クライアント認証のため、私的認証局からクライアント証明書を発行します。クライアント認証では、SSL/TLS セッションでメーラなどが提示したクライアント証明書をサーバ側で検証します。 サーバ証明書がサーバのなりすましを防ぐものであるのに対して、クライアント証明書はクライアントのなりすましを防ぐものです。セキュリティをとくに重視しなければならないサービスをセットアップしたい場合にはおすすめです。
クライアント認証のセットアップ手順は以下の通りです。
- [環境設定]-[XMail 環境設定] で SSL/TLS をオンにする。ただし、これは XMail のデフォルト動作です。
- [環境設定]-[XMail 環境設定] で XMail のクライアント認証機能をオンにし、関連作業を行います(後述)。
公的なクライアント証明書をインストール済みのユーザはこれだけでサービスを利用できます。
以下は私的認証局を利用してクライアント認証をセットアップするための追加作業です。 - [私的運用(私的認証局署名)] メニューで私的認証局をセットアップします(作成済みです)。
- 本ページでクライアント証明書をユーザごとに作成します(フォームから自動処理)。
- 作成したクライアント証明書を XMail ユーザに配布します。もしユーザが私的認証局の証明書(DERファイル)をまだ自分の PC にインストールしていない場合はそれも同時に配布します(手作業)。
- XMail のユーザは自分の PC にクライアント証明書(と私的認証局の証明書)をインストールします(手作業)。
クライアント証明書の作成
XMail の MailRoot/sslconf フォルダ内にクライアント証明書を自動作成します。
作成した証明書は本ページから、または [証明書の管理] ページからダウンロードできます。
証明書は PKCS(Public Key Cryptography Standard)フォーマット(.P12拡張子)です。
XMailでの準備作業
XMail はデフォルトではクライアント認証を行いません。クライアント認証を実行するためには [環境設定]-[XMail 環境設定] で以下の作業を行う必要があります。
- [リモートホストにSSL証明書を要求する(SSLWantCert)] を "有効" にします。これは必須です。
- クライアント証明書を検証する場合は [リモートホストのSSL証明書を検証する(SSLWantVerify)] を "有効" にします。これによりさらにセキュリティが高まりますが、正しい認証局から発行されたクライアント証明書をリモートホストが提示できない場合は接続が切断されます。
- クライアント証明書の検証を CA 証明書ファイル Mailroot/certs.pem で行う場合は [CA証明書をcerts.pemファイルから取得(SSLUseCertsFile)] を "有効" にします。
- クライアント証明書の検証を CA 証明書フォルダ Mailroot/certs 内の CA 証明書ファイルで行う場合は [CA証明書をcertsフォルダ内から取得(SSLUseCertsDir)] を "有効" にします。ただし、この場合、[CA証明書作成] メニューを利用して CA 証明書のファイル名をハッシュ名に変換しておく必要があります。
- 自己署名されたクライアント証明書を受け入れる場合は [自己署名による証明書を許可する(SSLAllowSelfSigned)] を "有効" にします。
- 設定完了後、XMail を再起動します。
クライアントPCでの準備作業
SSL/TLS サービスにおいてクライアント認証を行う場合、クライアント PC で以下の作業を行う必要があります。
- 管理者はクライアント PC の所有者に本メニューで生成したクライアント証明書を届ける必要があります。このとき、クライアント証明書をインストールするためのパスワードも同時に通知しなければなりません。
- クライアント証明書は MailRoot/sslconf フォルダ内の xxxxxxxx-yyyyyy という名前のサブフォルダに.p12という拡張子を持つファイルとして格納されています。そこにあるインストール履歴ファイル profile.txt を見れば個々の証明書の詳細情報を確認できます。
- クライアント証明書をインストールするためのパスワードは profile.txt 内の mypass2 変数の値として書かれています。[証明書の管理] ページからも確認できます。
- PC の所有者はクライアント証明書を自分の PC にインストールします。利用中のメーラによってインストール手続きが異なる場合があります(次項参照)。
