DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. Microsoft Exchange向けSSL サーバー証明書

EMSでExchangeを外部ドメイン名利用に再設定する

CA/ブラウザフォーラム(CA/B)の新基準要件により、認証局 (CA) は内部ドメイン名対応の証明書を発行できなくなりました。

クライアントアクセスサーバーとしてMicrosoft Exchangeを利用し、安全な接続のために内部ドメイン名のFQDN(例:CASServer01.yourcompany.internal)などで証明書を利用している場合、Exchangeサーバー管理者は内部ドメイン名を使わなくても良いように準備する必要があります。

再設定方法

外部ドメインだけを使うように再設定を行う場合、いくつかのオプションがあります。

Active Directoryを使っている場合
Active Directoryの設定を内部ドメイン名から外部ドメイン名に変更してください。
Exchangeサーバーが使っている内部ドメイン名のFQDNが変更され、登録済み外部ドメインの有効なサブドメインに再ルーティングされます。(例:CASServer01.yourcompany.internal -> CASServer01.yourcompany.com)
これによって該当するドメインでのマルチドメイン証明書やワイルドカードサーバ証明書が利用できるようになります。
外部DNSを使うようリダイレクトを設定する

Exchange2007あるいはExchange2010サーバーで再設定するには、Exchange Management Shell (EMS) でコマンドを実行し、クライアント・アクセス・ロールを実行しているサーバーを外部ドメインを使うように設定します。
このコマンドは「自動検出サービス」「Exchange Web サービス (EWS)」「OWA Web-based Offline Address book」のそれぞれのURLを修正します。

※コマンドを実行する前にExchangeクライアントアクセスサーバー (CAS) のIPがDNSで正しく設定されていることを再確認してください。
コマンドはExchange Managementシェル (EMS) で、改行なしで実行してください。
  1. 以下のコードを実行する
    Set-ClientAccessServer -Identity HostName -AutodiscoverServiceInternalUri https://mail.yourdomain.com/autodiscover/autodiscover.xml Set-WebServicesVirtualDirectory -Identity "HostName\EWS (Default Web Site)" -InternalUrl https://mail.yourdomain.com/ews/exchange.asmx Set-OABVirtualDirectory -Identity "HostName\oab (Default Web Site)" -InternalUrl https://mail.yourdomain.com/oab
  2. 実行したコマンドを有効にするために、アプリケーションプールを更新しIISを再設定する
    1. 「スタート」から「インターネットインフォメーションサービス (IIS) マネージャー」に入ります。
    2. 左ペインの「サーバー名」の下の「アプリケーションプール」をクリック、中央ペインの「MSExchangeAutodiscoverAppPool」を右クリックし「リサイクル」を選択します。
その他の方法
内部ドメイン名を外部ドメインの mail URL にリダイレクトするという方法がありますが、この方法ではOutlook AnywhereサービスでメールにアクセスできないのでVPNで接続しているユーザーで問題が発生するでしょう。

関連情報

SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース