Microsoft BizTalk Server では、ドキュメントの暗号化と暗号化解除、ドキュメントの署名と検証 (否認不可) やパーティの解決のために、公開キー 基盤 (PKI) デジタル証明書を使用できます。 このトピックでは、さまざまな証明書の使用シナリオと構成オプションについて説明し、BizTalk Server でデジタル証明書を使用するための一般的なガイドラインを示します。
証明書の使用シナリオと構成オプション
BizTalk Server で証明書を使用しているときに発生するほとんどの問題は、正しくないか不完全な構成が原因です。 たとえば、正しい証明書を間違った証明書ストアにインポートしたり、正しくない証明書を正しいストアにインポートしたり、BizTalk 管理コンソールに適切な情報を入力しなかったりすると、証明書の使用時に実行時エラーが発生します。
次の表は、BizTalk Server で使用できる証明書の使用シナリオと構成オプションのリファレンスとして使用します。
| 証明書の使用状況 | ユーザー コンテキスト | 証明書ストアの場所 | 証明書の種類 | 使用されるパイプライン コンポーネント | BizTalk Server 管理コンソールの構成パラメーター |
|---|---|---|---|---|---|
| 暗号化 (送信) | 送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | S/MIME エンコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、暗号化証明書を ローカル コンピューター \ その他のユーザー ストアにインポートします。 | 取引先の公開証明書 | MIME/SMIME エンコーダー | - [送信ポートのプロパティ] ダイアログ ボックスの [証明書] ページで、暗号化証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスでパイプラインエンコード オプションを指定します。 [パイプラインの構成] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [送信パイプライン] ドロップダウン リストの横にあるボタンをクリックして表示されます。 |
| 復号化 (受信) | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | 各ホスト インスタンス サービス アカウントとして S/MIME デコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、暗号化解除証明書を 現在のユーザー \ 個人用 ストアにインポートします。 手記: IIS 7.0 コンピューターでパイプラインの暗号化解除が成功するには、IIS アプリケーション プールのアカウントと、受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウントが同じであり、このアカウントが <machineName>\IIS_WPG グループのメンバーであることを確認します。 IIS 7.0 の IIS プロセス ID の設定の詳細については、「 IIS のアクセス許可の問題を解決するためのガイドライン」を参照してください。 これらのプロセスは、アカウント プロファイルが読み込まれ、パイプラインで暗号化解除を実行するために必要なレジストリ キーが読み込まれるように、同じアカウントで実行する必要があります。 パフォーマンス上の理由から、IIS 6.0 では、関連付けられている w3wp.exe プロセスを開始するときにアカウント プロファイルが読み込まれないため、BizTalk Server ホスト インスタンスを同じアカウントで構成して、BizTalk Server がアカウント プロファイルとレジストリ キーを読み込む必要があります。 | 独自のプライベート証明書 | MIME/SMIME デコーダー | - 各 [ホストのプロパティ] ダイアログ ボックスの [証明書] ページで、復号化証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスでパイプラインデコード オプションを指定します。 [受信場所プロパティ ダイアログ ボックス] の [全般 ページ] にある [受信パイプライン ドロップダウン リスト] の横のボタンをクリックすると、[パイプラインの構成 ダイアログ ボックス] が表示されます。 |
| 署名 (送信) | 送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | 各ホスト インスタンス サービス アカウントとして S/MIME エンコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、署名証明書を 現在のユーザー \ 個人用 ストアにインポートします。 | 独自のプライベート証明書 | MIME/SMIME エンコーダー | - [BizTalk グループのプロパティ] ダイアログ ボックスの [証明書] ページで、署名証明書の共通名と拇印の値を指定します。
手記: 各 BizTalk Server グループごとに指定できる署名証明書は 1 つだけです。 - [パイプラインの構成] ダイアログ ボックスでパイプラインエンコード オプションを指定します。 [パイプラインの構成] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [送信パイプライン] ドロップダウン リストの横にあるボタンをクリックして表示されます。 |
| 署名の検証 (受信) | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | S/MIME デコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、署名証明書を ローカル コンピューター \ その他のユーザー ストアにインポートします。 | 取引先の公開証明書 | MIME/SMIME デコーダー | - 各 [パーティのプロパティ] ダイアログ ボックスの [証明書] ページで、検証証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスでパイプラインデコード オプションを指定します。 [受信場所のプロパティ] ダイアログ ボックスの [全般] ページにある [受信パイプライン] ドロップダウン リストの横のボタンをクリックすると、[パイプラインの構成] ダイアログ ボックスが表示されます。 手記:Decode オプションを構成するには、MIME/SMIME デコーダー コンポーネントを含むパイプラインがデプロイされている必要があります。 |
| パーティ決議 (受信) | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | パーティ解決の構成元である BizTalk Server コンピューターにログオンし、証明書を ローカル コンピューター \ その他のユーザー ストアにインポートします。 | 取引先の公開証明書 | 党の決議 | - 各 [ホストのプロパティ] ダイアログ ボックスの [証明書] ページで、証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスで ResolveParty オプションを指定します。 [受信場所のプロパティ] ダイアログ ボックスの [全般] ページの [受信パイプライン] ドロップダウン リストの横にあるボタンをクリックすると、[パイプラインの構成] ダイアログ ボックスが表示されます。 手記: このオプションを構成するには、 Party 解決 コンポーネントを含むパイプラインを使用する必要があります。 XMLReceive パイプラインには、Party 解決コンポーネントが含まれています。 |
| HTTPS (送信) | 送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | SSL 通信では、クライアント証明書は必要ありません。 クライアント証明書が必要かどうかは、移行先の Web サーバー管理者の判断で行います。 宛先 Web サーバーにクライアント証明書が必要な場合は、次の手順に従います。 - 取引先から公開証明書を取得します。 - BizTalk Server を実行している各コンピューターに、送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウントとしてログオンします。 - 現在のユーザー \ 個人用 ストアに証明書をインポートします。 Windows Server 2008 Certificate Services Web ページを使用して証明書を取得する方法については、「Web 経由で証明書を要求する」を参照してください。 |
取引先の公開証明書 | NA |
-
HTTP トランスポート - [HTTP トランスポートのプロパティ] ダイアログ ボックスの [認証] タブで SSL クライアント証明書の拇印オプションを設定します。 [HTTP トランスポートのプロパティ] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [構成] ボタンをクリックして表示されます。 - SOAP トランスポート - [SOAP トランスポートのプロパティ] ダイアログ ボックスの [全般] タブで、[クライアント証明書の拇印] オプションを設定します。 [SOAP トランスポートのプロパティ] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [構成] ボタンをクリックして表示されます。 |
ローカル コンピューターと現在のユーザーの証明書管理コンソール インターフェイスを表示するには
[ スタート] をクリックし、[ 実行] をクリックし、「 MMC」と入力し、[ OK] をクリックして Microsoft 管理コンソールを開きます。
[ ファイル ] メニューをクリックし、[ スナップインの追加と削除 ] をクリックして、[ スナップインの追加と削除 ] ダイアログ ボックスを表示します。
使用可能なスナップインの一覧から [証明書 ] を選択し、[ 追加] をクリックします。
[ コンピューター アカウント] を選択し、[ 次へ] をクリックし、[完了] をクリック します。 これにより、ローカル コンピューターの証明書管理コンソール インターフェイスが追加されます。
スナップインの一覧から [証明書 ] が選択されていることを確認し、[ 追加 ] をもう一度クリックします。
[ マイ ユーザー アカウント ] を選択し、[完了] をクリック します。 これにより、現在のユーザーの証明書管理コンソール インターフェイスが追加されます。
注
これにより、現在ログオンしているアカウントの 証明書管理コンソール が表示されます。 サービス アカウントの個人用ストアに証明書をインポートする必要がある場合は、まずサービス アカウントの資格情報でログオンする必要があります。
[スナップインの追加と削除] ダイアログ ボックスの [OK] ボタンをクリックします。
一般的なガイドライン
インポートした証明書が目的に使用されていることを確認します。そのためには、証明書管理コンソールのインターフェイスで証明書をダブルクリックし、[証明書] ダイアログ ボックスの [詳細] タブをクリックします。 次に、[表示] ドロップダウン リストの [すべて] オプションをクリックし、[キー使用法] フィールドまたは [拡張キー使用法] フィールドをクリックして目的を確認します。 BizTalk Server が目的以外の目的で証明書を使用しようとすると、ランタイム エラーが発生します。
ターゲット Web サイトへの接続をテストする: SSL を使用している場合は、HTTP または SOAP トランスポートを使用してターゲット Web サイトに接続する前に、Internet Explorer を使用してターゲット Web サイトに接続できることを確認します。 ターゲット Web サイトに接続するときに、Internet Explorer にダイアログ ボックスが表示されていないことを確認します。 BizTalk Server には、ターゲット Web サイトに接続するときに表示される可能性のあるダイアログ ボックスとやり取りするためのメカニズムはありません。 ターゲット Web サイト名が SSL 証明書の Web サイトに指定された名前と一致しない場合、または SSL 証明書のルート証明機関が適切な 信頼されたルート証明機関 ストアにない場合は、Internet Explorer によってダイアログ ボックスが表示されることがあります。
SSL 診断ツールを使用して、SSL 接続の問題を分析します 。SSL 診断ツールは、IIS Diagnostics Toolkit のオプション コンポーネントです。 詳細については、「 IIS 診断ツール」を参照してください。
証明書が有効であることを確認します。 BizTalk Server では、証明書の有効期限が切れているかどうかを確認するメッセージは表示されません。 代わりに、BizTalk Server はメッセージを中断します。