EVO Mail Serverの使い方(11)

サーバー証明書のインストール

Contents

ここでは、EVOメールサーバー(以下「EVOMS」)との通信の安全性や信頼性を確保するためのSSLサーバー証明書(以下「SSL証明書」)を、取得・インストールする手順について解説します。

認証局による証明書がない場合

EVOMSはデフォルトで、ドメイン名を入力したときに生成される自己署名証明書 を使用しますが、この場合Outlook等のメールソフトでの送受信時に以下のような警告ダイアログが表示されます。

警告例①
警告例②

ダイアログが出てもそのままサーバーに接続して送受信することは可能ですが、信頼できる認証局によって署名された証明書をインストールする(このページでの作業)ことで、通信の安全性や接続先の信頼性が確保され、警告ダイアログも表示されなくなります。

参考

自己署名証明書とは – Google検索

SSL証明書の取得準備

SSL証明書を取得する前に、EVOMS側でやっておくべきことは2つです。

SSL証明書の取得には「証明書ライセンスの購入」と「証明書の取得申請」の2つのステップがあるのですが、このうち取得申請の際に、EVOMSで作成した「CSR」というファイルと「承認用メールアドレス」が必要になります。

ここでは、理解を助けるため以下の事例に当てはめて説明します。実際の作業では適宜ご自身のものに置き換えて下さい。

  • 取得したドメイン
    example.com
  • メールサーバー(MXレコード)
    mail.example.com
  • 運用したいメールアドレス:
    user@example.com

準備① 承認用メールアドレスを作成する

承認用メールアドレスは、申請者が「証明対象のドメインの所有者」であることの簡易な証明手段として用いられます。

すでに説明した「ユーザーアカウントの作成」を参考に、以下の振り合いで「admin」というメールアカウントを作成してください(ドメイン部分は実際のものに置き換えてください)。

admin@example.com

アカウントを作成したら、「メールクライアントの設定」を参考に、作成したメールアドレス(admin@example.com)をPCで受信できるか確認しておきましょう。
  • この段階ではまだSSL証明書をインストールしていないので、送受信時に冒頭で述べた警告ダイアログが表示されます。
  • 承認用メールアドレスは承認時のみに必要なので、一連の証明書の取得作業が終わったらメールアカウントを必要に応じて削除しても構いません。

準備② CSRと暗号鍵を作成する

CSRとは、サーバ証明書を発行するための署名要求(Certificate Signing Request)のことで、簡単に言えば証明を受けたい人(組織名や所在、URLなど)の情報等を暗号化された文字列にして提出する仕組みです。

参考

証明書署名要求=CSR – Wikipedia

暗号鍵は、情報を暗号化し安全に運用するための仕組みに用いられるもので、秘密鍵と公開鍵で構成されます。

参考

秘密鍵=private key – IT用語辞典 e-Words

EVOMSでは、画面で必要事項を入力するだけで簡単にCSRと暗号鍵を生成することができます。

コントロールパネルの「各種設定」タブを選択し、セクション「6. SSL(TLS) 証明書と秘密鍵の設定」に移動します。
「SSL証明書と秘密鍵」のドロップダウンリストから「mail.example.com」を選択して「新規作成」をクリックします。

example.com ではありません。

サーバの所有者情報(ディスティングイッシュネームと呼ばれます)等を下記入力例を参考にして入力し「作成」をクリックします。

サーバの所有者情報等の入力例

以下はこの後に説明するCoreSSLという「ドメイン認証のみ行っているSSLサーバ証明書」を取得する場合の入力例です。取得する証明書のブランドや種類によっては記述内容が厳格な場合もあるので注意して下さい。なお、入力はすべて英語表記(半角英数)でおこないます。

