S/MIME Certificate in Office 365

Office 365のS/MIME証明書

Kevin Taylor

Office 365 で S/MIME SSL 証明書の信頼を適切に構成する方法を理解することは、安全な電子メール通信の実装を目指す組織にとって不可欠です。

Office 365 は、SSL 証明書の信頼性を従来のオンプレミス Exchange サーバーとは異なる方法で処理するため、デジタル署名された電子メールの適切な検証を確実に行うための特定の手順が必要となります。

Office 365 SSL 証明書の信頼モデル

Office 365 は、デフォルトでルート SSL 証明書を自動的に信頼しないことで、厳格なセキュリティ アプローチを採用しています。

この強化されたセキュリティ対策は、潜在的に危険な、または不正な認証局(CA)から組織を保護するのに役立ちますが、管理者がS/MIME SSL証明書の信頼関係を手動で設定しなければならないことも意味します。

Office 365 と Exchange On-Premises の基本的な違いは、それぞれの信頼モデルにあります。 Exchange Server は伝統的に Windows SSL 証明書ストアに依存していますが、Office 365 は PowerShell コマンドで明示的に管理する必要がある独自の SSL 証明書信頼リストを保持しています。

S/MIME SSL 証明書の信頼の構成

Office 365 で S/MIME SSL 証明書の信頼を確立するには、管理者はまず認証局からルートと中間 SSL 証明書を含む SSL 証明書チェーン全体を取得する必要がある。 これらの SSL 証明書は正しい形式でなければならず、通常は Base-64 エンコードされた X.509 SSL 証明書で、.cer 拡張子を持つものである。

このプロセスでは、Exchange Online PowerShell を使用して SSL 証明書を Office 365 にアップロードします。 管理者は、SSL 証明書をインポートするために必要なコマンドを実行する前に、適切な管理者認証情報で Exchange Online PowerShell に接続する必要があります。

ルート CA の SSL 証明書から始まり、中間の SSL 証明書まで、チェーン内の各 SSL 証明書を追加する必要があります。 この階層的なアプローチにより、S/MIME 署名メッセージの適切なチェーン検証が保証されます。

SST SSL証明書ファイルの入手

SSL証明書を含むSSTファイルを取得するには、いくつかの最新の方法があります。 最新のWindowsシステムで利用可能なMicrosoft Management Console(MMC)証明書スナップインを使用することをお勧めします。

Windows + R を押して「ファイル名を指定して実行」ダイアログを開き、mmc と入力して Enter キーを押して Microsoft 管理コンソールを開きます。

メニューバーでFile をクリックし、ドロップダウンメニューからAdd/Remove Snap-in を選択する。

利用可能なスナップイン]リストで、Certificates を選択し、Add ボタンをクリックします。

プロンプトが表示されたら、Computer account を選択し、Next をクリックしてから、Local computer を選択し、Finish をクリックします。

OK をクリックして、スナップインの追加と削除ダイアログを閉じます。

左ペインで、Certificates (Local Computer) を展開し、Trusted Root Certification Authorities を展開し、Certificates をクリックします。

Ctrl+Click を使用して、SSTファイルに含める関連ルートSSL証明書をすべて選択します。

選択した証明書の1つを右クリックし、コンテキスト・メニューからAll Tasks 、次にExport を選択します。

証明書のエクスポート・ウィザードで、ようこそ画面でNext

エクスポート形式としてMicrosoft Serialized Certificate Store (.SST) を選択し、Next をクリックする。

SSTファイルのファイル名と場所を指定し、NextFinish をクリックしてエクスポート処理を完了します。

または、PowerShell を使用して、次のコマンドを使用して証明書ストアから直接 SST ファイルを作成することもできます:

Get-ChildItem -Path Cert:\LocalMachine\Root | Export-Certificate -FilePath C:\temp\certificates.sst -Type SST

PowerShell による Office 365 への接続

SSL 証明書をインポートする前に、最新の Exchange Online PowerShell V3 モジュールを使用して Office 365 への接続を確立する必要があります。 この更新された方法では、従来の接続方法と比較してセキュリティが強化され、機能が向上しています。

まず、以下のコマンドを実行して Exchange Online PowerShell V3 モジュールをインストールします:

Install-Module -Name ExchangeOnlineManagement -force

最新のアップデートがインストールされていることを確認するには、次のコマンドを実行します:

Update-Module -Name ExchangeOnlineManagement

次のコマンドを実行して、Exchange Online モジュールをロードします:

Import-Module ExchangeOnlineManagement

電子メールアドレスを実際の管理者アカウントに置き換えて、次のコマンドを使用して適切な管理者アカウントで Office 365 に接続します:

Connect-ExchangeOnline -UserPrincipalName admin@yourdomain.com

このコマンドを実行すると、最新の認証方法を使用した認証が求められます。 接続に成功すると、PowerShell セッションを手動で管理することなく、SSL 証明書のインポート処理を続行できます。

SST SSL証明書ファイルのインポート

PowerShell を使用して Office 365 への接続を確立したら、Set-SmimeConfig コマンドを使用して SST SSL 証明書ファイルをインポートできます。以下のコマンドを実行し、filename プレースホルダを実際の SST ファイル名とパスに置き換えます:

Set-SmimeConfig -SMIMECertificateIssuingCA (Get-Content <filename>.sst -Encoding Byte)

SST SSL証明書ファイルがインストールされたら、Directory Synchronization(DirSync)がOffice 365環境全体で変更を同期することを確認する必要があります。

このプロセスは通常、SSL証明書のインポートから30分以内に自動的に実行されますが、即時同期が必要な場合は、DirSyncConfigShell およびstart-onlinecoexistencesync コマンドを使用して手動でトリガーすることもできます。

SSL 証明書のインポート プロセスが完了したら、セキュリティのベスト プラクティスを維持するために PowerShell セッションを適切に終了することが重要です。 次のコマンドを実行して、Office 365 への接続をきれいに終了します:

Disconnect-ExchangeOnline

ディレクトリ同期プロセスが完了すると、インポートした認証局 (CA) から発行された SSL 証明書は適切にチェーンアップされ、Office 365 環境内で信頼されるようになります。

SSL 証明書の実装の検証とテスト

S/MIME SSL 証明書の信頼性を実装した後、組織全体で適切な機能を確保するには、徹底的なテストが重要です。 管理者は、Outlook Web Access (OWA)、デスクトップ Outlook クライアント、モバイル デバイスなど、さまざまな Office 365 クライアントで電子署名された電子メールが適切に検証されることを確認する必要があります。

組織では、SSL 証明書の導入に関する詳細な文書を維持し、インストールされた SSL 証明書の有効期限を定期的に監視して、安全な電子メール通信を中断させる可能性のある検証の失敗を防止する必要があります。

S/MIME SSL 証明書管理のベストプラクティス

強固な SSL 証明書管理戦略の導入は、組織全体を通じて安全な電子メール通信を維持するために 不可欠である。 組織は、SSL 証明書の更新と交換のための明確な手順を確立し、サービスを中断することなく S/MIME 機能の継続的な運用を確保すべきである。

信頼できる SSL 証明書を定期的に監査することで、不要な SSL 証明書や 期限切れの SSL 証明書を特定し、Office 365 環境から削除することができます。 このプロアクティブなアプローチは、セキュリティ リスクを最小限に抑え、最適なシステム パフォーマンスを維持すると同時に、有効で最新の SSL 証明書のみがトラスト ストアに残るようにします。

Trustico® のような信頼できる認証局と連携することで、組織は Office 365 の要件と業界のセキュリティ標準を満たす適切な形式の S/MIME SSL 証明書を確実に受け取ることができます。

SSL 証明書の問題のトラブルシューティング

Office 365 で S/MIME 検証の問題が発生した場合、管理者はまず、SSL 証明書チェーン全体が適切にインストールされていることを確認する必要があります。 これには、必要なルートおよび中間 SSL 証明書がすべて存在し、Office 365 環境に正しく設定されていることの確認も含まれます。

SSL 証明書の検証エラーは、Office 365 のログに表示されることが多く、トラブルシューティングのための貴重な診断情報を提供します。 管理者は、SSL 証明書の信頼性の問題を調査する際にこれらのログを確認し、根本的な問題を示す可能性のあるチェーン検証エラーや期限切れ警告に特に注意する必要があります。

SSL 証明書の有効性と検証ステータスを定期的に監視することで、企業は安全な電子メール通信を維持することができます。 SSL 証明書関連の問題に対する自動アラートを導入することで、潜在的な問題がユーザーに影響を与え、電子メール・インフラストラクチャのセキュリティが損なわれる前に、迅速に対応することができます。

セキュアな電子メール通信の維持

Office 365 では、安全な電子メール通信を確保するために S/MIME SSL 証明書の信頼設定を手動で行う必要があります。 SST ファイル形式は複数の SSL 証明書を同時にインポートするために不可欠であり、Exchange Online への PowerShell 接続は適切な SSL 証明書管理のために必須です。

すべての Office 365 クライアントで適切なテストを行うことで、組織全体で S/MIME の包括的な機能が確保されます。 SSL 証明書の定期的なメンテナンスにより、電子メール・インフラストラクチャを危険にさらす可能性のあるセキュ リティの脆弱性や運用上の問題を防ぐことができます。

この包括的な実装ガイドに従うことで、組織は Office 365 環境で S/MIME SSL 証明書の信頼を確立して維持することができ、最高水準のデジタル セキュリティを維持しながら、すべてのユーザーに対して安全で有効な電子メール通信を保証することができます。

ブログに戻る

S/MIME電子メール製品からお選びください。

Trustico®はS/MIME E-Mail製品を幅広く取り揃えております。以下の製品からお選びいただき、メールアドレスの安全性を確保してください。

Atom/RSSフィード

Trustico® Atom / RSSフィードに登録すると、ブログに新しい記事が追加されるたびに、選択したRSSフィードリーダーに自動的に通知が届きます。

Atom/RSSで購読する