私的な証明機関(自己認証局、私的認証局)をセットアップし、それを「信頼された証明機関」としてクライアント PC に登録します。これにより、この証明機関から発行するサーバ証明書やクライアント証明書の検証でエラーが出なくなります。私的な証明書で円滑な SSL/TLS サービスを運用したい場合に本メニューを利用できます。作業内容は以下の通りです。

1. 私的認証局をセットアップし、それ自身の秘密鍵と証明書を作成する(フォームから自動処理)。
2. 私的認証局の証明書(DERファイル)をクライアント PC にインストールする(手作業)。
3. この XMail のための秘密鍵と証明書署名要求(CSR)を作成し、証明書署名要求を私的認証局の証明書で署名し、その XMail のためのサーバ証明書を作成する(フォームから自動処理)。
4. 作成した秘密鍵とサーバ証明書を XMail の MailRoot にインストールする(フォームによる自動処理または手作業)。
5. 個々の XMail の環境設定で SSL/TLS をオンにする。ただし、これは XMail のデフォルト動作です。

私的認証局による SSL/TLS 運用を行う場合、XMail のためのサーバ証明書や秘密鍵は [私的運用(自己署名)] メニューではなく本メニューを利用して作成・インストールしてください。

«診断» ローカルホストで運用中の XMail の現在の SSL/TLS 環境は以下の通りです。秘密鍵、サーバ証明書のペアを作成しないと SSL/TLS サービスの運用はできません。クライアント証明書の検証を行う場合は CA 証明書も必要です。

1. 私的認証局がセットアップされています。
2. サーバ証明書が存在しますが、現在の私的認証局に署名されたものではありません。
3. サーバ証明書とペアになった秘密鍵がインストールされています。
4. CA 証明書がインストール済みです。

私的認証局(自己認証局)をセットアップ

認証局が以下の内容でセットアップ済みです。有効期限内は認証局を作り直す必要はありません。
この認証局は 2015/08/27 から 10000日(約27年)まで有効です。
認証局を作り直すと CA 証明書(DERファイル)の再インストールが必要になり、また、それまでに作成したサーバ証明書も再作成する必要があります。

クライアントPCインストール用CA証明書(DERファイル)をダウンロードする。
インストール方法はこちらを見てください。

私的認証局によるサーバ証明書を作成

ローカルホストの証明書ストアにこのサーバのための秘密鍵ファイル(server.key)と私的認証局で署名したサーバ証明書ファイル(server.cert)を自動作成します。2 つのファイルは処理完了ページから、または [証明書の管理] ページから参照・ダウンロードできます。ローカルホストにそのままインストールする場合は [直ちにインストール] にチェックをつけてください。

XMail ローカルユーザのメーラの設定に注意

私的認証局による SSL/TLS サービスでは、個々の XMail のローカルユーザに対して以下のアナウンスを行ってください。

1. ユーザの PC に私的認証局の証明書(DERファイル)をインストールする必要があります(インストール方法は次項)。
2. メーラの環境設定で POP3/SMTP サーバを指定するさい、それらを証明書のコモンネームで指定したものと同じにします。IP アドレスで指定するとエラーになります。
3. メーラの環境設定で証明書を検証するオプションをオンにすることができ、それによってセキュリティをいっそう高めることができます。
上へ ↑

ユーザのPCに私的認証局の証明書(DERファイル)をインストールする

私的認証局の証明書をユーザの PC にインストールすると、メーラでサーバ証明書の検証を行った場合でもエラーが出なくなります。インストールは以下のようにしてください(Windows の場合)。

私的認証局の CA 証明書(DERファイル)はこちらからダウンロードできます。

ブラウザによっては DER ファイルをダウンロードしようとすると直ちに証明書のインストール画面が開くものがあります。その場合はそのままインストールを実行してもかまいません。ただし、Firefox の場合は Mozilla Thunderbird と証明書ストアが異なるのでこの方法は使えません。

  ■ Mozilla Thunderbird の場合

1. 証明書をダウンロードし、任意の場所に置きます。
2. Mozilla Thunderbird を起動し、[ツール]-[オプション]-[詳細] メニューを開きます。
3. [証明書] タブから [証明書を表示] ボタンをクリックすると、「証明書マネージャ」が開きます。
4. [認証局証明書] タブを開き [インポート] ボタンからダウンロードした証明書ファイルを選択します。
5. 「新しい認証局(CA)を信頼するよう求められています。本当にこの認証局を信頼しますか？」と問われるので、3つのチェックボックスをすべてチェックし、[OK] ボタンを押します。
6. インストール完了です。なお、Thunderbird と Firefox の証明書ストアは異なるので、必ず Thunderbird のメニューを利用して証明書をインストールしてください。

  ■ Outlook(2003/2007)、Windowsメール(Vista)の場合

1. 証明書をダウンロードし、任意の場所に置きます。
2. 証明書を選択し、右ボタンメニューを開くと [証明書のインストール] というメニューが現れます。それを選択すると、"証明書のインポートウィザードの開始" が現れます。
3. [証明書ストア] では [証明書をすべて次のストアに配置する] をチェックし、[信頼されたルート証明機関] を選択します。
4. インストールを実行するとセキュリティ警告が表示されますが、そのまま続行して完了させてください。

  ■ その他のメーラの場合

その他のメーラの多くはおそらく Windows の証明書ストア(Outlookなどのための場所)を見ているようです。よって、Outlook の場合と同じ作業を行ってください。この件について情報を持っているユーザは XMailCFG の作者またはサポートサイトまでご一報ください。

上へ ↑

この運用環境の問題点

XMail ホストやクライアントが何台でも証明書取得に費用がかからず、比較的手軽に SSL/TLS 環境をセットアップでき、ローカルユーザであれば証明書の検証も可能です。すなわち、ローカルユーザ間では高度なセキュリティを安定して維持することができます。しかし、ローカルユーザの PC に CA 証明書を個別にインストールしなければならず、また、外部ユーザや他の SMTP サーバからの接続では証明書の検証エラーになります。会社など社会的な責任の伴う組織では公式の証明書を取得することをすすめます。

私的認証局は便利ですが、証明書の失効処理などメンテナンス作業を行わないでいると長い間にはセキュリティが低下してしまうことに留意してください。証明書の失効処理は [発行済み証明書の管理] メニューを利用できます。

メーラ別の動作メモ

この動作メモは内容が古くなっています。
本ページにおいて私的認証局をセットアップし、そこから SSL/TLS サービスを利用した場合の主要なメーラの動作状況を以下にまとめてみました。ただし、XMail は SSL/TLS についてはデフォルト動作でテストをしています。他のメーラについて情報を持っているユーザは XMailCFG の作者またはサポートサイトまでご一報ください。