  • 秘密鍵のパスワード
    空欄にしておきます。

  • 連絡先のメールアドレス
    はじめに設定したPostmasterアドレス が入力済み。そのままにしておきます。

    例:postmaster@example.com

  • コモンネームまたはDNSネーム
    認証を受けるメールサーバー名を入力します。

    例:mail.example.com

  • 部署
    部署名を英語表記で入力します。個人の場合は何でも構いません。

    例:IT、System、Individual、None など

  • 会社名
    会社or組織名を英語表記で入力します。個人の場合は何でも構いません。ニックネームやドメインの大文字表記などでもOK。

    例: Inc. 、Nickname、EXAMPLE など

  • 市区町村名
    会社or組織のある市や区。個人の場合は住所のある市や区の名前を入力します。

    例:Chuo-ku、Musashino-shi など

  • 都道府県名
    会社or組織のある都道府県名。個人の場合は住所のある都道府県名を入力します。

    例:Tokyo、Osaka、Kanagawa など

  • 国名
    国名を2文字で。日本の場合は「JP」

CSRと暗号鍵の作成に成功した旨のダイアログが表示されます。「OK」をクリックします。

一番下の「In folder」に書いてある場所に、作成されたファイルが保存されています。

「SSL証明書と秘密鍵」のドロップダウンリストから再度「mail.example.com」を選択して「CSRを表示」をクリックします。
  • ドロップダウンリストが「example.com」になっていることがあるので間違えないように注意して下さい。
  • この時「新規作成」をクリックしないで下さい。先程作成したデータがクリアされてしまいます。
CSRが記述されたファイルが表示されます。ファイル名が証明を受けようとするメールサーバー名(例:mail.example.com.csr)になっているか確認します。

このファイルは後で使うので開いておきます。※画像のCSR情報はダミーです。

SSL証明書の取得作業

EVOMS側ですべき準備が整ったら証明書の取得作業を行います。ここではケーススタディとして Secure Core(セキュアコア)の正規販売代理店であるネットオウル(株)が運営するSSLボックス で、最も安いCoreSSLを取得します。

他所で取得する場合は、そちらで証明書ファイルと中間証明書ファイルを用意して、このページの「証明書をEVOMSにインストールする」から読み進めて下さい。

証明書ライセンスの購入

初めてネットオウルのサービスを利用する場合は、「会員登録」>「決済情報登録」>「ネットオウルプリペイドの購入」>「SSL証明書ライセンスの購入」といったステップが必要になるので、少し面倒ですが、順を追って解説します。

下記の購入手順は2015.11現在のものです。最新の手順と異なる場合があります。

会員登録の手順

SSLボックス のトップ画面から「新規会員登録」をクリックします。
お申し込みフォームのStep.1で、受信可能なメールアドレスを入力して「確認メールを送信」をクリックします。
届いたメールに記載されている「確認ID」の文字列をコピーします。
コピーした認証IDを、Step.3に貼り付けて「登録フォームへ移動」をクリックします。
画面の指示に従って必要事項を入力します。
最後に「利用規約に同意する」をチェックし、「確認画面」ボタンをクリックします。
登録内容を確認して「確定する」ボタンをクリックします。

確定すると、登録完了のお知らせメールが届きます。

決済情報の登録手順

メンバー管理ツールに画面が切り替わったら、左側の「登録情報」をクリックします。
「決済登録情報の登録」をクリックします。
決済登録情報を入力

決済登録情報入力画面前半。画面の指示に従って必要事項を入力します。「※」は必須項目です。

決済登録情報入力画面後半。入力が終わったら「変更確認」をクリックします。

登録内容を確認して間違いが無ければ「登録情報変更を確定する」をクリックします。
いったんメンバー管理ツールのトップ画面に戻ります。

ネットオウルプリペイドの購入手順

トップ画面を下に移動して「SSLボックス」の「新規申込」をクリックします。
「その他のサーバーで利用する」をクリックします。
SSL種別で「CoreSSL」を選択 >利用年数を選択>「料金計算」をクリック>料金を確認します。

