自己署名SSL証明書の配布

自己署名SSL証明書の配布

始めに

MailStore Serverのインストール処理の中で、MailStoreコンポネントで暗号化通信が確立した際使用するSSL証明書が生成されます。証明書は、サーバー名を MailStoreServer としたもので、信頼できる第3者の認証局 (CA)から発行されたものではないため、クライアント側からは信頼できない証明書として扱われます。

 

このため、MailStoreへHTTPS (SSL)接続しようとすると、次のような画面が表示されます:

この文書では自己署名証明書をグループポリシーを使って配布する方法を説明しています。

自己署名証明書を使うようMailStore Serverとクライアント端末を設定するための手順は次の通りです。

自己署名証明書の作成

MailStore Serverのインストール処理の中で、サーバー名を MailStoreServer とした自己署名SSL証明書が生成されます。

サーバーのDNSホスト名が MailStoreServer ではなく、DNSサーバー上に一致するAレコードやCNAMEレコードも存在しない場合は、まず、正しいホスト名を使った自己署名証明書を作成する必要があります。これは次の手順で行います:

  • [スタート]メニューから[すべてのプログラム] ->[MailStore Server] ->[Coinfigure the MailStore Server Service]を起動します。
  •  IPアドレスとポートをクリックします。
  •  サーバ証明書 フィールドの隣にあるボタンをクリックし、 自己署名証明書の作成をクリックします。

  • 新しい証明書の名前として、MailStoreサーバーへ接続できるサーバー名を入力します。例: mailstore.mydomain.local その後 OKをクリックします。
  • 必要に応じて、余分な証明書を新しく作成した証明書と入れ替えます。証明書を入れ替える場合はサーバー証明書 フィールドの隣にあるボタンをクリックし 証明書ストアから選択...を選択します。

自己署名証明書の配布

自己署名証明書を配布する前に、証明書ストアからエクスポートする必要があります。次の手順に従って下さい:

  • 「Coinfigure the MailStore Server Service」を起動します。
  • IPアドレスとポートをクリックします。
  • 証明書をクリックします。
  •  詳細 タブをクリックします。
  •  ファイルへコピーをクリックします。
  • 証明書のエクスポートウィザードに従って証明書をエクスポートします。この時、DERでデコードされた秘密キーはファイルへ 含まないようにします。

証明書をエクスポートしたら次の通りグループポリシーを作成します:

  • Windowsサーバーの グループ・ポリシー・エディタ からグループポリシーオブジェクトを開きます。
  •  コンピューターの構成 > ポリシー > Windows設定 > セキュリティ設定 > 公開キーのポリシーと展開します。
  •  信頼されたルート証明書機関 を右クリックし インポート...を選択します。
  • 証明書のインポートウィザードに指示に従って、ファイルから証明書のインポートを行います。
  •  公開キーのポリシー の下にある 証明書サービス用クライアント - 自動割り当てを開きます。

  •  未構成 を 有効 へ変更し OKをクリックします。
  •  公開キーのポリシー の下にある 証明書パス検証の設定のプロパティを開きます。

  •  これらのポリシーの設定を定義する をチェックし、 OKをクリックします。

端末を再起動したタイミングでグループポリシーが有効になります。