ExchangeでSSL証明書がますます使いやすくなる

ITpro

2007.02.28

　Exchange Server 2007で外部の認証機関（CA）が発行するSSL証明書を利用する際に，その証明書が複数のサブジェクト名（subjectAltNames）を持てるようになっていると，とても便利だ。なぜなら，Exchange Serverが異なる完全修飾ドメイン名（FQDN）で複数のサーバーを運用していても，用意する証明書の数が1つだけで済むようになるからだ。

　筆者は過去に，Exchange Server 2007で利用できるSSL証明書の価格が安くなってきていることを取り上げたことがある（関連記事：ExchangeでSSL証明書が使いやすくなってきた）。その際も，証明書が複数のサブジェクト名に対応していれば，Exchangeが「autodiscover.yourdomain.com」や「mail.yourdomain.com」といったFQDNで運用されるサーバーを使っていたとしても，証明書を1つだけを用意すれば十分であること指摘していた。しかし残念なことに，その時点ではこのような証明書を発行して販売する認証機関は存在しなかった。

　しかしながら，状況は変わりつつあるようだ。今は，複数のsubjectAltNamesを持つことを許可して証明書を発行する認証機関が登場し始めている。例えば筆者は先日，米EntrustのAndrew Codrington氏から電子メールを受け取った。Microsoftとのパートナシップの一環として「Entrust Unified Communications Certificates」をというサービスを開始したというのがその内容だった。これは，10個のsubjectAltNamesを持つ証明書が年間599ドルで入手でき，99ドル追加すればさらに3つsubjectAltNamesを追加できるというサービスである。

　このような証明書を発行しているCAはEntrustだけではない。米GeoTrustは4つのsubjectAltNamesを持つ「Power Server ID証明書」を599ドルで販売している。

　これらの証明書は，きっと値段に見合うものだろう。確かに米GoDaddy.comのような，より小規模のCAが発行している安価な（そしてほぼ間違いなくセキュリティ・レベルの低い）証明書と比較すれば，この値段は法外に高い（GoDaddy.comは，筆者の知る限り複数のsubjectAltNamesを持つ証明書をまだ発行していない）。これらの証明書の値段を，自己署名証明書を生成してExchange Server 2007にインストールして使用する場合のコストと比較した場合，その価格差は劇的である。ただし，これらの証明書を評価する場合に留意すべき点が2つある。

　最初に考えなければならないことは，当然ながらセキュリティである。確かにExchangeでは自己署名証明書（Exchange Server 2007または自前のCAで生成したもの）を使用できるが，ブラウザや携帯デバイスにルート証明書として登録しなくては，証明書に関する警告がユーザーに対して出されることになる。ルート証明書を使用した設定を怠ると，Outlook 2007やOutlook Web Access（OWA） 2007を使う際に，セキュリティに関する警告ダイアログ・ボックスが表示されるようになる。セキュリティ警告を無視するようにユーザーを誘導するのは，良いこととはいえない。なぜならユーザーは，やがてすべての警告を無視するようになってしまうからだ。

　もう1つ考慮しなければならないのは，コストと面倒な作業との兼ね合いである。Exchange Server 2007で，サーバーの自動検出機能や，OWA，SSLで保護されたSMTPをセットアップする際に，1つの証明書を599ドル出して買うのは大きな無駄のように思える。ただし各サービスに対して別々の証明書を購入してインストールし，設定するのに必要な時間を考慮するとどうだろうか。大手のCAから高いセキュリティの証明書を購入すれば，更新期間や検証レベルに応じて年間75ドルから200ドルはかかる。このような証明書を4つも5つ購入すると，複数のsubjectAltNamesを持つ1つの証明書よりも高くついてしまう。コストとメリットのバランスが取れるかどうかを把握するためには，複数の証明書を展開するための所要時間を見積もる必要がある。

　複数のsubjectAltNames属性を持つ証明書を販売するCAが出てくるようになった興味深い背景として私が予想しているのは，ワイルドカード証明書のニーズが極端に落ち込んだということである。組織のネットワーク上の任意のホストにマッチする証明書は不要になっており，サブセットにのみ一致する証明書が必要になっているのである。Windows Mobile 5.0がワイルドカード証明書を扱えないことも，Exchange ActiveSyncやOWAのセキュアな運用のためにワイルドカード証明書を使用することが現実的でなくなってきている理由として挙げられる。