EVO Mail Serverの使い方(11)

サーバー証明書のインストール

ここでは、EVOメールサーバー(以下「EVOMS」)との通信の安全性や信頼性を確保するためのSSLサーバー証明書(以下「SSL証明書」)を、取得・インストールする手順について解説します。

認証局による証明書がない場合

EVOMSはデフォルトで、ドメイン名を入力したときに生成される自己署名証明書 を使用しますが、この場合Outlook等のメールソフトでの送受信時に以下のような警告ダイアログが表示されます。

ダイアログが出てもそのままサーバーに接続して送受信することは可能ですが、信頼できる認証局によって署名された証明書をインストールする(このページでの作業)ことで、通信の安全性や接続先の信頼性が確保され、警告ダイアログも表示されなくなります。

参考

自己署名証明書とは – Google検索

SSL証明書の取得準備

SSL証明書を取得する前に、EVOMS側でやっておくべきことは2つです。

SSL証明書の取得には「証明書ライセンスの購入」と「証明書の取得申請」の2つのステップがあるのですが、このうち取得申請の際に、EVOMSで作成した「CSR」というファイルと「承認用メールアドレス」が必要になります。

ここでは、理解を助けるため以下の事例に当てはめて説明します。実際の作業では適宜ご自身のものに置き換えて下さい。

  • 取得したドメイン
    example.com
  • メールサーバー(MXレコード)
    mail.example.com
  • 運用したいメールアドレス:
    user@example.com

準備① 承認用メールアドレスを作成する

承認用メールアドレスは、申請者が「証明対象のドメインの所有者」であることの簡易な証明手段として用いられます。

すでに説明した「ユーザーアカウントの作成」を参考に、以下の振り合いで「admin」というメールアカウントを作成してください(ドメイン部分は実際のものに置き換えてください)。

admin@example.com

アカウントを作成したら、「メールクライアントの設定」を参考に、作成したメールアドレス(admin@example.com)をPCで受信できるか確認しておきましょう。
  • この段階ではまだSSL証明書をインストールしていないので、送受信時に冒頭で述べた警告ダイアログが表示されます。
  • 承認用メールアドレスは承認時のみに必要なので、一連の証明書の取得作業が終わったらメールアカウントを必要に応じて削除しても構いません。

準備② CSRと暗号鍵を作成する

CSRとは、サーバ証明書を発行するための署名要求(Certificate Signing Request)のことで、簡単に言えば証明を受けたい人(組織名や所在、URLなど)の情報等を暗号化された文字列にして提出する仕組みです。

参考

証明書署名要求=CSR – Wikipedia

暗号鍵は、情報を暗号化し安全に運用するための仕組みに用いられるもので、秘密鍵と公開鍵で構成されます。

参考

秘密鍵=private key – IT用語辞典 e-Words

EVOMSでは、画面で必要事項を入力するだけで簡単にCSRと暗号鍵を生成することができます。

コントロールパネルの「各種設定」タブを選択し、セクション「6. SSL(TLS) 証明書と秘密鍵の設定」に移動します。
「SSL証明書と秘密鍵」のドロップダウンリストから「mail.example.com」を選択して「新規作成」をクリックします。

example.com ではありません。

サーバの所有者情報(ディスティングイッシュネームと呼ばれます)等を下記入力例を参考にして入力し「作成」をクリックします。

サーバの所有者情報等の入力例

以下はこの後に説明するCoreSSLという「ドメイン認証のみ行っているSSLサーバ証明書」を取得する場合の入力例です。取得する証明書のブランドや種類によっては記述内容が厳格な場合もあるので注意して下さい。なお、入力はすべて英語表記(半角英数)でおこないます。

