意外と面倒なMicrosoft Outlookの設定とルート証明書の登録
構築したメールサーバに合わせてOutlookの設定をします。さらにプライベートCAで発行した公開鍵証明書をルート証明書に登録する方法も解説します。
バージョンやメールソフトによって違いはありますが、設定項目は同じなので読み替えて設定してみてください。
新規アカウントの設定
1.「ツール>アカウントの設定」をクリック。
2.「アカウント設定」ウィンドウで「新規」をクリック。
3.「新しい電子メール アカウントの追加」ウィンドウで「Microsoft Exchange、POP3、IMAP、またはHTTP(M)」にチェックを入れて「次へ」をクリック。
4.「サーバ設定または追加のサービスの種類を手動で構成する」にチェックを入れて「次へ」をクリック。
5.「インターネット電子メール」にチェックを入れて「次へ」をクリック。
6.アカウントの設定をします
| ユーザー名 | 名前 | Outlookでのアカウント管理用の名前(自由) |
|---|---|---|
| メールアドレス | Linuxで有効なユーザー名とメールサーバのホスト名(hoge@example.com) | |
| サーバ情報 | アカウントの種類 | POP3 |
| 受信メールサーバ | メールサーバのホスト名(mail.example.com) | |
| 送信メールサーバ | メールサーバのホスト名(mail.example.com) | |
| メールサーバへのログオン情報 | アカウント名 | POP3サーバへログイン用。Linuxの有効なアカウント。(hoge) |
| パスワード | POP3サーバへログイン用。Linuxの有効なパスワード。(****) |
入力が終わったら右下にある「詳細設定」ボタンをクリックしてください。
7.SMTP認証用の設定をします
「インターネット電子メール設定」ウィンドウで、「送信サーバー」タブをクリックして、「送信サーバ(SMTP)は認証が必要」にチェックを入れて「送信メールサーバと同じ設定で使用する」にチェックを入れます。
(SMTP認証用にSALA独自のデータベース等を導入した場合は「次のアカウントとパスワードでログオンする」にチェックして、入力してください)
8.SSL通信のためのポートを指定します
同じく「インターネット電子メール設定」ウィンドウで、「詳細設定」タブをクリック。受信サーバの項目で「995」、「このサーバは暗号化された接続(SSL)が必要」にチェックを入れます。
続いて、送信サーバの項目に「465」、「使用する暗号化接続の種類」で「SSL」を選択後、「OK」をクリックします。
9.一応「アカウント設定のテスト」ボタンを押して確認してみてください。
以下のように出れば正しく設定できています。
テストを行うと「この電子メール メッセージは、アカウントの設定のテスト中に、Microsoft Office Outlook から自動送信されたものです。 」というメールが受信トレイに届くと思います。合わせて確認してみてください。
プライベートCAの証明書をルート証明書に登録
テストを行った方は気がついたと思いますが、以下のような警告が出たと思います。
「ルート証明書」に「プライベートCAの証明書」を登録して、警告が出ないようにします。
Windows Vistaでは正常にインポートしたはずの証明書が「信頼されたルート証明機関」に登録されない不具合があります。対応策として下記のURLからパッチを導入するか、レジストリを直接編集してください。 (パッチはInternet Explorerでダウンロードする必要があります。IE以外だとGenuineCheck.exeなるものを利用させられますが、既にサポートが終了していて起動できません。パッチより、後述のレジストリの編集がお勧めです) http://support.microsoft.com/kb/932156/ja
1.OpenSSLでプライベートCAを構築した時に作成した「/etc/pki/CA/cacert.der」をダウンロードします。
2.ダウンロードした「cacert.der」をダブルクリックして「証明書のインストール」ボタンをクリック。
3.「証明書のインストールウィザード」のウィンドウが出るので、「次へ」をクリック。
4.「証明書をすべて次のストアに配置する」にチェックを入れて「参照」ボタンをクリックします。
5.「証明書ストアの選択」ウィンドウで「信頼されたルート証明書」を選択し「OK」ボタンをクリック。
6.「証明書ストア」に「信頼されたルート証明書」があることを確認したら「次へ」をクリック。
7.証明書インポートウィザードの完了と表示されるので、続けて「次へ」をクリック。
8.拇印の確認
インストールを開始する前に証明機関の「拇印」を確認するように警告する「セキュリティ警告」が出ます。
「拇印」は別名「フィンガープリント(指紋)」とも呼ばれています。わかりやすく言うと証明書のハッシュ値のことです。ファイルの改ざんを防ぐために、証明書ファイルのsha1ハッシュ値をサーバ側、クライアント側で合わせる必要があります。
サーバ側でハッシュ値を確認する方法
まずプライベートCAのディレクトリに移動
# cd /etc/pki/CA
OpenSSLの機能でファイルを指定するだけです。sha1の部分をmd5にすればMD5のハッシュ値も得られます。
# openssl sha1 cacert.der
SHA1(cacert.der)= 9eb2adf42843d0e7e7d2376aa2454a…
9.インポートの完了
以上の確認が終了すると、「正しくインポートされました」と表示されます。これでプライベートCAの証明書が「信頼されたルート証明書」に登録されたので、このプライベートCAが署名した各種証明書は警告が出なくなります。
最後に確認のためにOutlookを再起動させて、もう一度送受信をしてみてください。
メールサーバの暗号化に利用されている証明書(当サイトの説明通りならpostfix.pem)は、「信頼されたルート証明書」に登録されたプライベートCAから認証されているので、以降は警告が出ません。
Windows Vista用ルート証明書を登録するためのレジストリの編集方法
Vistaで証明書が正常にインポートできないという場合、レジストリを編集することで正常に取り込めるようになります。
1.レジストリ編集の開始
「スタート」ボタンをクリックし、「検索の開始」ボックスに regeditと入力して「regedit.exe」を実行
2.レジストリの選択
上から順番に「HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\Root\ProtectedRoots」とクリックしていき、ProtectedRootsで右クリック、「アクセス許可」をクリック。
3.アクセス許可の変更
「ProtectedRootsのアクセス許可」ウィンドウで、「グループ名またはユーザー名」に自分のユーザー名があるのを確認して、下の「○○のアクセス許可」で、フルコントロールにチェックをいれて、「OK」をクリックします。
以上でレジストリの編集は終了です。再度証明書インストールの手順を試してください。
長丁場になりましたが、これでメールサーバの構築、各種セキュリティの設定、ルート証明書への登録についての解説は終了です。
迷った時は、各種ソフトのオフィシャルページでマニュアルを参照してみてください。思わぬ勘違いや、発見があるかもしれません。
それでも解決しない場合は、メールのログ「/var/log/maillog」を参考にして、原因を究明してください。
次は「外部リポジトリの追加と、yum-prioritiesを利用した優先順位の設定」について解説します。