SSL & TLSダイアログから証明書を作成すると、MDaemonは自己発行の証明書を生成します。言い換えると、証明書又は証明機関(CA)は証明書の保有者と同じものになります。これは有効な証明書ではありますが、証明機関は、信頼できる証明機関としてユーザーリストへ含まれていないため、ユーザがWebmailやRemote AdministrationのHTTPSのURLに接続する場合に、証明書のインストールや閲覧続行を行うかどうかを尋ねるダイアログが表示されます。ユーザが証明書のインストールに同意し、Webmailのドメインを有効な証明機関とすれば、WebmailやRemote Administrationに接続する度セキュリティ警告が表示される事はなくなります。
MDaemonにMicrosoft Outlookのようなメールクライアント経由で接続する場合は、証明書のインストールに関するオプションは表示されません。証明書が有効なものではなくても、一時的にその証明書を使用するかどうかの選択を行うことになります。メールクライアントを起動してサーバに接続するたびに、有効ではない証明書を使用するかどうかの選択を行わなければなりません。これを避けるために、Let's Encryptのような証明機関からの証明書を使用するか、証明書をエクスポートして、ユーザに対してメールやその他の方法でそれを配布する必要があります。ユーザは配布された証明書を手動でインストールすることにより、警告メッセージの表示を回避することができます。
証明書の作成
MDaemonの中で証明書を作成するには
1.MDaemonの セキュリティ » セキュリティ設定 » SSL & TLS » MDaemonを選びSSL & TLSダイアログを表示します。
2.SSL, STARTTLSおよびSTLSを有効にするを選択します。
3.証明書を作成をクリックします。
4.[ホスト名]というテキストボックスで証明書が属するドメインを入力します(例えば"mail.example.com")。
5.[組織/会社名]というテキストボックスに、証明書の所有者である組織あるいは会社名を入力します。
6.ホスト別名にユーザがWebmailサーバに接続する時に使用すると思われるすべてのドメイン名を入力します(例えば"*.example.com", "example.com", "mail.altn.com")。
7.ドロップダウンリストから暗号キーのビット長を選択します。
8.サーバが所在する国または地域を選択します。
9.OKをクリックします。
サードパーティー証明書の利用
MDaemon以外の認証局から購入・入手した証明書は、Microsoft Management Consoleを使用してMDaemon用証明書の保管エリアにインポートする事で、使用できるようになります。Windows XPでの操作は:
| 1. | Windowsのスタート » ファイル名を指定して実行…を選択し、テキストボックスにmmc /aと入力します。 |
| 2. | OKをクリックします。 |
| 3. | コンソールで、ファイル » スナップインの追加と削除(Ctrl+M) をメニューから選びます。 |
| 4. | スタンドアロン画面の 追加... をクリックします。 |
| 5. | スタンドアロン スナップインダイアログで、証明書をクリックして追加をクリックします。 |
| 6. | 証明書スナップインダイアログで、 コンピュータアカウントを選び 次へをクリックします。 |
| 7. | コンピュータの選択で、ローカルコンピュータを選択して、完了をクリックします。 |
| 8. | 閉じるをクリックしてOKをクリックします。 |
| 9. | 証明書 (ローカルコンピュータ)の左側で、インポートされた証明書が自己署名されたものであれば信頼されたルート証明機関の下の証明書フォルダをクリックします。自己署名されたものではない場合は個人フォルダをクリックします。 |
| 10. | メニューから アクション » すべてのタスク » インポートをえらびます。次へをクリックします。 |
| 11. | テキストボックスにインポートする証明書のファイルパスを入力するか、参照ボタンをクリックしてファイルを探します。そして次へをクリックします。 |
| 12. | 次へをクリックし、完了をクリックします。 |
|
MDaemonは、Personal Information Exchange format (PKCS #12)を使った秘密鍵を持つ証明書のみを表示します。インポートした証明書が一覧に表示されていない場合は、証明書のキーと秘密鍵の両方を含む、*.PEMファイルをインポートする必要がある場合があります。この方法でファイルをインポートすると、PKCS #12形式に変換されます。 |
証明書の管理にLet's Encryptを使用する
Let's Encryptとは、セキュアなウェブサイト向けに、従来手動で行っていた証明書の生成、検証、署名、インストール、更新といった複雑な処理を自動化し、無償の証明書を発行している認証局 (CA) です。
Let's Encryptの自動処理で証明書を管理するのに、Let's Encrypt 画面にてMDaemon\LetsEncryptフォルダに格納されたPowerShellスクリプトを簡単に実行するためのオプションを用意しています。スクリプトを実行するとLet's Encrypt用に、Webmail HTTPフォルダへhttp-01チャレンジに必要なファイルの配置を含む、全ての設定が行われます。ここでは、証明書用のドメインとしてデフォルトドメインのSMTPホスト名が関連するホスト名と併せて使用され、証明書の取得と受信、Windowsへのインポート、MDaemon, Webmail, Remote Administrationでこれらの証明書を使用するためのMDaemon設定が行われます。更に、スクリプトはMDaemon\Logs\フォルダへLetsEncrypt.logというログも生成します。このログはスクリプト実行の度に削除され再生成され、スクリプトの開始時間が記録されます。通知用の管理者アドレスへは、エラー発生時にはメールでの通知も行われます。詳細についてはLet's Encryptを参照してください。
参照:
