none
CA証明書を使用した場合の内部でのOutlookとowaでの使用について RRS feed

  • 質問

  • みなさんはじめまして。てつろうと申します。

    今回社内のExchangeServer2007で社外でのowa及びOutlookを使用するために外部証明書を導入いたしました。

    社外の接続にてowa,Outlookともに証明書のエラーが出ないことを確認し、アナウンスとしたところ、

    社内での接続にて「セキュリティ証明書の名前が無効であるか、サイトの名前と一致しません。」の警告が頻繁に表示されます。

    Outlookに関しては「スマートカードの挿入」のメッセージも出るようになりました。

    外部での接続には今回設定した外部証明書のサイト名を使用しているために、今までの自己証明書とサイト名が一致しないため、今回のエラーが発生しているのは理解いたしました。

    そこで、証明書の発行機関(販売元?)にマルチドメインの申請をしようとしたのですが、パブリックなものに関しては設定できるが

    ローカル名(プライベート)の設定は昔はあったが、現在はセキュリティの関係でできなくなっているとの回答をいただきました。

    そこでOutlook、owaの設定を外部のサイト名に変更しようとしましたが、Outlookでは内部のホスト名に自動変換され、入力はできませんでした。

    owaはそもそも外部URLが内部から参照できないため、開くことができませんでした。

    元々外部からのアクセスのためグローバルIPからExchangeServerのローカルIPへのルール設定はしていますが、

    内部から、外部へのルール設定は現在しておりません。

    いろいろ調査した結果、次の対策を提案していただきました。

    1.プライベートのDNSサーバーに証明書のサイト名を追加する。

    ゾーンを新たに作成し、Aレコードを追加したところowaは問題なくできましたが、その他の同一のパブリックドメインにアクセスできず。断念。

    2.内部から、グローバルIPにアクセスできるようなルール設定。

    安全性かどうかの判断が知識不足のため不明

    3.ExchangeServerに外部証明書と自己証明書を登録する。

    実際にできるかどうかは不明

    1.は試してみましたが、知識不足のため一度断念してしまいました。

    その他業者からアドバイスはいただき、できるできないはともかく、インターネットで調査を行ったのですが、

    これといった回答が見つけるところができませんでした。

    そこで、一般的のどのように運用されているかを、知りたく質問させていただきました。

    1~3のどれかが最適なのか、もしくは別の手段があるかを教えていただけないでしょうか。

    よろしくお願いいたします。

    2013年11月15日 2:57