none
証明書のトランスポートで利用するSSL 証明書について (Exchange ハイブリッド) RRS feed

  • 質問

  • 本件皆様のお知恵をお借りしたく、投稿させていただきました。

    【質問内容】:

    Exchange ハイブリッド 構成の際に設定をする「証明書のトランスポート」で利用するSSL 証明書は、

    どの証明書が対象となるのでしょうか。

    【構成情報】:

    <オンプレミス>

     ・AD / Azure AD Connect (ドメイン名:xxx.local)

     ・ADFS

     ・Web Application Proxy

     ・Exchange Server 2013 (CU15) MBX, CAS

       →サーバーは全てAzure 上に構成

        OSは全てWindows Server 2012 R2

        Office365 E3 テナントとフェデレーション構成済み (xxx.com)

    <Office365>

     ・Office365 E3

       →ドメインのセットアップは完了済み

    <その他>

     ・お名前.com (外部ドメイン、外部DNS)

     ・CoreSSL ワイルドカード

    【構築順序】:

     ・AD → Office365 → AAD Connect → ADFS/WAP → Exchange Server MBX/CAS → Exchange ハイブリッド構成

       →各環境構築時に動作確認を実施し、問題がないことを確認

    【状況】:

     ・Exchange Online とのハイブリッド構成を実施するウィザードで「証明書のトランスポート」項目で、

      有効な証明書が見つからないと警告が出ており先に進めない状況です。

      手順はExchange Hybrid 構成の自習書を参考に実施しており、該当箇所までは問題なく完了しております。

      証明書については、ワイルドカードを利用しており、Exchange Server には「mail.xxx.com」や「autodiscover.xxx.com」に対応できるよう、CNは「*.xxx.com」として、MBX, CAS にインストール済みとなります。

      しかし、該当の画面では、上記証明書が表示されているにも関わらず、有効な証明書が見つかりませんでしたと表示されてしまいます。

      色々と調べてみたのですが解決方法が分からず、ご質問をさせていただきました。

      皆様のお知恵をお借り出来ますと幸いです。

     以上、よろしくお願い致します。


    • 編集済み kahoso 2017年3月21日 6:06
    2017年3月21日 6:02

回答

  • トランスポートの証明書ですが、Exchange Online⇔オンプレミスのMBX/CASサーバの間のSMTPでTLSの為に利用されます。公的証明書が必要ですが、こちらのSSL証明書ですが、既にExchange Server 2013にインポートされているということでよろしいでしょうか?

    その場合、Exchange管理シェルから

    Get-ExchangeCertificate -Thumbprint [Wildcard証明書のThumbprint] | FL

    コマンドレットを実施して頂きまして、RootCATypeが ThirdParty となっているか確認いただけますでしょうか。こちらがThirdPartyになっている(=外部証明機関のSSL証明書)がHCWで表示される証明書の要件になっております。

    2017年3月21日 6:57
  • PrivateKeyMissing と表示されておりますので、秘密鍵が無い(もしくはアクセス権が無い)ことが原因と思われます。

    MBXサーバー側で秘密鍵付きでエクスポートし、CASサーバ側でインポート後、Enable-ExchangeCertificateを実施して必要なサービスに割り当ててみてください。

    2017年3月21日 8:09

すべての返信

  • トランスポートの証明書ですが、Exchange Online⇔オンプレミスのMBX/CASサーバの間のSMTPでTLSの為に利用されます。公的証明書が必要ですが、こちらのSSL証明書ですが、既にExchange Server 2013にインポートされているということでよろしいでしょうか?

    その場合、Exchange管理シェルから

    Get-ExchangeCertificate -Thumbprint [Wildcard証明書のThumbprint] | FL

    コマンドレットを実施して頂きまして、RootCATypeが ThirdParty となっているか確認いただけますでしょうか。こちらがThirdPartyになっている(=外部証明機関のSSL証明書)がHCWで表示される証明書の要件になっております。

    2017年3月21日 6:57
  • genki.w 様

    本件早急なご回答誠に有難うございます。

    ご教示いただきましたコマンドを実行した結果、MBX 側ではRootCATypeが ThirdParty となっていることが確認できたのですが、CAS 側の方では以下エラーが出力され、SSL 証明書自体が無効となっておりました。

    この場合は、MBX, CAS ともにインポートした証明書を削除し、再登録を実施したほうが良いでしょうか。

    お忙しい中恐縮ではございますが、再度ご確認いただけますと幸いです。

    ********************* エラー内容抜粋 *************************

    サーバー <ホスト名> 上で特別な RPC エラーが発生しました: 拇印 <Thumbprint> を含む証明
    書が見つかりましたが、これは Exchange Server では無効です (理由: PrivateKeyMissing)。

    **********************************************************

    以上、よろしくお願い致します。

    2017年3月21日 7:54
  • PrivateKeyMissing と表示されておりますので、秘密鍵が無い(もしくはアクセス権が無い)ことが原因と思われます。

    MBXサーバー側で秘密鍵付きでエクスポートし、CASサーバ側でインポート後、Enable-ExchangeCertificateを実施して必要なサービスに割り当ててみてください。

    2017年3月21日 8:09
  • genki.w 様

    本件早急なご回答誠にありがとうございます。

    返信が遅くなりましたが、問題については解消致しました。

    対応と致しましては、ご教示頂きました通り、EACからMBX 側の証明書をインポートし、CAS 側にエクスポート後、必要なサービスを割り当てた結果、ハイブリッド構成ウィザードを先に進める事ができ、意図した証明書を割り当てることが出来ました。

    重ねてになりますが、ご回答いただき誠にありがとうございます。

    2017年3月23日 1:52