SSL証明書の取得とインストール


概要

このページでは、EVOメールサーバーとの通信の安全性や信頼性を確保するためのSSL証明書を、取得・インストールする手順について解説します。EVOメールサーバーはデフォルトで、ドメイン名を入力したときに生成される自己署名証明書 を使用しますが、この場合、Outlook等のメールソフトでの送受信時に以下のような警告ダイアログが表示されます。

※警告ダイアログ例①

※警告ダイアログ例②

ダイアログが出てもそのままサーバーに接続して送受信することは可能ですが、信頼できる認証局によって署名された証明書をインストールする(このページでの作業)ことで、通信の安全性や接続先の信頼性が確保され、警告ダイアログも表示されなくなります。

このページでは、理解を助けるため、以下の事例に当てはめて説明します。実際の作業では、適宜ご自身のものに置き換えて下さい。


取得したドメイン: example.com
メールサーバー(MXレコード):mail.example.com
運用したいメールアドレス: user@example.com

 

SSL証明書を取得する前に

SSL証明書を取得する前に、EVOメールサーバー側でやっておくべきことは2つです。SSL証明書の取得には「証明書ライセンスの購入」と「証明書の取得申請」の2つのステップがあるのですが、このうち取得申請の際に、EVOメールサーバーで作成した「CSR」というファイルと、「承認用メールアドレス」が必要になります。
 

準備① 承認用メールアドレスを作成する

承認用メールアドレスは、申請者が「証明対象のドメインの所有者」であることの簡易な証明手段として用いられます。
すでに説明した「ユーザーアカウントの作成」を参考に、以下の振り合いで「admin」というメールアカウントを作成してください(青字部分を置き換える)。

: admin@example.com

アカウントを作成したら、「メールクライアントの設定」を参考に、作成したメールアドレス(admin@example.com)をPCで受信できるか確認しておきましょう。

この段階では、まだSSL証明書をインストールしていないので、送受信時に冒頭で述べた警告ダイアログが表示されます。
承認用メールアドレスは、承認時のみに必要なので、一連の証明書の取得作業が終わったらメールアカウントを必要に応じて削除しても構いません。

 

準備② CSRと暗号鍵を作成する

CSRとは、サーバ証明書を発行するための署名要求(Certificate Signing Request)のことで、簡単に言えば、証明を受けたい人(組織名や所在、URLなど)の情報等を暗号化された文字列にして提出する仕組みです。
証明書署名要求=CSR(Wikipedia)

暗号鍵は、情報を暗号化し、安全に運用するための仕組みに用いられるもので、秘密鍵と公開鍵で構成されます。
秘密鍵=private key(IT用語辞典 e-Words)

EVOメールサーバーでは、GUIで必要事項を入力するだけで簡単にCSRと暗号鍵を生成することができます。

① コントロールパネルの「各種設定」タブを選択し、セクション「6. SSL(TLS) 証明書と秘密鍵の設定」に移動します。

②「SSL証明書と秘密鍵」のドロップダウンリストから「mail.example.com」を選択して「新規作成」をクリック。

example.com」ではありません。

③ サーバの所有者情報(ディスティングイッシュネームと呼ばれます)等を下記入力例を参考にして入力し、「作成」をクリック。

サーバの所有者情報等の入力例
入力は全て英語表記(半角英数)で入力します。

※ 下記の入力例の説明は、この後に説明するCoreSSLという「ドメイン認証のみ行っているSSLサーバ証明書」を取得する場合のもので、取得する証明書のブランドや種類によっては、記述内容が厳格な場合もあるので注意して下さい。
① 秘密鍵のパスワード
 空欄にしておきます。
② 連絡先のメールアドレス
 はじめに設定したPostmasterアドレス が入力済み。そのままにしておきます。
 例:postmaster@example.com
③ コモンネームまたはDNSネーム
 認証を受けるメールサーバー名を入力します。
 例:mail.example.com
④ 部署
 部署名を英語表記で入力します。個人の場合は何でも構いません。
 例:IT、System、Individual、None など
⑤ 会社名
 会社or組織名を英語表記で入力します。個人の場合は何でも構いません。
 ニックネームやドメインの大文字表記などでもOK。
 例: Inc. 、Nickname、EXAMPLE など
⑥ 市区町村名
 会社or組織のある市や区。個人の場合は住所のある市や区の名前を入力します。
 例:Chuo-ku、Musashino-shi など
⑦ 都道府県名
 会社or組織のある都道府県名。個人の場合は住所のある都道府県名を入力します。
 例:Tokyo、Osaka、Kanagawa など
⑧ 国名
 国名を2文字で。日本の場合は「JP」

④ CSRと暗号鍵の作成に成功した旨のダイアログが表示されます。「OK」をクリック。

一番下の「In folder」に書いてある場所に、作成されたファイルが保存されています。

⑤「SSL証明書と秘密鍵」のドロップダウンリストから再びmail.example.com」を選択して「CSRを表示」をクリック。

ドロップダウンリストが「example.com」になっていることがあるので間違えないように注意して下さい。
この時「新規作成」をクリックしないで下さい。先程作成したデータがクリアされてしまいます。