金額を控えておくと便利です。

金額が確認できたら「プリペイドを追加購入する」をクリックします。
ネットオウルプリペイドの画面が新規タブで開きます。複数の支払い方法に対応しているので、お好みの方法で。

今回は手数料のかからないクレジット払いを選択しました。

画面を下に移動して「クレジットカードで支払う」をクリックします。
先程③で確認した金額とカード情報を入力して「クレジット決済(確認画面)」をクリックします。
内容を確認して「クレジット決済(確定)」をクリックします。
ネットオウルプリペイドの購入が完了しました。この画面を表示しているブラウザのタブを閉じます。

このタブを閉じたら、上記④のタブが表示されるので、ブラウザの再読込をして情報(プリペイド残高表示)を更新します。

プリペイド入金のお知らせメールが届きます。

SSL証明書ライセンスの購入手順

ブラウザを再読込したら、画面(この画像)の①~④を確認し、⑤の「ポイント利用欄」に先程購入したプリペイド金額を手入力します。

画像内⑥の暗証番号は、決済情報登録時に登録した場合のみ入力します。

入力が終わったら「利用規約に同意する」をチェックして「決済確認画面へ進む」をクリックします。

内容を確認して「決済を確定する」をクリックします。
決済が完了したら「引き続き取得申請を行う」をクリックします。

証明書の購入が完了すると「決済完了のお知らせ」メールが届きます。

証明書の取得

SSL証明書ライセンスの購入が終わったら、引き続きネットオウルのメンバー管理ツール画面で取得申請を行います。最初にEVOMSで作成したCSR情報はここで使います。

取得申請

取得申請画面 その1

新規取得画面が開いたら、コモンネーム欄にメールサーバー名( 例:mail.example.com ) を入力し、署名アルゴリズムは「SHA-2」を選択します。

CSR欄には、あらかじめ用意していたCSR情報( 例:mail.example.com.csr ) の全てをコピー&ペーストします。

取得申請画面 その2

まず、赤枠内の内容に間違いが無いか確認します。

もしCSR情報に間違いを見つけたら、前述の「CSRと暗号鍵を作成する」に戻って、CSRと暗号鍵を作り直してから、①の画面に戻って新しいCSR情報を貼り付け直します。

確認したら、申請登録情報をを下記入力例を参考にして入力し、「次へ進む」をクリックします。

申請登録情報の入力例

入力例は、申請者の住所を以下のように仮定して説明します。(住所はMicrosoftのものです。)なお、入力はすべて英語表記(半角英数)でおこないます。

  • 氏  名:日本 太郎 (Nippon Taro)
  • 住  所:東京都港区港南 2-16-3 品川グランドセントラルタワー1F
  • 郵便番号:108-0075
  • 電話番号:03-1234-5678
  • 連絡用メールアドレス:t-nippon@outlook.com

