コマンドレットの使用によって、証明書が SMTP サービスに対して有効になっている。

  8. 対象になる証明書から、次の順序で最も適した証明書が選択されます。

    • 最新の Valid from の日付によって対象になる証明書を並べ替えます。Valid from は、証明書の Version 1 フィールドです。
    • このリストで最初に見つかった有効な公開キー基盤 (PKI) 証明書が使用されます。
    • 有効な PKI 証明書が見つからない場合、最初の自己署名入りの証明書が使用されます。

  9. 最も適した証明書が決定された後、別のチェックが行われ、拇印が msExchServerInternalTLSCert 属性に格納されている証明書と一致するかどうかが判断されます。証明書が一致すれば、その証明書が X-AnonymousTLS 通知に使用されます。一致しない場合、イベント ID 1037 がアプリケーションログに記録されます。ただし、これによって X-AnonymousTLS が失敗することはありません。

詳細情報

他の TLS シナリオでどのように証明書が選択されるかの詳細については、次のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。