  • 秘密鍵のパスワード
    空欄にしておきます。

  • 連絡先のメールアドレス
    はじめに設定したPostmasterアドレス が入力済み。そのままにしておきます。

    例:postmaster@example.com

  • コモンネームまたはDNSネーム
    認証を受けるメールサーバー名を入力します。

    例:mail.example.com

  • 部署
    部署名を英語表記で入力します。個人の場合は何でも構いません。

    例:IT、System、Individual、None など

  • 会社名
    会社or組織名を英語表記で入力します。個人の場合は何でも構いません。ニックネームやドメインの大文字表記などでもOK。

    例: Inc. 、Nickname、EXAMPLE など

  • 市区町村名
    会社or組織のある市や区。個人の場合は住所のある市や区の名前を入力します。

    例:Chuo-ku、Musashino-shi など

  • 都道府県名
    会社or組織のある都道府県名。個人の場合は住所のある都道府県名を入力します。

    例:Tokyo、Osaka、Kanagawa など

  • 国名
    国名を2文字で。日本の場合は「JP」

CSRと暗号鍵の作成に成功した旨のダイアログが表示されます。「OK」をクリックします。

一番下の「In folder」に書いてある場所に、作成されたファイルが保存されています。

「SSL証明書と秘密鍵」のドロップダウンリストから再度「mail.example.com」を選択して「CSRを表示」をクリックします。
  • ドロップダウンリストが「example.com」になっていることがあるので間違えないように注意して下さい。
  • この時「新規作成」をクリックしないで下さい。先程作成したデータがクリアされてしまいます。
CSRが記述されたファイルが表示されます。ファイル名が証明を受けようとするメールサーバー名(例:mail.example.com.csr)になっているか確認します。

このファイルは後で使うので開いておきます。※画像のCSR情報はダミーです。

SSL証明書の取得作業

EVOMS側ですべき準備が整ったら証明書の取得作業を行います。ここではケーススタディとして Secure Core(セキュアコア)の正規販売代理店であるネットオウル(株)が運営するSSLボックス で、最も安いCoreSSLを取得します。

他所で取得する場合は、そちらで証明書ファイルと中間証明書ファイルを用意して、このページの「証明書をEVOMSにインストールする」から読み進めて下さい。

証明書ライセンスの購入

初めてネットオウルのサービスを利用する場合は、「会員登録」>「決済情報登録」>「ネットオウルプリペイドの購入」>「SSL証明書ライセンスの購入」といったステップが必要になるので、少し面倒ですが、順を追って解説します。

下記の購入手順は2015.11現在のものです。最新の手順と異なる場合があります。

証明書の取得

SSL証明書ライセンスの購入が終わったら、引き続きネットオウルのメンバー管理ツール画面で取得申請を行います。最初にEVOMSで作成したCSR情報はここで使います。

証明書をEVOMSにインストールする

無事にSSL証明書を取得&ダウンロードできたら、いよいよEVOMSに証明書をインストールします。

デスクトップにCERTフォルダを作成して証明書ファイルを保存

作成したCERTフォルダに、ダウンロードした2つの証明書ファイル( 「CORESSLxxxx.cert」と「CORESSLxxxxlnt.cert」 )を保存します。

コントロールパネルの「各種設定」タブを選択し、セクション「6. SSL(TLS) 証明書と秘密鍵の設定」に移動します。
「SSL 証明書(X.509)」の右にある「インポート」をクリックします。
参考

X.509 – Wikipedia

ファイルを開くためのダイアログで、ファイルの種類を「X.509 (*.*)」にし、「CORESSLxxxx.cert」を選択して「開く」をクリックします。
続いて「SSL 証明書チェーン(X.509)」の右にある「インポート」をクリックします。
ファイルを開くためのダイアログで、ファイルの種類を「X.509 (*.*)」にし、「CORESSLxxxxlnt.cert」を選択して「開く」をクリックします。
以上で信頼できる認証局によって署名された証明書がEVOMSにインストールされました。

証明書のインストールが完了したら、お使いのメールクライアントソフトでメールを送受信して、サーバー証明書に関する警告ダイアログが出ないことを確認しておきましょう。

証明書と鍵をバックアップしておく

最後に証明書と鍵を先程デスクトップに作成した「CERTフォルダ」にコピーしておきます。

このフォルダをEVOMSをインストールしたPCとは別の安全な場所に保存しておけば、PCに何らかのトラブルが発生した場合でも、新しい環境に鍵と証明書をインポートすることが出来ます。この作業は必ず実行して下さい

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
C:\ProgramData\EvoMailServer\CONFIGS\CERTSTORE
C:\ProgramData\EvoMailServer\CONFIGS\CERTSTORE
C:\ProgramData\EvoMailServer\CONFIGS\CERTSTORE

にアクセスして、以下の3つを「CERTフォルダ」にコピー(バックアップ)します。

  • mail.example.com.key ※最も重要なファイルです。
  • mail.example.com.crt
  • mail.example.com.chn

この3つのうち、「.key」と「.chn」は拡張子が表示されているのですぐ分かりますが、「.crt」は拡張子が表示されていません。

ファイルの種類が「セキュリティ証明書」となっているものが「.crt」ファイルです。右クリックしてプロパティで確認することも出来ます。

特に「.crt」と「.csr」は似ているので、保存漏れのないようにしましょう。


以上でEVOMSを使うための基本的な設定はすべて完了しました。必要に応じて活用編リファレンスの記事も参考にしてください。