自己署名SSL証明書の使用
1. 始めに
MailStore Serverのインストール処理の中で、MailStoreコンポーネントで暗号化通信が確立した際の使用するSSL証明書が生成されます。証明書は、サーバー名を MailStoreServer としたもので、信頼できる第3者の認証局 (CA)から発行されたものではないため、クライアント側からは信頼できない証明書として扱われます。
このため、MailStoreへHTTPS (SSL)接続しようとすると、次のような画面が表示されます:
この問題の対処方法の1つはMailStore Serverがインストールされたサーバーを、 (例えば DNSへA- レコードや CNAME レコードを追加するなどで、) MailStoreServer というホスト名で利用できるようにした上で、クライアントのルート認証局のコンテナへ証明書をインストールする事です。このインストール処理は、環境により大きな管理負荷を伴う場合があるため、MailStore Serverでは自社で用意した認証局や(例: VeriSign, eTrustなど)第3者の認証局を使うためのオプションを用意しています。
MailStore Serverで自己証明書を使うには次の手順で設定を行います:
2. CSRの作成
Certificate Signing Request (CSR)を作る方法は複数あります。作成方法の個々の詳細についてはこの文書では言及しません。
一般的にSSL証明書の管理に使われるのは次のようなツールです:
- Certificates MMC スナップイン
- certreq.exe
- openssl.exe
こうしたプログラムはCSRを元にまず秘密鍵を生成します。秘密鍵ではなく、CSRを認証局へ送ります。CSRに対して認証局から署名が付与され、実際の証明書として送り返されます。
注意点として、CSRを作成するのに使った秘密鍵は証明書として同じ格納先に置いておく必要があります。これは通常ローカルシステムアカウントの「証明書サービス」が行います。
3. 証明書のインストール
- 管理者としてサーバーへログオンします。
- ファイル名を指定して実行、を選択し、「mmc」と入力します。
- ファイル| スナップインの追加と削除 | 追加 | 証明書を選択します。
- ローカルアカウント の ローカルコンピュータを選択します。
- 完了をクリックし、終了します。
- 管理コンソールから 個人 | 証明書を選択します。
- 証明書 フォルダを右クリックし、 全てのタスク | インポートを選択します。
- ウィザードの指示に沿って証明書と秘密鍵が入っているファイルを選択します。
- 証明書ストア ページで 個人 を選択しウィザードを終了します。
- 証明書が 個人の下の証明書 へ表示されます。
- 証明書用の秘密鍵が使用できるかどうかを、証明書をダブルクリックして確認して下さい。
4. MailStore Serverでの証明書の使用
- MailStore Server Server Service Configurationを起動します。
- “IPアドレスとポート”を開きます。
- サーバー証明書フィールドの隣にあるボタンをクリックし、「証明書ストアから選択」をクリックします。
- 新しい証明書を選択します。
- 内容を確認し、MailStore Serverサービスを再起動します。