あなたが公式な SSL/TSL サービスのための秘密鍵や公開鍵(サーバ証明書)をすでに所持しているなら、それらを利用して同じコモンネームで XMail のための SSL/TLS サービスを開始することができます。その場合、本ページによる作業は不要です。証明書のインストール等は [証明書の管理] メニューを利用してください。

公式な証明機関(CA)からあなたの XMail のためのサーバ証明書を新たに取得して公式の SSL/TLS サービスを運用するためには以下の作業を行う必要があります。

1. あなたの XMail のための秘密鍵と証明書署名要求(CSR)ファイルを作成する(フォームから自動処理)。
2. 証明書署名要求ファイルを証明機関へ送付する(ウェブサイト等の利用、またはオフラインによる手作業)。
3. 証明機関からサーバ証明書、中間 CA 証明書を入手する。中間 CA 証明書はない場合もあります(手作業)。
4. 秘密鍵とサーバ証明書、中間 CA 証明書(もしあれば)を XMail の MailRoot にインストールする(手作業)。[証明書の管理] メニューを利用可能。
5. XMail の環境設定で SSL/TLS をオンにする。ただし、これは XMail のデフォルト動作です。

公式の SSL/TLS サービスでは、インターネットメールサービスにおいて暗号通信を可能にするとともに、あなたの運用ドメインの正当性を証明機関が保証してくれます。ドメイン所有者の認証を行えば「なりすまし」を防ぐことができ、よりセキュリティレベルの高いメールサービスを行うことができます。

«診断» ローカルホストで運用中の現在の XMail の SSL/TLS 環境は以下の通りです。秘密鍵(MailRoot/server.key)、サーバ証明書(MailRoot/server.cert)のペアを作成しないと SSL/TLS サービスの運用はできません。クライアント証明書の検証を行う場合は CA 証明書も必要です。中間 CA 証明書がある場合はサーバ証明書の末尾に追加します。

1. 秘密鍵とペアになったサーバ証明書がインストールされています。
2. 秘密鍵がインストール済みです。
3. CA 証明書がインストール済みです。

証明書署名要求(CSR)の新規作成

XMail の MailRoot/sslconf フォルダ内に秘密鍵ファイル(server.key)と証明書署名要求ファイル(server.csr)のペアを作成します。作成したファイルは処理完了ページから、または [証明書の管理] ページから参照・ダウンロードできます。 公的なサーバ証明書等を入手できた場合は [証明書の管理] ページからそれらをインストールしてください。

国名コード * (日本は JP) 都道府県名 * (ex: Tokyo) 市区町村名 * (ex: Shibuya-ku) 組織名 * (ex: Xmail Co., Ltd.) 部署名 (ex: Development、空白可) コモンネーム *  (ex: mail.dojo.jp) ホスト別名 (ex: dojo.jp www.soopoo.jp) メールアドレス  (空白可) 鍵の長さ * (ex: 2048) 作成メモ

• 実在の正しい情報を記入する必要があります。 * マークは必ず入力してください。
• 本メニューから作成する CSR は SHA-2 アルゴリズムで署名します。
• 証明機関によっては「市区町村名」で詳細入力を求められたり、部署名が必須とされることがあります。
• 「コモンネーム」にはあなたのメールサーバやウェブサーバの完全なドメイン名(FQDN)を指定します。メールサーバの場合、その名前を DNS の MX リソースレコードに登録する必要があります。その他のサーバの場合は A リソースレコードにそれを登録します。
• ワイルドカード対応の証明書を取得する場合、コモンネームを *.domain.com のように指定してください。
• 「ホスト別名」には「コモンネーム」のほかに証明の必要なドメイン名または IP アドレスがある場合に指定します。スペース文字で区切って複数指定が可能です。ただし、証明機関への申込内容に従う必要があります。
• 「鍵の長さ」は証明機関への申込内容に従う必要がありますが、本システムでは 2048 より小さい指定はできません。
• 「作成メモ」は備考として任意の内容で指定できます(日本語可)。
上へ ↑

SSL/TLS サービス開始までの作業について

本ページで作成した秘密鍵ファイルと証明書署名要求ファイルは [証明書の管理] ページで管理されています。このあと公式の SSL/TLS サービスを開始するためには、以下の作業が必要です。

1. 証明書署名要求ファイル server.csr を証明書発行機関に送付し、サーバ証明書の取得手続きを実行します(有料です)。発行機関によっては関連作業をウェブサイトで簡易に実行できる場合があります。
2. 手続きが完了してしばらくすると証明書発行機関からあなたのサーバ証明書と中間 CA 証明書が入手できるようになります。中間 CA 証明書は配布されない場合もあります。
3. サーバ証明書と秘密鍵、中間 CA 証明書を XMail の MailRoot にインストールします。インストールは [証明書の管理] メニューを利用すると便利です。そのさい、サーバ証明書は server.cert という名前に、秘密鍵は server.key にします。中間 CA 証明書があれば server.cert の末尾に追加します。
4. その後、[環境設定]-[XMail 環境設定] で SSL/TLS を適切に設定して XMail を再起動し、作業完了です。ただし、SSL/TLS 関連設定が XMail デフォルトのままであるなら何もする必要はありません。

メーラの設定で「証明書を検証」してください

あなたの XMail で公的な SSL/TLS を運用している場合、ローカルユーザに対してメーラ設定で証明書を検証するオプションをオンにすることができるということ、それによってセキュリティをいっそう高めることができるということをアナウンスしてください。

ただし、メーラで証明書を検証する場合、その環境設定においてアクセス先メールサーバ名を前掲フォームの「コモンネーム」で指定するものと同じにする必要があります。

上へ ↑

この運用環境の問題点

費用がかかり、手続きに時間がかかることを除けばこの運用環境には何も問題点はありません。会社など社会的な責任の伴う組織で SSL/TLS サービスを行う場合はこの運用環境にしてください。

ちなみに、2007 年 9 月、XMailCFG の作者は公的サービスを検証するために、30 日間だけ無料の公式証明書を発行してくれる某社サービスを利用してみましたが、テストサーバ上の XMail で SSL/TLS がまったく問題なく利用できました。

上へ ↑