⑥ CSRが記述されたファイルが表示されます。ファイル名が、証明を受けようとするメールサーバー名(例:mail.example.com.csr)になっているか確認します。

このファイルは後で使うので開いておきます。
※画像のCSR情報はダミーです。

 

SSL証明書の取得作業

EVOメールサーバー側ですべき準備が整ったら、証明書の取得作業を行います。ここではケーススタディとして Secure Core(セキュアコア)の正規販売代理店であるネットオウル(株)が運営するSSLボックス で、最も安いCoreSSLを取得します。(※ケーススタディに関する注意事項

他所で取得する場合は、そちらで証明書ファイルと中間証明書ファイルを用意して、このページの「証明書をEVOメールサーバーにインストールする」から読み進めて下さい。

 

証明書ライセンスの購入

初めてネットオウルのサービスを利用する場合は、「会員登録」「決済情報登録」「ネットオウルプリペイドの購入」「SSL証明書ライセンスの購入」といったステップが必要になるので、少し面倒ですが、順を追って解説します。※画像は2015.11現在のものです。
 

会員登録の手順

SSLボックス のトップ画面から「新規会員登録」をクリック。

② お申し込みフォームのStep.1で、受信可能なメールアドレスを入力して「確認メールを送信」をクリック。

③ 届いたメールに記載されている「確認ID」の文字列をコピー。

④ コピーした認証IDを、Step.3に貼り付けて「登録フォームへ移動」をクリック。

⑤ 画面の指示に従って必要事項を入力します。

⑥ 最後に「利用規約に同意する」をチェックし、「確認画面」ボタンをクリック。

⑦ 登録内容を確認して「確定する」ボタンをクリック。

確定すると登録完了のお知らせメールが届きます。

 

決済情報の登録手順

① メンバー管理ツールに画面が切り替わったら、左側の「登録情報」をクリック。

②「決済登録情報の登録」をクリック。

③-1 決済登録情報入力画面前半。画面の指示に従って必要事項を入力します。「」は必須項目です。

③-2 決済登録情報入力画面後半。入力が終わったら「変更確認」をクリック。

④ 登録内容を確認して間違いが無ければ「登録情報変更を確定する」をクリック。

⑤ いったん、メンバー管理ツールのトップ画面に戻ります。

 

ネットオウルプリペイドの購入手順

① トップ画面を下に移動して、「SSLボックス」の「新規申込」をクリック。

②「その他のサーバーで利用する」をクリック。

③ SSL種別で「CoreSSL」を選択 利用年数を選択 「料金計算」をクリック 料金を確認。

金額を控えておくと便利です。

④ 金額が確認できたら、「プリペイドを追加購入する」をクリック。

⑤ ネットオウルプリペイドの画面が新規タブで開きます。複数の支払い方法に対応しているので、お好みの方法で。

今回は手数料のかからないクレジット払いを選択しました。

⑥ 画面を下に移動して、「クレジットカードで支払う」をクリック。

⑦ 先程③で確認した金額と、カード情報を入力して「クレジット決済(確認画面)」をクリック。

⑧ 内容を確認して「クレジット決済(確定)」をクリック。

⑨ ネットオウルプリペイドの購入が完了しました。この画面を表示しているブラウザのタブを閉じます。

このタブを閉じたら、上記④のタブが表示されるので、ブラウザの再読込をして情報(プリペイド残高表示)を更新します。

プリペイド入金のお知らせメールが届きます。

 

SSL証明書ライセンスの購入手順

①-1 ブラウザを再読込したら、画面の①~④を確認し、の「ポイント利用欄」に先程購入したプリペイド金額を手入力。

の暗証番号は、決済情報登録時に登録した場合のみ入力します。

①-2 「利用規約に同意する」をチェックして「決済確認画面へ進む」をクリック。

② 内容を確認して「決済を確定する」をクリック。

③ 決済が完了したら「引き続き取得申請を行う」をクリック。

証明書の購入が完了すると「決済完了のお知らせ」メールが届きます。

 

証明書の取得申請

SSL証明書ライセンスの購入が終わったら、引き続きネットオウルのメンバー管理ツール画面で、取得申請を行います。最初にEVOメールサーバーで作成したCSR情報はここで使います。

① 新規取得画面が開いたら、
コモンネーム欄にメールサーバー名(例:mail.example.com)を入力し、署名アルゴリズムは「SHA-2」を選択します。

CSR欄には、あらかじめ用意していたCSR情報(例:mail.example.com.csr)の全てをコピー&ペーストします。

②-1 取得申請画面その2前半。
まず、赤枠内の内容に間違いが無いか確認します。

もしCSR情報に間違いを見つけたら、前述の「CSRと暗号鍵を作成する」に戻って、CSRと暗号鍵を作り直してから、①の画面に戻って新しいCSR情報を貼り付け直します。

②-2 取得申請画面その2後半。
申請登録情報をを下記入力例を参考にして入力し、「次へ進む」をクリック。

申請登録情報の入力例
入力は全て英語表記(半角英数)で入力します。

※ 下記の入力例は、申請者の住所を以下のように仮定して説明します。(住所はMicrosoftのものです。)

