WCF アダプターは、メッセージの暗号化と暗号化解除、メッセージの署名と検証 (否認不可)、クライアント認証の目的で公開キー 基盤 (PKI) デジタル証明書を使用できます。 このトピックでは、WCF アダプターでデジタル証明書を使用するためのさまざまな認定の使用シナリオと構成オプションのガイドラインについて説明します。
WCF 受信場所の証明書の使用シナリオ
次の表は、WCF 受信場所の証明書をインストールする方法を示しています。
| 証明書の使用方法 | ユーザー コンテキスト | 証明書ストアの場所 | 証明書タイプ | 証明書をインストールするタイミング |
|---|---|---|---|---|
| 受信場所のセキュリティ設定に応じた暗号化解除と署名 | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | 受信場所を各ホスト インスタンス サービス アカウントとしてホストする BizTalk Server を実行している各コンピューターにログオンし、サービス証明書を 現在のユーザー \ 個人用 (個人用) ストアにインポートします。 | 独自のプライベート証明書 | 次の構成で、 サービス証明書 - 拇印 プロパティの値を指定します。 - WCF-BasicHttp 受信場所の セキュリティ モード プロパティが [メッセージ] に設定されています。 - WCF-BasicHttp 受信場所のトランスポート クライアント資格情報の種類プロパティは、TransportCredentialOnly セキュリティ モードの証明書に設定されます。 - メッセージ セキュリティ モードでは、WCF-WSHttp 受信場所のメッセージ クライアント資格情報の種類プロパティが None、Certificate、または UserName に設定されます。 - WCF-NetTcp 受信場所のトランスポート クライアント資格情報の種類プロパティは、トランスポート セキュリティ モードの場合は [なし] または [証明書] に設定されます。 - メッセージ セキュリティ モードでは、WCF-NetTcp 受信場所のメッセージ クライアント資格情報の種類プロパティが None、UserName、または Certificate に設定されます。 - WCF-NetTcp 受信場所のメッセージ クライアント資格情報の種類プロパティは、TransportWithMessageCredential セキュリティ モードの Windows、UserName、または証明書に設定されます。 - WCF-NetMsmq の セキュリティ モード プロパティが Message または Both に設定されています。 |
| クライアント認証 | なし | 受信場所を管理者としてホストする BizTalk Server を実行している各コンピューターにログオンし、クライアント X.509 証明書の CA 証明書チェーンをコンピューターの信頼されたルート証明機関の証明書ストアにインポートして、この受信場所に対してクライアントを認証できるようにします。 | クライアント X.509 証明書の CA 証明書チェーン | 次の構成で、クライアント X.509 証明書の CA 証明書チェーンを信頼されたルート証明機関の証明書ストアにインストールします。 - WCF-BasicHttp 受信場所の メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが 証明書に設定されています。 - WCF-WSHttp 受信場所の メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが 証明書に設定されています。 - WCF-NetTcp 受信場所の メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが 証明書に設定されています。 - WCF-NetMsmq 受信場所の メッセージ クライアント資格情報の種類 または MSMQ 認証モード プロパティが 証明書に設定されています。 |
注
標準の WCF 受信アダプターは ChainTrust モードを使用してクライアント証明書を検証するため、クライアント X.509 証明書の CA 証明書チェーンをインストールする必要があります。 WCF-Custom または WCF-CustomIsolated アダプターを使用して、この既定の動作を実行できます。
注
分離された WCF 受信アダプターの場合は、分離されたホスト インスタンスと対応するアプリケーション プールの間でユーザー アカウントを照合する必要があります。 BizTalk 分離ホストの詳細については、「 Web サービスの有効化」を参照してください。
注
WCF-Custom と WCF-CustomIsolated の受信場所の場合、インストールする証明書のユーザー コンテキスト、証明書ストアの場所、証明書の種類は、 serviceCredentials と clientCredentials 動作要素の設定によって異なります。
注
受信場所で エンドポイント ID プロパティの証明書要素を使用する場合は、公開されたサービス ID の証明書を 、エンドポイント ID プロパティで指定された証明書ストアにインストールする必要もあります。
注
ホスト インスタンス サービス アカウントまたは管理者アカウントを使用してコンピューターにログオンする代わりに、該当するアカウントで実行コマンドを使用して同じアクションを実行することもできます。
WCF 送信ポートの証明書の使用シナリオ
次の表は、WCF 送信ポートの証明書をインストールする方法を示しています。
| 証明書の使用方法 | ユーザー コンテキスト | 証明書ストアの場所 | 証明書タイプ | 証明書をインストールするタイミング |
|---|---|---|---|---|