- 認証局の証明書(DERファイル)をインストールしていない場合、それも自分の PC にインストールする必要があります。[私的認証局運用] メニューの説明を参考にしてください。ただし、認証局の変更がない限り DER ファイルのインストールは一度だけです。CA証明書(DERファイル)はこちらからダウンロードできます。
クライアント証明書(P12ファイル)をクライアント PC にインストールするには以下のようにします(Windows XP/Vista の場合)。
■ Mozilla Thunderbird の場合
- 管理者から証明書ファイルを入手し、任意の場所に置きます。
- Mozilla Thunderbird を起動し、[ツール]-[オプション]-[詳細] メニューを開きます。
- [証明書] タブから [証明書を表示] ボタンをクリックすると、「証明書マネージャ」が開きます。
- [あなたの証明書] タブを開き [インポート] ボタンからダウンロードした証明書ファイルを選択します。
- 証明書のインストールが初めてである場合、"Software Security Device" へのパスワード登録を求められます。このパスワードは任意に決めることができますが、忘れないように注意しなければなりません。忘れた場合、Thunderbird を再インストールする羽目になります。
- 次に証明書のバックアップ用パスワードを求められるので、管理者から通知されたものを指定して登録を完了します。
■ Outlook(2003/2007)、Windowsメール(Vista)の場合
- 管理者から証明書ファイルを入手し、任意の場所に置きます。
- 証明書を選択し、右ボタンメニューを開くと [PFXのインストール] というメニューが現れます。それを選択すると、"証明書のインポートウィザードの開始" が現れます。そのままウィザードを進めてください。
- "秘密キーのパスワードを入力してください。" で、管理者から通知されたものを指定します。登録された証明書をあとで取り出す可能性がある場合は [このキーをエクスポート可能にする] にチェックをつけます。
- [証明書ストア] では [証明書の種類に基づいて、自動的に証明書ストアを選択する] にチェックをつけて続行すれば登録が完了します。
■ その他のメーラの場合
-
その他のメーラの多くはおそらく Windows の証明書ストア(Outlookなどのための場所)を見ているようです。よって、Outlook の場合と同じ作業を行ってください。この件について追加情報を持っているユーザは XMailCFG の作者またはサポートサイトまでご一報ください。
メーラ別の動作メモ
この動作メモは内容が古くなっています。
本ページにおいて生成したクライアント証明書をクライアント PC にインストールし、XMail でクライアント認証を行った結果を以下にまとめてみました。動作不良の原因について、また他のメーラについて情報を持っているユーザは XMailCFG の作者またはサポートサイトまでご一報ください。
| ( ◎は問題なし、△はオプション設定により動作、×は動作しないことを示します ) | ||
| Windows XP 環境 | 送信動作(SMTP) | 受信動作(POP3) |
| Becky!(試用版) | ◎ | ◎ |
| EdMax(フリー版) | ◎ | ◎ |
| Mozilla Thunderbird | ◎ | ◎ |
| nPOP | ×(非SSLで利用可) | ×(非SSLで利用可) |
| Outlook(Office2003) | ◎ | ×(接続が中断される、非SSLで利用可) |
| Outlook Express 6 | ◎ | ×(接続が中断される、非SSLで利用可) |
| 秀丸メール | △(証明書を検証すると×) | △(証明書を検証すると×) |
| Windows Vista 環境 | 送信動作(SMTP) | 受信動作(POP3) |
| Becky!(試用版) | ◎ | ◎ |
| EdMax(フリー版) | ×(非SSLで利用可) | ×(非SSLで利用可) |
| Mozilla Thunderbird | ◎ | ◎ |
| nPOP | ×(非SSLで利用可) | ×(非SSLで利用可) |
| Outlook(Office2007) | ◎ | ◎ |
| Windowsメール | ◎ | ◎ |
| 秀丸メール | △(証明書を検証すると×) | △(証明書を検証すると×) |