  • 承認用メールアドレス
    必ず最初に作成しておいた承認用メールアドレス(例:admin@example.com )を選択します。

  • 組織名
    CSR解析情報のOrganizationと同じものを入力します。

  • 氏名
    日本語の表記順序と同じく、姓・名の順で記載します。

    例:Nippon Taro

  • 役職
    役職名を英語表記で入力します。役職がない場合や個人の場合は「None」(=なし)と入力します。

  • 郵便番号
    ハイフン無しで入力します。

    例:1080075

  • 国コード
    JPを選択します。

  • 都道府県
    CSR解析情報のStateと同じものを選択します。

    例:東京都

  • 市区町村
    CSR解析情報のLocalityと同じものを入力します。

    例:Minato-ku

  • 住所
    住所を英語表記で入力します。

    例: Shinagawa Grand Central Tower 1F,2-16-3 Konan

  • 電話番号
    国番号81の後に、頭の0を除いた番号を入力します。

    例:81-3-1234-5678 ※携帯電話でも同じです。

  • FAX番号
    電話番号と同じ要領で入力します。ない場合はブランクにしておきます。

  • メールアドレス
    例:t-nippon@outlook.com

    連絡用のメールアドレスを入力します。証明書や更新のお知らせなどが届くので、承認用メールアドレスではなく、通常受信できるメールアドレスにすることをおすすめします。

  • 次へ進む
    全て入力したらクリックします。

申請内容の確認画面。「次へ進む(申請を確定します)」をクリックします。
申請完了。数分以内に承認用メールが届きます。
承認用メールアドレスに届いたメールのValidation Code(承認コード)をコピーして、承認用URLをクリックします。
承認用メールに記載してあったコードを入力欄に貼り付けて「Next」をクリックします。
承認完了。「Close Window」をクリックします。

意訳:正しい認証コードが入力されました。数分以内に証明書がメールで送られます。ウィンドウを閉じて下さい。

画面左の「取得証明書一覧」をクリックすると証明書のステータスを確認できます。※証明書が記載されたメールが届いたら画面を再読込してください。
5分後くらいに証明書発行のメールが連絡用メールアドレスに届きます。

ダウンロード

SSLボックス管理画面の取得証明書一覧から、発行された証明書の「管理画面」ボタンをクリックします。
証明書詳細画面から「CERT(SSL証明書)」と「中間証明書」をダウンロードします。

証明書をEVOMSにインストールする

無事にSSL証明書を取得&ダウンロードできたら、いよいよEVOMSに証明書をインストールします。

デスクトップにCERTフォルダを作成して証明書ファイルを保存

作成したCERTフォルダに、ダウンロードした2つの証明書ファイル( 「CORESSLxxxx.cert」と「CORESSLxxxxlnt.cert」 )を保存します。

コントロールパネルの「各種設定」タブを選択し、セクション「6. SSL(TLS) 証明書と秘密鍵の設定」に移動します。
「SSL 証明書(X.509)」の右にある「インポート」をクリックします。
参考

X.509 – Wikipedia

ファイルを開くためのダイアログで、ファイルの種類を「X.509 (*.*)」にし、「CORESSLxxxx.cert」を選択して「開く」をクリックします。
続いて「SSL 証明書チェーン(X.509)」の右にある「インポート」をクリックします。
ファイルを開くためのダイアログで、ファイルの種類を「X.509 (*.*)」にし、「CORESSLxxxxlnt.cert」を選択して「開く」をクリックします。
以上で信頼できる認証局によって署名された証明書がEVOMSにインストールされました。

証明書のインストールが完了したら、お使いのメールクライアントソフトでメールを送受信して、サーバー証明書に関する警告ダイアログが出ないことを確認しておきましょう。

証明書と鍵をバックアップしておく

最後に証明書と鍵を先程デスクトップに作成した「CERTフォルダ」にコピーしておきます。

このフォルダをEVOMSをインストールしたPCとは別の安全な場所に保存しておけば、PCに何らかのトラブルが発生した場合でも、新しい環境に鍵と証明書をインポートすることが出来ます。この作業は必ず実行して下さい

C:\ProgramData\EvoMailServer\CONFIGS\CERTSTORE

にアクセスして、以下の3つを「CERTフォルダ」にコピー(バックアップ)します。

  • mail.example.com.key ※最も重要なファイルです。
  • mail.example.com.crt
  • mail.example.com.chn

この3つのうち、「.key」と「.chn」は拡張子が表示されているのですぐ分かりますが、「.crt」は拡張子が表示されていません。

ファイルの種類が「セキュリティ証明書」となっているものが「.crt」ファイルです。右クリックしてプロパティで確認することも出来ます。

特に「.crt」と「.csr」は似ているので、保存漏れのないようにしましょう。

以上でEVOMSを使うための基本的な設定はすべて完了しました。必要に応じて活用編リファレンスの記事も参考にしてください。

次は…