| クライアント認証 | 送信ポートに関連付けられているホスト インスタンスによって使用されるアカウント | 各ホスト インスタンス サービス アカウントとして送信ポートをホストする BizTalk Server を実行している各コンピューターにログオンし、クライアント証明書を 現在のユーザー \ 個人用 (個人用) ストアにインポートします。 | 独自のプライベート証明書 | 次の構成で、 クライアント証明書 - 拇印 プロパティの値を指定します。 - WCF-BasicHttp 送信ポートの メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - WCF-WSHttp 送信ポートの メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - WCF-NetTcp 送信ポートの メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - WCF-NetMsmq 送信ポートの メッセージ クライアント資格情報の種類 または MSMQ 認証モード プロパティが Certificate に設定されています。 |
| 送信ポートのセキュリティ設定に応じたサービス認証、署名の検証、暗号化 | なし | 送信ポートを管理者としてホストする BizTalk Server を実行している各コンピューターにログオンし、サービス証明書を ローカル コンピューター \ その他のユーザー (AddressBook) ストアにインポートします。 また、サービス証明書の CA 証明書チェーンを、コンピューターの信頼されたルート証明機関の証明書ストアにインストールする必要があります。 | - 公共サービス証明書 - サービス証明書の CA 証明書チェーン |
次の構成で、 サービス証明書 - 拇印 プロパティの値を指定します。 - WCF-BasicHttp 送信ポートの メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - ネゴシエート サービス資格情報オプションがオフの場合、WCF-WSHttp 送信ポートのメッセージ クライアント資格情報の種類プロパティは None、UserName、または Certificate に設定されます。 - WCF-NetMsmq 送信ポートの セキュリティ モード が [メッセージ ] または [両方] に設定されています。 |
| 送信ポートのセキュリティ設定に応じたサービス認証、署名の検証、暗号化 | なし | 送信ポートを管理者としてホストする BizTalk Server を実行している各コンピューターにログオンし、クライアント X.509 証明書の CA 証明書チェーンをコンピューターの信頼されたルート証明機関の証明書ストアにインポートして、この送信ポートに対してサービスを認証できるようにします。 | サービス証明書の CA 証明書チェーン |
サービス証明書 - 拇印プロパティのサービス証明書を明示的に指定しない場合は、次の構成で、サービス X.509 証明書の CA 証明書チェーンを信頼されたルート証明機関の証明書ストアにインストールします。 - WCF-BasicHttp 送信ポートの セキュリティ モード は、 Transport または TransportWithMessageCredential に設定されます。 - WCF-WSHttp 送信ポートの セキュリティ モード は、 Transport または TransportWithMessageCredential に設定されます。 - WCF-NetTcp 送信ポートの セキュリティ モード が TransportWithMessageCredential に設定されています。 - WCF-NetTcp 送信ポートの トランスポート クライアント資格情報の種類 プロパティが [なし] または [証明書] に設定されています。 - WCF-NetTcp 送信ポートの メッセージ クライアント資格情報の種類 プロパティは 、None、 UserName、または Certificate に設定されます。 |
注
標準の WCF 送信アダプターは ChainTrust モードを使用してサービス証明書を検証するため、サービス X.509 証明書の CA 証明書チェーンをインストールする必要があります。 WCF-Custom または WCF-CustomIsolated アダプターを使用して、この既定の動作を変更できます。
注
WCF-Custom および WCF-CustomIsolated 送信ポートの場合、インストールする証明書のユーザー コンテキスト、証明書ストアの場所、および証明書の種類は、 serviceCredentials と clientCredentials 動作要素の設定によって異なります。
注
送信ポートで エンドポイント ID プロパティの証明書要素を使用する場合は、想定されるサービス ID の証明書を 、エンドポイント ID プロパティで指定された証明書ストアにインストールする必要もあります。
注
ホスト インスタンス サービス アカウントまたは管理者アカウントを使用してコンピューターにログオンする代わりに、該当するアカウントで実行コマンドを使用して同じアクションを実行することもできます。
証明書管理コンソールの表示
ローカル コンピューターと現在のユーザーの証明書管理コンソール インターフェイスを表示するには、次の手順を実行します。
[ スタート] をクリックし、[ 実行] をクリックし、「 MMC」と入力し、[ OK] をクリックして Microsoft 管理コンソールを開きます。
[ ファイル ] メニューの [ スナップインの追加と削除 ] をクリックして、[ スナップインの追加と削除 ] ダイアログ ボックスを表示します。
[ 追加 ] をクリックして、[ スタンドアロン スナップインの追加 ] ダイアログ ボックスを表示します。
スナップインの一覧から [証明書 ] を選択し、[ 追加] をクリックします。
[ コンピューター アカウント] を選択し、[ 次へ] をクリックし、[完了] をクリック します。 これにより、ローカル コンピューターの証明書管理コンソール インターフェイスが追加されます。
スナップインの一覧から [証明書 ] が選択されていることを確認し、[ 追加 ] をもう一度クリックします。
[ マイ ユーザー アカウント] を選択し、[完了] をクリック します。 これにより、現在のユーザーの証明書管理コンソール インターフェイスが追加されます。
注
これにより、現在ログオンしているアカウントの証明書管理コンソールが表示されます。 サービス アカウントの個人用ストアに証明書をインポートする必要がある場合は、まずサービス アカウントの資格情報でログオンする必要があります。
[スタンドアロン スナップイン] ダイアログ ボックスで [閉じる] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。