STARTTLS 証明書エラー 12014 のトラブルシューティング方法

  • [アーティクル]

 

適用先: Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-05-23

ここでは、イベント 12014 のトラブルシューティングを行う方法について説明します。イベント 12014 は、STARTTLS で使用する証明書の読み込み中に問題が発生したことを示す警告イベントです。通常、この問題は、次のいずれかまたは両方の状況が当てはまる場合に発生します。

  • 警告イベントで指定された完全修飾ドメイン名 (FQDN) が、Microsoft Exchange Server 2007 トランスポート サーバーの受信コネクタまたは送信コネクタで定義されています。また、"サブジェクト" または "サブジェクトの別名" フィールドに含まれている FQDN と同じコンピュータに、証明書がインストールされていません。
  • サード パーティの証明書またはカスタム証明書がサーバーにインストールされています。また、この証明書に一致する FQDN が含まれています。ただし、簡易メール転送プロトコル (SMTP) サービスに対して、証明書が有効ではありません。

トランスポート層セキュリティ (TLS) 機能では、コンピュータの個人用証明書ストアに有効な証明書がインストールされている必要があります。

開始する前に

この手順を実行するには、使用するアカウントに次の役割が委任されている必要があります。

  • Get-ExchangeCertificate コマンドレットを実行するには、Exchange 表示専用管理者の役割
  • New-ExchangeCertificate コマンドレットまたは Enable-ExchangeCertificate コマンドレットを実行するには、対象サーバーの Exchange Server 管理者の役割およびローカルの Administrators グループ

エッジ トランスポート サーバーの役割がインストールされているコンピュータでこれらのコマンドレットを実行するには、そのコンピュータのローカルの Administrators グループのメンバであるアカウントを使用してログオンする必要があります。

Exchange 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。

手順

この警告イベントを解決するには

  1. Exchange サーバーにインストールされている証明書の構成と、サーバーにインストールされているすべての受信コネクタおよび送信コネクタの構成を調べます。構成を表示するには、以下のコマンドを使用します。

    Get-ExchangeCertificate | FL *
Get-ReceiveConnector | FL name, fqdn, objectClass
Get-SendConnector | FL name, fqdn, objectClass
    note注 :
    インストールされている証明書に対して有効化されているサービスを表示するには、Get-ExchangeCertificate コマンドレットで FL 引数を実行する際に、アスタリスク (*) を使用する必要があります。タスクのパラメータで * を指定しなければ、サービスの値は表示されません。

    コマンドを実行し、警告イベントで返された FQDN を、各コネクタで定義されている FQDN や、各証明書で定義されている CertificateDomains の値と比較します。CertificateDomains の値は、証明書の "サブジェクト" フィールドと "サブジェクトの別名" フィールドを連結したものです。

    この目的は、TLS を使用している各コネクタが、証明書の CertificateDomains の値にコネクタの FQDN が含まれている対応する証明書を持っていることを確認することです。TLS 用に有効化されているものの、証明書の CertificateDomains の値にコネクタの FQDN が含まれた対応する証明書がないコネクタがあれば、メモしておきます。

    各証明書で Services の値を調べます。TLS 用の証明書を使用する場合は、Services の値に SMTP を使用する SMTP サービスに対して有効にする必要があります。

  2. CertificateDomains パラメータのリストに FQDN が含まれていない場合は、新しい証明書を作成し、この警告メッセージで返されたコネクタの FQDN を指定する必要があります。New-ExchangeCertificate コマンドレットを使用して証明書を作成できます。サード パーティの証明書やカスタム証明書を使用することもできます。証明書要求を生成するには、New-ExchangeCertificate コマンドレットを使用します。詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。

  3. サード パーティの証明書またはカスタム証明書がサーバーにインストールされている場合、証明書に一致する FQDN が含まれているものの、SMTP サービスに対して有効化されていないときは、SMTP サービスに対して証明書を有効にする必要があります。詳細については、「Enable-ExchangeCertificate」を参照してください。

詳細情報

詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。