TLS のキーと証明書の設定
転送モードの典型的な MTA の統合では、TLS をサポートするために、次のキーと証明書が必要になります。
- 上位の MTA のキーストアはNetwork Prevent (Email)Server の公開キー証明書を含む必要があります。このキーは、TLS セッションの一部としてNetwork Prevent (Email)を認証するように上位の MTA で判断した場合に必要になります。
- Network Prevent (Email)Server のキーストアには、自身の秘密キーと、下位の MTA またはホストされた電子メールサーバーの公開キー証明書が格納されている必要があります。
- Network Prevent (Email)Server が利用不能なときにこのサーバーをバイパスするように上位の MTA が設定されている場合、上位の MTA のトラストストアには、下位の MTA またはホストされた電子メールサービスの有効な証明書も格納されている必要があります。
反射モードの MTA の統合では、単一の MTA は上位の MTA としても下位の MTA としても機能します。反射モードの MTA は
Network Prevent (Email)
Server の公開キー証明書を含む必要があります。Network Prevent (Email)
Server のキーストアには、自身の秘密キーと、統合された反射モードの MTA の公開キー証明書が格納されている必要があります。Network Prevent (Email)
Server が利用不能なときにこのサーバーをバイパスするように反射モードの MTA が設定されている場合、MTA のトラストストアには、下位の MTA またはホストされた電子メールサービスの有効な証明書も格納されている必要があります。ホストされたメールサーバーは通常、ルート認証局 (CA) によってデジタル署名された公開キー証明書を使います。ホストされた電子メールサービスプロバイダから CA によって署名された公開キー証明書を入手し、転送モードの設定用に
Network Prevent (Email)
Server のキーストアに追加する必要があります。反射モード設定で、反射モード MTA キーストアにキーを追加します。Network Prevent (Email)
のキーストアに追加するどの証明書も、証明書ファイル内で -----BEGIN CERTIFICATE-----
と -----END CERTIFICATE-----
文字列で囲まれた、Private Enhanced Mail (.pem
) の Base64 でエンコードされた DER (Distinguished Encoding Rules) 証明書形式の X.509 証明書である必要があります。ステップ | 処理 | 説明 |
|---|---|---|
ステップ 1 | Network Prevent (Email) Server のデフォルトのキーストアパスワードを変更します。 | Network Prevent (Email) Server のデフォルトのキーストアパスワードを安全なパスワードに変更するために Java の keytool ユーティリティを使います。次に、Enforce サーバー管理コンソールを使って、更新されたパスワードを使うように Network Prevent (Email) Server を設定します。 |
ステップ 2 | Network Prevent (Email) Server のキーペアを生成します。 | Java の keytool ユーティリティを使って、Network Prevent (Email) Server の公開キーと秘密キーのペアを生成します。 |
ステップ 3 | Network Prevent (Email) Server キーストアから公開キー証明書をエクスポートします。 | keytool ユーティリティを使って、ステップ 2 で生成した公開キーの自己署名の証明書をエクスポートします。 |
ステップ 4 | 上位の MTA のキーストアか反射モードの MTA のキーストアに Network Prevent (Email) Server の公開キー証明書をインポートします。 | keytool を使って、ステップ 3 でエクスポートした公開キー証明書ファイルを上位の MTA のキーストアにインポートします。これにより MTA は TLS 通信で Network Prevent (Email) Server を認証できます。公開キー証明書をインポートする方法の手順については、MTA のマニュアルを参照してください。 |
ステップ 5 | 次ホップの MTA またはホストされた電子メールサービスの公開キー証明書を入手します。 | ネットワークで管理する次ホップの MTA の公開キー証明書ファイルを入手します。証明書をエクスポートする方法の手順については、MTA のマニュアルを参照してください。 TLS プロキシチェーン内のネクストホップとして外部のホストされたメールサーバーにアクセスする場合は、プロバイダから公開キー証明書を入手します。手順については、電子メールホスティングサービスプロバイダのマニュアルを参照してください。 |
ステップ 6 | 転送モードの統合の場合、 Network Prevent (Email) Server のキーストアに次ホップの公開キー証明書を追加します。 | Java の keytool ユーティリティを使って、下位の MTA またはホストされたメールサーバーの公開キー証明書を Network Prevent (Email) Server のキーストアにインポートします。 |
ステップ 7 | 反射モードの統合の場合、反射モードの MTA のキーストアに次ホップの公開キー証明書を追加します。 | 公開キー証明書をインポートする方法の手順については、MTA のマニュアルを参照してください。 |