新しいExchange Server自己署名証明書を作成する

  • [アーティクル]

Exchange Serverをインストールすると、Exchange サーバー自体によって作成および署名された自己署名証明書がサーバーに自動的にインストールされます。 ただし、ユーザーが別の自己署名証明書を作成して使用することもできます。

自己署名証明書は、Exchange 管理センター (EAC) または Exchange 管理シェル で作成できます。

事前に必要な知識

  • 予想所要時間 : 5 分。

  • Exchange 自己署名証明書は、内部 Exchange サーバー間の通信を暗号化する場合に適していますが、クライアント、サーバー、サービスは Exchange 自己署名証明書を自動的に信頼しないため、外部接続の暗号化には適していません。 すべてのクライアント、サーバー、サービスによって自動的に信頼される商用証明機関の証明書要求 (証明書署名要求または CSR とも呼ばれます) を作成するには、「証明機関のExchange Server証明書要求を作成する」を参照してください。

  • New-ExchangeCertificate コマンドレットを使用して新しい自己署名証明書を作成すると、証明書の作成時に、その証明書を Exchange サービスに割り当てることができます。 Exchange サービスの詳細については、「Exchange Server サービスへの証明書の割り当て」を参照してください。

  • オンプレミスの Exchange 組織で Exchange 管理シェルを開く方法については、「 Open the Exchange Management Shell」をご覧ください。

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「クライアント とモバイル デバイスのアクセス許可 」トピックの「クライアント アクセス サービスのセキュリティ」エントリを参照してください。

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange Server、Exchange Online、Exchange Online Protection。 必要な作業 シェルを使用して送信者フィルターを有効または無効にする

EAC を使用して新しい Exchange 自己署名証明書を作成する

  1. EAC を開き、[サーバー証明書] に移動します>。

  2. [サーバーの選択] ボックスの一覧で、証明書をインストールする Exchange サーバーを選択し、[追加] アイコンをクリックします。

  3. [Exchange 証明書の新規作成] ウィザードが開きます。 [このウィザードでは新しい証明書または証明書要求ファイルを作成します] ページで、 [自己署名証明書を作成する] を選択し、 [次へ] をクリックします。

    メモ:証明機関の新しい証明書要求を作成するには、「証明機関のExchange Server証明書要求を作成する」を参照してください。

  4. [この証明書のフレンドリ名] ページで、証明書のわかりやすい名前を入力して、 [次へ] をクリックします。

  5. [この証明書を適用するサーバーの指定] ページで、[追加] アイコンをクリックします。

    [サーバーの選択] ページで、証明書をインストールする Exchange サーバーを選択し、 [追加 - >] をクリックします。 必要な回数だけこの手順を繰り返します。 サーバーの選択が完了したら、[OK] をクリック します

    完了したら、[次へ] をクリックします。

  6. [証明書に含めるドメインを指定します] ページは、基本的には、次の Exchange サービスの証明書で必要となる内部および外部のホスト名を判別するためのワークシートです。

    • Web 上の Outlook

    • オフライン アドレス帳の生成 (OAB)

    • Exchange Web サービス

    • Exchange ActiveSync

    • 自動検出

    • POP

    • IMAP

    • Outlook Anywhere

      場所 (内部または外部) に基づいて各サービスの値を入力する場合、ウィザードが、証明書で必要とされるホスト名を決定し、その情報が次のページで表示されます。 サービスの値を変更するには、[ 編集 ] (編集アイコン.) をクリックし、使用するホスト名の値を入力します (または、値を削除します)。 完了したら、[次へ] をクリックします。

      証明書に必要なホスト名の値が既に決まっている場合、このページに情報を入力する必要はありません。 代わりに、 [次へ] をクリックして次のページでホスト名を手動で入力します。

  7. 選択内容に基づいて、次のドメインが証明書ページに含まれ、自己署名証明書に含まれるホスト名が一覧表示されます。 The host name that's used in the certificate's Subject field is bold, which can be hard to see if that host name is selected. You can verify the host name entries that are required in the certificate based on the selections that you made on the previous page. Or, you can ignore the values from the last page and add, edit, or remove host name values.

    • SAN 証明書の場合、 Subject フィールドには 1 つの共通名 (CN) 値が依然として必要です。 証明書の Subject フィールドのホスト名を選択するには、 [共通名として設定] をクリックしてチェック マークを付けます。 対象の値が太字になります。

    • 1 つのホスト名の証明書が必要な場合は、一度に 1 つずつ他の値を選択し、[ 削除 ] (削除アイコン.) をクリックします。

      このページが終了したら、[完了] をクリック します

    注:

    • 証明書の Subject フィールドで使用されることになる太字のホスト名の値は削除できません。 削除するには、最初に、別のホスト名を選択または追加してから、 [共通名として設定] をクリックしてチェック マークを付けます。
    • このページで行った変更内容は、 [戻る] ボタンをクリックすると失われることがあります。

Exchange 管理シェル を使用して新しい Exchange 自己署名証明書を作成する

新しい Exchange 自己署名証明書を作成するには、次の構文を使用します。

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

この例では、ローカル Exchange サーバー上に次の設定を使用して自己署名証明書を作成します。

  • 件名: <ServerName>。 たとえば、Mailbox01 という名前のサーバーで コマンドを実行すると、値は になります Mailbox01
  • サブジェクトの別名: <ServerName>、 <サーバー FQDN>。 たとえば、「 Mailbox01, Mailbox01.contoso.com 」のように入力します。
  • フレンドリ名: Microsoft Exchange
  • サービス: POP、IMAP、SMTP。
New-ExchangeCertificate

この例では、ローカル Exchange サーバー上に次の設定を使用して自己署名証明書を作成します。

  • 件名: 値 が必要な CN=Exchange01Exchange01。 この値は DomainName パラメーター ( [サブジェクトの別名 ] フィールド) に自動的に含まれることに注意してください。
  • 追加のサブジェクトの別名:
    • mail.contoso.com
    • autodiscover.contoso.com
    • Exchange01.contoso.com
    • Exchange02.contoso.com
  • サービス: SMTP、IIS
  • フレンドリ名: Contoso Exchange 証明書
  • 秘密キーはエクスポート可能です。 これにより、サーバーから証明書をエクスポート (その後、他のサーバーでインポート) できます。
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

注:

  • X.500 SubjectName パラメーター値の必須部分 (証明書の サブジェクト フィールド) は CN=<HostNameOrFQDN>のみです。
  • 一部の Services パラメーター値では、警告メッセージまたは確認メッセージが生成されます。 詳細については、「Exchange Server サービスへの証明書の割り当て」を参照してください。
  • 詳細については、「New-ExchangeCertificate」を参照してください。

正常な動作を確認する方法

Exchange 自己署名証明書が正常に作成されたことを確認するには、次の手順のいずれかを実行します。

  • EAC の [サーバー証明書] > で、自己署名証明書を作成したサーバーが選択されていることを確認します。 対象の証明書は、証明書のリストで [状態] 値が [有効] となって表示されているはずです。

  • 自己署名証明書を作成したサーバーの Exchange 管理シェル で、次のコマンドを実行してプロパティを確認します。

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter