PMailServer2 で SSL/TLS 通信を行う為には、認証局で署名された証明書、又は自己署名した証明書のインストールの必要があります。
SSL/TLS 通信を行う為の証明書は、認証局で署名された証明書と、その証明書に使用した秘密鍵がセットになった PKCS #12 形式の証明書が必要です。暗号化用の PKCS#7 の証明書ではご利用頂けません)
自己証明書では良くないのか?
自己証明書でも SSL/TLS 通信は問題無くできます。ただしクライアント(メーラー側)で、証明書が正しく認証された物では無いという警告が出ます。
(これはセキュリティ上、正しい動作です)
また、クライアントによっては自己証明書でもユーザーの責任において正しい証明書として扱うことが出来る場合があります。
発行された証明書をインストールしたが IP アドレスで接続すると警告が出る
証明書は、多くの場合「ホスト名(FQDN)に対して発行されます」、ホスト名が mail.example.com の場合でグローバルIPとプライベートIPで割り振られている場合(NAT)、LAN からグローバルIPでは接続が出来ない為、プライベートIPをクライアントで指定しますと、IP アドレスに対して証明書を要求することになり、警告が発生します。
この場合は、hosts ファイルに設定をして頂くか、内向き用のDNSサーバーを立てて頂いて、IP では無くホスト名でアクセスすることにより回避することが出来ます。
同様に複数のメールサーバーがある場合(mail1.example.com / mail2.example.com )や、Web サーバーとメールサーバーを別名で登録している場合なども、同様に警告が出る場合があります。
この場合は、ドメイン単位で発行できるワイルドカード証明書や、IP レベルで発行できる IP証明書などが必要になる場合もあります。
ワイルドカード証明書等については、ご利用される認証局へお問い合わせ下さい。
認証局から PKCS #7 形式で証明書が発行されインストールしたが通信が出来ない
PMailServer2 では PKCS#12 で証明書と秘密鍵がセットになった PKCS #12 形式の証明書が必要になります。
OpenSSL 等で、PKCS #7 証明書と秘密鍵を結合することにより PKCS #12 形式に変換することが出来ますので、PKCS #7 で発行された場合は、お手数ですが PKCS #12 形式へ変換を行って下さい。
秘密鍵は、認証局にも提出しない本当の意味での秘密鍵です。秘密鍵についてのお問い合わせについては、A.K.I Software でもお答えできませんのでご了承下さい。
PKCS #7 から PKCS #12 への変換については、OpenSSL 等のツールを利用して変換を行うか、証明書を発行した認証局へお問い合わせ下さい。個別の証明書についてのお問い合わせについても A.K.I Software ではお答えできません。
クレデンシャルハンドルが取得できないというエラーが発生する
証明書ストアに証明書をインストールした際に正しい位置に証明書がインストールされていない場合や、SSL/TLS 通信で利用できない証明書が指定されていた場合などに発生します。
インストール位置が正しい場合は、上記の「認証局から PKCS #7 形式で証明書が発行されインストールしたが通信が出来ない」もご参照下さい。
MTA for STARTTLS で通信エラーが発生する
配信先のサーバーで、利用できない暗号化形式の証明書が利用されている場合や、クライアント側にも証明書を要求している場合は、MTA for STARTTLS をご利用頂くことはできません。
その場合は、お手数ですが、MTA for STARTTLS の例外登録に配信先のサーバーをご登録下さい。
証明書の形式がわからない
(下記は一般的に使用される Windows 上での拡張子です。場合によっては変わりますのでご注意下さい。)