ビジネスサポートポータルアカウントでログイン
インストールした証明書の動作確認方法  

インストールした証明書の動作確認方法

    • 更新日:
    • 16 Jan 2020
    • 製品/バージョン:
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux All
    • Virtual Appliance すべて
概要
初期設定でインストールされている自己署名証明書に代わり、証明書をインストールしました。正しくインストールされたかどうか、どのように確認すればいいのでしょうか。
詳細
Public

自己署名証明書または公的な認証局 (CA) により発行された証明書が正しくインストールされているかどうか、以下を参考に確認してください。

管理コンソールとエンドユーザメール隔離 (EUQ) コンソールへのアクセス

実際にブラウザで管理コンソール (ポート 8445) または EUQ コンソール (ポート 8447) にアクセスします。鍵マークをクリックすると証明書の内容を確認できます。

公的な認証局により発行された証明書であれば、証明書の警告画面が表示されないことを確認してください。適切な中間証明書がインストールされていなければ、証明書の警告画面が表示される場合があります。正しく SSL 証明書と中間証明書がインストールされているか、見直してください。

通常、自己署名証明書の場合、証明書の警告画面が表示されます。自己署名証明書をブラウザの証明書ストア (Internet Explorer であれば Windows の証明書ストア) に信頼するルート証明機関としてインポートした場合でも警告画面が表示される可能性があります。ブラウザの動作について詳しくはブラウザのサポートに確認してください。

STARTTLS を用いた SMTP 接続の暗号化 (SMTP over TLS)

InterScan MSS 9.1 Linux版

InterScan MSS がインストールされている Linux サーバのシェルにログインして以下のコマンドを実行します。

# echo "" | openssl s_client -connect localhost:25 -starttls smtp

自己署名証明書の場合、-CAfile のオプションに自己署名証明書を指定します。

# echo "" | openssl s_client -connect localhost:25 -CAfile 自己署名証明書 -starttls smtp

IMSVA 9.1

IMSVA の場合、自己署名証明書であれば証明書をまずエクスポートします。管理コンソールの 管理 > IMSVA設定 > Transport Layer Security > SMTPおよびHTTPS証明書 の画面を開き、作成した自己署名証明書にチェックを入れた上で [エクスポート] ボタンをクリックしてください。証明書のファイルが 名前.pem の形式で生成されるので保存します。

また、公的な認証局により発行された SSL 証明書であれば認証局のルート CA 証明書を用意します。

その上で 管理 > IMSVA設定 > Transport Layer Security > 信頼するCA証明書 の画面を開き、[インポート] ボタンから自己署名証明書または認証局のルート CA 証明書をインポートしてください。

最後に IMSVA サーバに root でログインして次のコマンドを実行します。

# echo "" | openssl s_client -connect localhost:25 -CApath /opt/trend/imss/postfix/etc/postfix/cacerts -starttls smtp

コマンドの実行結果

自己署名証明書の場合、特に問題がなければ、"depth=0" に証明書の subject が表示され、"verify return:1" と表示されます。

CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Shibuya, O = Trend Micro Inc., CN = imss.trendmicro.com
verify return:1
...

公的な認証局により発行された証明書の場合、特に問題がなければ、"depth=0" に SSL 証明書、"depth=1" に中間証明書、そして "depth=2" にルート証明書の subject が表示され、それぞれ "verify return:1" と表示されます。

CONNECTED(00000003)
depth=2 ルート証明書の subject
verify return:1
depth=1 中間証明書の subject
verify return:1
depth=0 SSL 証明書 の subject
verify return:1
...

TLS 接続の状況を確認するには

必要に応じて Postfix の設定ファイル main.cf に smtpd_tls_loglevel や smtpd_tls_received_header などのパラメータを追加して、postfix reload で設定を反映します。

/etc/postfix/main.cf または /opt/trend/imss/postfix/etc/postfix/main.cf:
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
smtpd_tls_received_header = yes

smtpd_tls_loglevel と smtp_tls_loglevel のパラメータを設定した場合、メールログ (/var/log/maillog) には次のようなログが出力されます。

(受信時)
Mar 25 15:54:15 imsva postfix/smtpd[15337]: Anonymous TLS connection established from unknown[IPアドレス]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
(配送時)
Mar 25 15:54:18 imsva postfix/smtp[15387]: Trusted TLS connection established to ホスト名[IPアドレス]:25: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)

また、パラメータ smtpd_tls_received_header を設定した場合、TLS 接続の詳細が以下のように受信したメッセージの Received ヘッダに追加されます。

...
Received: from imsva.trendmicro.com (imsva.trendmicro.com [IPアドレス])
        (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (No client certificate requested)
        by mail.trendmicro.com (Postfix) with ESMTPS id BC015C0048
...
Received: from mail.example.com (unknown [IPアドレス])
        (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (Client did not present a certificate)
        by imsva.trendmicro.com (Postfix) with ESMTPS
...

OpenSSL の s_client や Postfix のパラメータの仕様について詳細はWebのリソース等を確認してください。

Premium
Internal
Partner
評価:
カテゴリ:
操作方法/設定
Solution Id:
1122332
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド