locked
Web Accessにて「セキュリティ証明書には問題があります」と表示されてしまう RRS feed

  • 質問

  • ドメインにログインしていない端末(ローカルにログインしたwindows、Linuxなど)でWeb Accessページをブラウザで表示しようとすると

    信頼された証明書ではありません、と出てしまいます。

    (そのまま続行していけばメッセンジャーとしての動作には問題無さそうです)

    ドメインにログインしているマシンでは起こりません。(これは統合認証なので証明書を見ていない?)

    OCSは2007R2、OSはOCS、OCS_CWA共に2003R2std_SP2です。

    何かご存じの方はいらっしゃいますでしょうか?

    2010年8月3日 9:24

回答

  • kaoru5884 さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    調べてみましたところ、クライアント アクセス サーバーの機能を導入した
     Exchange 2007 をインストールすると、自己署名入りの証明書が作成されて、
    ドメインに接続しない状態でWeb Access を使用した際にセキュリティ保護のため
    使用されている証明書が信頼できないというメッセージを出力するとのことです。

    kaoru5884 さんが推測された通り、このメッセージを無視して自己署名入りの証明書を使用できますが
    セキュリティ上は外部クライアント アクセスにはパブリックCA によって発行された証明書を使用することが
    推奨されています。

    証明書に関するTechNet ライブラリのコンテンツをご紹介します。

    ・Exchange 2007 での自己署名入りの証明書について: Exchange 2007 ヘルプ
    http://technet.microsoft.com/ja-jp/library/bb851554(EXCHG.80).aspx

    ・Exchange 2007 Server での証明書の使用: Exchange 2007 ヘルプ
    http://technet.microsoft.com/ja-jp/library/bb851505(EXCHG.80).aspx

    ご参考になれば幸いです。
    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク 服部清次 2010年8月17日 1:30
    2010年8月5日 0:26
  • kaoru5884 さん、返信ありがとうございます。

    Exchange 2007 での自己署名入りの証明書について」から抜粋しますと、

    ----------------------------
    自己署名入りの証明書を使用できない場合
    自己署名入りの証明書は、ドメインに参加している Microsoft Office Outlook 2007 クライアントと Outlook Web App での使用をサポートされていますが、組織内の Exchange 2007 サーバー間の通信を暗号化する目的以外に自己署名入りの証明書を長期間使用することはお勧めしません。Exchange ActiveSync、Outlook Web App、Outlook Anywhere など、すべてではなくとも多くのクライアント アクセス サーバーの機能をサポートするために、Windows PKI または信頼できるサード パーティの証明機関のいずれかから証明書を取得し、各コンピュータまたは各デバイス上の信頼されたルート ストアにこの証明書を必ずインポートします。
    ----------------------------

    ヘルプの説明にありますように、パブリックCAからの証明書以外にはWindows PKI を利用することもできますので、
    ドメイン外の社内で利用している端末にはWindows PKI で作成した社内CAの配布を検討してみてはいかがでしょうか。

    Windows PKI について参考になりそうなTechNetのブログ記事がありましたのでご紹介します。

    目からウロコ!?Windows ServerでPKIを構築する利点:

    http://blogs.technet.com/b/windowsserverjp/archive/2009/04/07/3222689.aspx

    TechNet フォーラムでWindows PKI の情報をお探しの際はWindows Server フォーラムを活用してくださいね。
    よろしくお願いします。
    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク 服部清次 2010年8月17日 1:30
    2010年8月5日 8:32

すべての返信

  • kaoru5884 さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    調べてみましたところ、クライアント アクセス サーバーの機能を導入した
     Exchange 2007 をインストールすると、自己署名入りの証明書が作成されて、
    ドメインに接続しない状態でWeb Access を使用した際にセキュリティ保護のため
    使用されている証明書が信頼できないというメッセージを出力するとのことです。

    kaoru5884 さんが推測された通り、このメッセージを無視して自己署名入りの証明書を使用できますが
    セキュリティ上は外部クライアント アクセスにはパブリックCA によって発行された証明書を使用することが
    推奨されています。

    証明書に関するTechNet ライブラリのコンテンツをご紹介します。

    ・Exchange 2007 での自己署名入りの証明書について: Exchange 2007 ヘルプ
    http://technet.microsoft.com/ja-jp/library/bb851554(EXCHG.80).aspx

    ・Exchange 2007 Server での証明書の使用: Exchange 2007 ヘルプ
    http://technet.microsoft.com/ja-jp/library/bb851505(EXCHG.80).aspx

    ご参考になれば幸いです。
    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク 服部清次 2010年8月17日 1:30
    2010年8月5日 0:26
  • 星様

    お調べいただきまして有難うございます。

    上記の内容からすると、内部に公開しているWeb Accessサービスについて

    社内のネットワーク上にいるドメインに参加していない端末からは、

    どのような設定等行っても証明書の信頼問題は解決出来ず、

    パブリックCAから証明書を発行してもらい、それを適用するという以外

    解決方法が無いという認識でよろしいでしょうか?

     

    2010年8月5日 7:16
  • kaoru5884 さん、返信ありがとうございます。

    Exchange 2007 での自己署名入りの証明書について」から抜粋しますと、

    ----------------------------
    自己署名入りの証明書を使用できない場合
    自己署名入りの証明書は、ドメインに参加している Microsoft Office Outlook 2007 クライアントと Outlook Web App での使用をサポートされていますが、組織内の Exchange 2007 サーバー間の通信を暗号化する目的以外に自己署名入りの証明書を長期間使用することはお勧めしません。Exchange ActiveSync、Outlook Web App、Outlook Anywhere など、すべてではなくとも多くのクライアント アクセス サーバーの機能をサポートするために、Windows PKI または信頼できるサード パーティの証明機関のいずれかから証明書を取得し、各コンピュータまたは各デバイス上の信頼されたルート ストアにこの証明書を必ずインポートします。
    ----------------------------

    ヘルプの説明にありますように、パブリックCAからの証明書以外にはWindows PKI を利用することもできますので、
    ドメイン外の社内で利用している端末にはWindows PKI で作成した社内CAの配布を検討してみてはいかがでしょうか。

    Windows PKI について参考になりそうなTechNetのブログ記事がありましたのでご紹介します。

    目からウロコ!?Windows ServerでPKIを構築する利点:

    http://blogs.technet.com/b/windowsserverjp/archive/2009/04/07/3222689.aspx

    TechNet フォーラムでWindows PKI の情報をお探しの際はWindows Server フォーラムを活用してくださいね。
    よろしくお願いします。
    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク 服部清次 2010年8月17日 1:30
    2010年8月5日 8:32
  • 星様

    ご回答有難うございました。

    もう少しいろいろやってみようと思います。

    2010年8月6日 11:15
  • kaoru5884 さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    kaoru5884 さんがこちらの質問を投稿されてから少し経ちましたが、その後の状況はいかがでしょうか?

    今回、1つの参考情報として、弊社の星睦美の回答を役立てていただけるのではないかと思いましたので、
    勝手ながら、ひとまず私の方で [回答としてマーク] のチェックを付させていただきました。

    また何か疑問や質問がありましたら、ぜひ TechNet フォーラムをご活用ください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年8月17日 1:31