2024 年 11 月のセキュリティ更新プログラムの時点で、Microsoft Exchange Server 2019 および 2016 では、楕円曲線暗号 (ECC) 証明書のサポートが強化されました。この記事では、Exchange Server で ECC 証明書を有効にしてインストールする方法を説明します。
楕円曲線暗号 (ECC) には、従来の RSA 暗号システムに比べていくつかの利点があります。
- より小さいキー サイズ:ECC は、はるかに短いキー長で RSA と同等のセキュリティを実現します。たとえば、256 ビット ECC キーは、3072 ビット RSA キーと同様のセキュリティを提供します。
- より高速なパフォーマンス:ECC はキー サイズが短いため、必要な計算能力が少なくなり、暗号化と復号化のプロセスが高速化されます。この効率は、スマートフォンや組み込みシステムなど、リソースが限られているデバイスにとって特に有益です。
- リソース使用量の削減:ECC のキー サイズが小さいため、メモリ使用量が減り、キーを送信するための帯域幅要件が軽減されるため、リソースに制約のあるシステムにより適しています。
ECC 証明書ではサポートされない Exchange Server シナリオ
次のシナリオでは、現在 ECC 証明書の使用がサポートされていません。 Microsoft は、将来的にこれらをサポートするためのアップデートに取り組んでいます。
- フェデレーション信頼証明書
- Exchange Server OAuth 証明書
- Active Directory フェデレーション サービス (AD FS) クレームベース認証シナリオ
Exchange Server サービスの ECC 証明書のサポート
Exchange Server では、通信を保護するためにさまざまなサービスに証明書を割り当てることができます。証明書を割り当てることができるサービスを表に示します。
| サービス | ECC証明書をサポート |
|---|---|
| IIS (HTTP) | はい |
| POP または IMAP | はい |
| SMTP | はい |
| エッジシンク | いいえ |
| ユニファイド メッセージング (UM) | はい |
| Microsoft 365 または Office 365 とのハイブリッド展開 | はい |
| セキュア/多目的インターネット メール拡張機能 (S/MIME) | いいえ |
Exchange Server に ECC 証明書をインストールする
WIN-ACME クライアントを使用して Exchange Server に ECC 証明書をインストールするには、次の手順に従います。
ステップ 1. ECC 証明書のサポートを有効にする
注記:ECC 証明書のサポートを有効にする前に、Exchange Server 2016/2019 を最新バージョンに更新してください。
ECC 証明書のサポートはデフォルトでは無効になっていますが、以下のコマンドを実行してレジストリ値を作成することで有効にできます。このコマンドは、組織内のすべての Exchange Server で実行する必要があります。
New-ItemProperty -Path "HKLM:SOFTWAREMicrosoftExchangeServerv15Diagnostics" -Name "EnableEccCertificateSupport" -Value 1 -Type String変更が有効になるまでに最大 15 分かかる場合があります。
ステップ 2. WIN-ACME クライアントをインストールする
がありますリストサードパーティが使用するために提供する ACME クライアントの数。 Windows ACME Simple (WACS) を使用します。 Windows 用のシンプルな ACME クライアント – Let's Encrypt で使用します。証明書は自動的に更新されるため、インストールして構成すると、継続的にセキュリティが確保された Web サーバーが得られます。
Windows ACME Simple (WACS) クライアントをインストールするには、次の手順に従います。
- Exchange サーバーにサインインする
- WIN-ACME クライアントを次の場所からダウンロードします。公式ウェブサイト
- .zip 内のファイルを Exchange Server の C:Program FilesLets Encrypt フォルダに抽出します。
ステップ 3. WIN-ACME クライアントの準備
を調整します。設定_デフォルト.jsonLet's Encrypt に証明書をリクエストする前に。これは、WIN-ACME クライアントがデフォルトで 3072 ビットの RSA キー ペアを使用するためです。したがって、設定を Elliptec Curve に変更する必要があります。また、秘密キーをエクスポート可能にすると、証明書の秘密キーが証明書に自動的にインポートされます。
- 始めるファイルエクスプローラー
- パスに移動C:プログラムファイルを暗号化しましょう
- 開ける設定_デフォルト.jsonメモ帳を使って
- DefaultCsr を次のように設定します「えっ」
- PrivateKeyExportable を次のように設定します真実
- を保存します。ファイル
注記:Win-ACME を起動すると、settings_default.json ファイルがその設定とともに settings.json にコピーされます。すでに Win-ACME を起動している場合は、フォルダー内に settings.json が表示されます。 settings.json の値を編集します。
ステップ 4. Exchange Server でポート 80 を許可する
Let's Encrypt ACME クライアントは、ファイアウォールを介してポート 80 で Let's Encrypt に接続し、証明書を要求します。ポート 80 を有効にしていない場合は、続行する前に有効にしてください。 Exchange Server のクライアントのネットワーク ポートとメール フローについて詳しく説明します。
ステップ 5. ACME クライアントを使用して ECC 証明書を生成する
WIN-ACME は、対話型メニューまたは無人モード (コマンド ライン) から使用できます。コマンドラインを使用すると、メニューを移動する必要がありません。
WIN-ACME クライアントを使用して、ドメインの ECC 証明書を生成します。
- 開けるコマンドプロンプト管理者として
- に移動します。ディレクトリWIN-ACME がある場所
cd "C:program fileslets encrypt"- 次のコマンドを実行して ECC 証明書を作成します
この例では、ホストを使用します。
- mail.exoip.com
- autodiscover.exoip.com
- ダウンロード.exoip.com
wacs.exe --target manual --host mail.exoip.com,autodiscover.exoip.com,download.exoip.com --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --installationsiteid 1 --script "./Scripts/ImportExchange.v2.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'" --verbose- プレスn利用規約を開かないようにする
- プレスy利用規約に同意する
- を記入してください電子メールそして押します入力
ステップ 6. Exchange Server ECC 証明書を確認する
ECC 証明書が Exchange 管理センターに表示されることを確認します。
それでおしまい!
結論
Exchange Server に ECC 証明書をインストールする方法を学習しました。まず、Exchange Server で ECC サポートを有効にしてください。その後、Win-ACME をダウンロードして、Let's Encrypt から ECC 証明書を要求します。証明書は 90 日以内に自動的に更新されますが、ポート 80 を開いたままにしておく必要があることに注意してください。
もっと詳しく知る:Exchange フェデレーション証明書の有効期限が切れました
この記事は楽しかったですか?証明書のフレンドリ名を変更する方法も気に入っていただけるでしょう。ぜひフォローしてこの記事をシェアしてください。
