none
ISA 2006 の証明書インポートについて RRS feed

  • 質問


  • ISA2006のファイアーウォールポリシーでOWA用の公開ルールを作成しましたが、ルールのテストを実施すると
    公開サーバーの認証エラーが発生してしまいます。

    対処法をご存知の方、教えていただけないでしょうか。

    今回の作業は、下記のURLを参考に実施しました。
    http://social.technet.microsoft.com/Forums/ja-JP/exchange2007ja/thread/4604590f-d7ba-41aa-87cf-9cd7d04ea07d/



    『環境』
    Exchange 2007 SP1 (Windows Server 2008 ) メール、CAS、HTの役割を導入している
    ISA Server 2006 SP1 (Windows Server 2003 Std) バックファイアーウォール構成
    証明書サーバー (Windows Server 2003 Ent) エンタープライズCA

    『既に実行済みのステップ』
    ・Exchange管理シェルからNew-ExchangeCertificate コマンドを実行(ISAと同じサブジェクト名になるように入力)
    ・証明書サーバーから証明書(テンプレート:Webサーバー)を受け取り、
    Exchange管理シェルからImportとEnableを実施し証明書を適用
    ・証明書サーバーのIISから証明書(テンプレート:Webサーバー)を新規作成(Exchangeと同じサブジェクト名)
    ・ISAサーバーのMMCから証明書(秘密キー込み)を適用
    ・ISAサーバーのファイアーウォールポリシーの[Webリスナ]に証明書を設定
    ・ISAサーバーのファイアーウォールポリシーの[Exchange Web クライアントアクセスの公開]から
    OWA用の公開ルール作成
    ・作成した公開ルールの[ルールのテスト]を実施

    『エラー内容』
    ルールのテストを実施したところ、

    カテゴリ:公開されたサーバーの認証エラー
    エラーの説明:0x80090325 - 信頼されていない機関によって証明書チェーンが発行されました。


    『その他』
    エラー内容は、ISAにルート証明書がインストールされていないということらしいのですが・・・。
    2009年5月14日 1:39

回答

  • razuwill さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    ご投稿の現象ですが、やはり「ISAサーバーへのルート証明書インストールが必要」という情報しかなさそうですね・・・

    Forefront TMG (ISA Server) Product Team Blog http://blogs.technet.com/isablog/Default.aspx?p=7
    ※こちらの「Test rule error messages」の項にエラーの記述がありました。

    ↓こちらからダウンロードできるドキュメントにもエラーの記載があります。
    http://download.microsoft.com/download/8/5/8/8585f89f-410c-44ce-b309-79f5e51e67df/SP1_Feature_Doc_RTM.doc

    気になるとすれば、投稿文面に、ISAサーバーのルート証明書についての記述がなかったのが少し気になりまして・・・たぶん既に確認済だと思うのですが(汗)、もしまだであれば、ISAサーバーのルート証明書がどうかを確認していただくとどうかなと。
    ↓このあたりの技術情報が参考になりそうなのですが。

    証明書ストア http://technet.microsoft.com/ja-jp/library/cc757138(WS.10).aspx

    もし証明書に問題があった場合は、↓このあたりのKBが役に立つかもしれません。

    Windows Server 2003 または Windows 2000 Server 証明機関により発行される証明書の有効期限を変更する方法
    http://support.microsoft.com/kb/254632/ja
    ※KB内にリンクしてあるホワイトペーパーなども参考になるかも。

    ルート証明書は問題ないのに発生している場合は、もしかしたら、テスト時のログなどから詳細な解析が必要かなという感じもします。その場合はForumではちょっと解決は難しいかもしれませんね・・・
    ただ、実際に同じ環境で試したわけではないので、外していたらごめんなさい!ご参考となれば幸いです。


    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    • 回答としてマーク sk7474 2009年6月25日 2:14
    2009年5月19日 9:34
    モデレータ

すべての返信

  • razuwill さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    ご投稿の現象ですが、やはり「ISAサーバーへのルート証明書インストールが必要」という情報しかなさそうですね・・・

    Forefront TMG (ISA Server) Product Team Blog http://blogs.technet.com/isablog/Default.aspx?p=7
    ※こちらの「Test rule error messages」の項にエラーの記述がありました。

    ↓こちらからダウンロードできるドキュメントにもエラーの記載があります。
    http://download.microsoft.com/download/8/5/8/8585f89f-410c-44ce-b309-79f5e51e67df/SP1_Feature_Doc_RTM.doc

    気になるとすれば、投稿文面に、ISAサーバーのルート証明書についての記述がなかったのが少し気になりまして・・・たぶん既に確認済だと思うのですが(汗)、もしまだであれば、ISAサーバーのルート証明書がどうかを確認していただくとどうかなと。
    ↓このあたりの技術情報が参考になりそうなのですが。

    証明書ストア http://technet.microsoft.com/ja-jp/library/cc757138(WS.10).aspx

    もし証明書に問題があった場合は、↓このあたりのKBが役に立つかもしれません。

    Windows Server 2003 または Windows 2000 Server 証明機関により発行される証明書の有効期限を変更する方法
    http://support.microsoft.com/kb/254632/ja
    ※KB内にリンクしてあるホワイトペーパーなども参考になるかも。

    ルート証明書は問題ないのに発生している場合は、もしかしたら、テスト時のログなどから詳細な解析が必要かなという感じもします。その場合はForumではちょっと解決は難しいかもしれませんね・・・
    ただ、実際に同じ環境で試したわけではないので、外していたらごめんなさい!ご参考となれば幸いです。


    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    • 回答としてマーク sk7474 2009年6月25日 2:14
    2009年5月19日 9:34
    モデレータ
  • こんにちは。中川俊輔です。

    razuwillさん、はじめまして。フォーラムのご利用ありがとうございます。
    その後いかがでしょうか?鈴木のアドバイスは問題解決の糸口になりましたか?

    同じような問題で困っている方にも有用な情報と思いましたので、勝手ながら鈴木の回答へ回答マークをつけさせていただきました。

    今後ともフォーラムをよろしくお願いします。
    それでは!
    マイクロソフト株式会社 フォーラム オペレータ 中川 俊輔
    2009年6月25日 2:17
  • 証明書の件、その後自己解決しました。
    ご連絡が大変おそくなり申し訳ありません。

    当時使用した手順を掲載いたしますので、ご参考まで。

    ISA側で証明書導入方法
    1.    Internet Explorer を開きます。
    2.    メニューで [ツール]、[インターネット オプション] の順にクリックします。
    3.    [セキュリティ] タブをクリックし、[Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で
    [信頼済みサイト] をクリックします。
    4.    [サイト] をクリックし、[信頼済みサイト] ダイアログ ボックスを開きます。
    5.    [次の Web サイトをゾーンに追加する] で、証明書サーバーの Web サイト名 (http://<証明機関のサーバーの IP アドレス>/certsrv)
    を入力し、[追加] をクリックします。
    6.    [閉じる] をクリックして [信頼済みサイト] ダイアログ ボックスを閉じ、[OK] をクリックして [インターネット オプション] を閉じます。
    4.    http://<証明機関のサーバーの IP アドレス>/certsrv を参照します。
    7.    証明書を要求します。
    8.    [証明書の要求の詳細設定] をクリックします。
    9.    [この CA への要求を作成し送信する] をクリックします。
    10.    フォームに入力し、[種類] ボックスの一覧で [WebサーバーExchange用] をクリックします。
    接続時にクライアントがエラー メッセージを受け取らないようにするには、
    証明書に指定した一般名と公開されたサーバー名が一致する必要があります。 例えば: https://test.com/owa で外部に公開する場合 test.comと記入します。
    11.    [ローカル コンピュータの証明書ストアに証明書を格納する] をオンにし、[送信] をクリックして要求を送信します。
        表示された警告ダイアログ ボックスを確認し、[はい] をクリックします。
    12.    要求をクリックし、[この証明書のインストール] を選択します。
    13.    サーバー証明書が正しくインストールされたことを確認します。MMC を開き、[証明書] スナップインに移動します。[証明書 (ローカル コンピュータ)] を開き、[個人] ノードを展開し、[証明書] をクリックして、新しいサーバー証明書をダブルクリックします。[全般] タブには、[この証明書に対応する秘密キーを持っています] というメッセージが表示されます。[証明のパス] タブには、証明書とルート証明書の階層関係と、[この証明書は問題ありません] というメッセージが表示されます。

    14.    [CA 証明書、証明書チェーン、または CRL のダウンロード] (Windows Server 2003 で表示されるテキスト) または [CA 証明書または証明書失効リストの取得] (Windows 2000 Server で表示されるテキスト) をクリックします。次に表示されるページで、[CA 証明書のダウンロード] をクリックします。これは ISA Server コンピュータにインストールする必要がある信頼されたルート証明書です。[ファイルのダウンロード] ダイアログ ボックスで、[開く] をクリックします。
    15.    [証明書] ダイアログ ボックスで、[証明書のインストール] をクリックし、[証明書のインポート ウィザード] を開始します。
    16.    開始ページで、[次へ] をクリックします。[証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[参照] をクリックします。[証明書ストアの選択] ダイアログ ボックスで、[物理ストアを表示する] チェック ボックスをオンにします。[信頼されたルート証明機関] を展開し、[ローカル コンピュータ] を選択して、[OK] をクリックします。[証明書ストア] ページで、[次へ] をクリックします。
    17.    サマリー ページで詳細を確認し、[完了] をクリックします。


    上記の方法で、Exchangeと同じ名前の証明書がISAに導入されます。
    あとは、Webリスナでその証明書を選らんであげれば
    ルートのテストが問題なく利用できました。
    OWAも外部から利用できます。

    2009年11月13日 8:25