セキュリティをとくに重視する SSL/TLS サービスではサーバの認証(サーバ証明書の検証)だけでなく、クライアントの認証(クライアント証明書の検証)も行うことがありますが、クライアント認証を行うためには CA 証明書が必要になります。XMail は Windows の証明書ストアを利用しないのであなたが自分でそれを作成しなければなりません。
«診断» 現在の環境は以下の通りです。
- XMail はクライアント認証を行わない設定になっています(デフォルト動作)。
- XMail のための CA 証明書がインストール済みです。
2通りのインストール
XMail では CA 証明書は以下の 2 通りのインストールがあります。
XMail の MailRoot フォルダ内に certs.pem ファイルをインストール
CA 証明書を 1 ファイルにまとめる場合はこの方法です。もっぱら私的認証局を利用する場合など、証明書の数が少ない場合はこの方法が手軽です。この方法を実行するためには、[環境設定]-[XMail 環境設定] で "CA 証明書を certs.pem ファイルから取得 (SSLUseCertsFile)" を "有効" にする必要があります。
[私的認証局の運用] メニューから私的認証局を作成した場合、MailRoot に CA 証明書 certs.pem が自動作成されています。この証明書は同じ私的認証局で作成するクライアント証明書を利用する他の XMail のためにもそのままコピーして使えます。また、certs.pem は複数の証明書を連続して格納できるので、あなたが他の証明書を持っている場合、それらをメモ帳などで certs.pem に追加してください。
XMail の MailRoot/certs フォルダ内に証明書ファイルをインストール
インターネットで本格的な SSL/TLS サービスを運用する場合、XMail は多くの CA 証明書を参照することになります。 XMail のバイナリパッケージを展開すると、その certs フォルダ内に .pem という拡張子を持つファイル群がありますが、これらはすべて公式な認証機関の CA 証明書です。
私的認証局の証明書を含め、XMail ではこれらの証明書を MailRoot/certs フォルダ内にインストールして利用することができます。証明書の数が多い場合はこちらの方法がメンテナンスが楽かもしれません。この方法を実行するためには [環境設定]-[XMail 環境設定] で "CA 証明書を certs フォルダ内から取得 (SSLUseCertsDir)" を "有効" にする必要があります。
ただし、この場合、CA 証明書のファイル名を XMail の管理方法に合わせて変更する(ハッシュ名にする)必要があります。名前を変更するのは証明書の検索を高速に実行するためです。
以下のボタンを押せば C:/usr/xmailserver/certs 内の CA 証明書を XMail にインストールします(ハッシュ処理)。
低速システムでは処理に時間がかかることがあります。XMail の環境を確認してください
SSL/TLS サービスでクライアント認証を行うためには、CA 証明書のインストールに加えて [環境設定]-[XMail 環境設定] で以下の作業が必要です。
"リモートホストにSSL証明書を要求する (SSLWantCert)" を "有効" にします。これによりクライアント証明書を提示できないクライアントは SSL/TLS 接続では XMail を利用できなくなります。(非 SSL 接続には影響はありません)
クライアント証明書の内容を検証する場合は "リモートホストのSSL証明書を検証する (SSLWantVerify)" を "有効" にします。これにより正しい証明書を提示できないクライアントは SSL/TLS 接続では XMail を利用できなくなります。
証明書を MailRoot/certs フォルダで参照する場合、"CA 証明書を certs フォルダ内から取得 (SSLUseCertsDir)" を "有効" にします。
私的認証局で発行したクライアント証明書を受け入れる場合は "自己署名による証明書を許可する (SSLAllowSelfSigned)" を "有効" にします。