  • 氏  名:日本 太郎 (Nippon Taro)
  • 住  所:東京都港区港南 2-16-3 品川グランドセントラルタワー1F
  • 郵便番号:108-0075
  • 電話番号:03-1234-5678
  • 連絡用メールアドレス:t-nippon@outlook.com

① 承認用メールアドレス
 必ず最初に作成しておいた承認用メールアドレス(例:admin@example.com)を選択します。
② 組織名
 CSR解析情報のOrganizationと同じものを入力します。
③ 氏名
 日本語の表記順序と同じく、姓・名の順で記載しますう。
 例:Nippon Taro
④ 役職
 役職名を英語表記で入力します。役職がない場合や個人の場合は「None」(=なし)と入力します。
⑤ 郵便番号
 ハイフン無しで入力します。
 例:1080075
⑥ 国コード
 JPを選択します。
⑦ 都道府県
 CSR解析情報のStateと同じものを選択します。
 例:東京都
⑧ 市区町村
 CSR解析情報のLocalityと同じものを入力します。
 例:Minato-ku
⑨ 住所
 住所を英語表記で入力します。
 例:
Shinagawa Grand Central Tower 1F,2-16-3
Konan
⑩ 電話番号
 国番号81の後に、頭の0を除いた番号を入力します。
 例:81-3-1234-5678 ※携帯電話でも同じです。
⑪ FAX番号
 電話番号と同じ要領で入力します。ない場合はブランクにしておきます。
⑫ メールアドレス
 例:t-nippon@outlook.com

連絡用のメールアドレスを入力します。証明書や更新のお知らせなどが届くので、承認用メールアドレスではなく、通常受信できるメールアドレスにすることをおすすめします。
⑬ 次へ進む
 全て入力したらクリックします。

③ 申請内容の確認画面。「次へ進む(申請を確定します)」をクリック。

④ 申請完了。数分以内に承認用メールが届きます。

⑤ 承認用メールアドレスに届いたメールのValidation Code(承認コード)をコピーして、承認用URLをクリック。

⑥ 承認用メールに記載してあったコードを入力欄に貼り付けて「Next」をクリック。

⑦ 承認完了。「Close Window」をクリック。
意訳:正しい認証コードが入力されました。数分以内に証明書がメールで送られます。ウィンドウを閉じて下さい。

⑧ 画面左の「取得証明書一覧」をクリックすると証明書のステータスを確認できます。※証明書が記載されたメールが届いたら、画面を再読込してください。

⑨ 5分後くらいに証明書発行のメールが連絡用メールアドレスに届きます。

 

証明書をEVOメールサーバーにインストールする

無事にSSL証明書を取得できたら、いよいよEVOメールサーバーに証明書をインストールします。

① SSLボックス管理画面の取得証明書一覧から、発行された証明書の「管理画面」ボタンをクリック。

② 証明書詳細画面から「CERT(SSL証明書)」と「中間証明書」をダウンロードします。

③-1 デスクトップにCERTフォルダを作成して、ダウンロードした2つの証明書ファイルを保存します。

③-2「CORESSLxxxx.cert」と「CORESSLxxxxlnt.cert」の2つを保存します。

④ コントロールパネルの「各種設定」タブを選択し、セクション「6. SSL(TLS) 証明書と秘密鍵の設定」に移動します。

⑤「SSL 証明書(X.509)」の右にある「インポート」をクリック。

X.509(Wikipedia)

⑥ ファイルを開くためのダイアログで、ファイルの種類を「X.509 (*.*)」にし、「CORESSLxxxx.cert」を選択して「開く」をクリック。

⑦ 続いて、「SSL 証明書チェーン(X.509)」の右にある「インポート」をクリック。

⑧ ファイルを開くためのダイアログで、ファイルの種類を「X.509 (*.*)」にし、「CORESSLxxxxlnt.cert」を選択して「開く」をクリック。

⑨ 以上で信頼できる認証局によって署名された証明書がEVOメールサーバーにインストールされました。

証明書のインストールが完了したら、メールを送受信して、サーバー証明書に関する警告ダイアログが出ないことを確認しておきましょう。
 

証明書と鍵をバックアップしておく

最後に、証明書と鍵を先程デスクトップに作成した「CERTフォルダ」にコピーしておきます。このフォルダをEVOメールサーバーをインストールしたPCとは別の安全な場所に保存しておけば、PCに何らかのトラブルが発生した場合でも、新しい環境に鍵と証明書をインポートすることが出来ます。この作業は必ず実行して下さい。

C:\ProgramData\EvoMailServer\CONFIGS\CERTSTORE

にアクセスして、以下の3つを「CERTフォルダ」にコピー(バックアップ)します。

  • mail.example.com.key ※最も重要なファイルです。
  • mail.example.com.crt
  • mail.example.com.chn

この3つのうち、「.key」と「.chn」は拡張子が表示されているのですぐ分かりますが、「.crt」は拡張子が表示されていません。ファイルの種類が「セキュリティ証明書」となっているものが、「.crt」ファイルです。右クリックしてプロパティで確認することも出来ます。
「.crt」と「.csr」を間違えないようにしましょう。