既存のIISのSSL証明書からxmail用のserver.key,server.certの作り方

こんにちは

現在Windows2003 Server上でIIS+xmail 1.26で運用しています。
このたびxmailでpops通信、smtps通信をするために設定をしているのですが 必要なserver.key,server.certを作る方法がうまく行かず悩んでいます。
IIS上のウェブサイトでSSL証明書を取得済みなのでそこから作れ出せないかな？といろいろググって試してみたのですが 以下の手順でうまくいきそうなのに xmail上は keyとcertが正しいペアではない旨のエラーになってしまいます。
どこの手順がおかしいのか？ もしくは正しく設定できる別の方法があれば教えてください。

現在の手順
・IISからpfxファイルをエキスポート(cert.pfx)
・OpenSSLで以下のコマンドを用いる
openssl pkcs12 -in cert.pfx -out cert.txt
・cert.txtの中身をテキストの前半をコピペして server.key
後半をコピペしてserver.certを作成
・OpenSSLで以下のコマンドを用いる
openssl rsa -in server.key -out server.key
・上記をMAILROOTに設置

以上よろしくお願いします。

No.1 回答者： kadusaya 回答日時： 2009/11/15 03:10

> どこの手順がおかしいのか？

うぅ～んと、根本的に間違ってるかな。(^^ゞ

・電子証明書（ルート証明書とSSL証明書の関係）
・RSA暗号方式（秘密鍵と公開鍵）
・公開鍵基盤（PKI）
・ActiveDirectory
でもう一回勉強し直してみてね。


> 別の方法があれば教えてください。

「電子証明書作成ソフトウェア“k9pca”」
http://www.kadusaya.co.jp/html2/service231.htm
で証明書は作れるけど・・・、電子証明書そのものが理解できていないとムズカシイかも。

この回答への補足

コメントありがとうございます。
こちらのソフトは自己証明を行う場合に使うものですよね？
ではなくて既存の証明書を流用したいのですが・・・
自己証明であればやり方はわかります。

とりあえず現状をもう少し詳しく説明しますと
*.hoge.comといった ワイルドカードの証明書を取得済みでこの証明書をメールサーバーにも使いたいわけです。
実際 別サーバーで取得したこのワイルドカードのSSL証明書を複数のWEBサーバーに移管することはできましたし メールサーバーにもできるはずだと思うのですが・・・

補足日時：2009/11/16 11:55

No.2 回答者： kadusaya 回答日時： 2009/11/18 01:23

No.1です。

ベリサインなどから証明書を取得しているのであれば、「証明書要求」は作られたのですよね。では、
・なぜ証明書要求という手順が必要なのか。
・証明書要求から、どーやって証明書を作成するのか。
を考えてみてください。
それが理解できれば、「証明書を改ざんしても役に立たない」ということが分かるかと思います。

> 自己証明であればやり方はわかります。

なぜ「自己証明でやれ」と言っているかを考えてください。
「やり方を知っている」のと「なぜそうしなければいけないのかを知っている」のは違います。
メールに電子署名をするのであれば商用認証局から証明書を取得するのも選択肢の一つですが、メールサーバーとのPOPS通信・SMTPS通信であれあば自己証明であるべきです。

この回答への補足

>ベリサインなどから証明書を取得しているのであれば、「証明書要求」は作られたのですよね。
証明書要求は新規取得時には作成しました。

が、今回の質問は取得済みの証明書をエクスポートすることに関する質問です。

>・なぜ証明書要求という手順が必要なのか。
>・証明書要求から、どーやって証明書を作成するのか。
>を考えてみてください。
>それが理解できれば、「証明書を改ざんしても役に立たない」という>ことが分かるかと思います。

言いたいことはわかります。
もしエクスポートできたら証明書取る意味がない、ってことが言いたいんですよね？

ですが 実際問題 IISで取得済みの証明書を別のサーバーの別のIISにエクスポートすることはできました。
これは実際に私が行いクライアントからアクセスしても証明書のエラーなくできている事実です。

またエクスポートしたpfxファイルを opensslを使ってコンバートすることもできます。
■IISからエクスポートしたキーペアをapacheにインポートする
http://www.kishiro.com/apache/import_iis_pfx.html

>メールに電子署名をするのであれば商用認証局から証明書を取得するのも選択肢の一つですが、メールサーバーとのPOPS通信・SMTPS通信であれあば自己証明であるべきです。

個人で使うものであれば自己証明もいいと思いますが 複数のユーザーが使うWEBサーバーで自己証明ではメーラーの設定、証明書のインストールなど各ユーザーに説明が大変ですので公的証明書を使おうとしているわけです。
またワイルドカードの証明書(*.hoge.comなどどんなサブドメインでも利用可能)を使っているのだからそれを使い回そうというのはおかしい考えでしょうか？

補足日時：2009/11/18 18:09