証明書を管理するためのベスト プラクティス

このセクションでは、Microsoft BizTalk Server 環境で証明書を管理するためのベスト プラクティスについて説明します。

証明書の使用を評価して計画する

環境の脅威モデル分析を実行する

• 環境の脅威モデル分析 (TMA) を実行して、署名証明書または暗号化証明書がセキュリティ上の脅威を軽減するのに役立つかどうかを判断します。

パートナーとの公開キー証明書の計画を作成する

• パートナーとの間で公開キー証明書を送受信するためのプランを作成します。 パーティの解決に署名証明書を使用していない場合は、パブリック証明書をメッセージに添付できます。その場合は、システムに証明書のコピーを事前に必要としません。

公開キーを送信するためのパートナーとのガイドラインを確立する

• パートナーとのサービス レベル アグリーメント (SLA) の一環として、公開キーの送信、証明書の有効期限が切れるタイミングの通知、証明書の取り消し時の通知に関するガイドラインを確立します。

証明書のインストール

設定された間隔で証明書失効リストをダウンロードする

• 設定された間隔で証明機関 (CA) から証明書失効リスト (CRL) をダウンロードします。 週に 1 回行うことをお勧めします。 BizTalk サーバーが参加しているドメインの CA がある場合、CRL は自動的にダウンロードされます。

署名証明書を確認する

• 証明書失効リストに対して署名証明書を確認してください。 署名証明書を確認する方法の詳細については、「BizTalk Server ヘルプで MIME/SMIME デコーダー パイプライン コンポーネントを構成する方法 」を参照してください。

パートナーによる証明書の管理

• 証明書管理をパートナー管理プラクティスの一部にします。 BizTalk Server 環境からパーティーを追加または削除する場合は、そのパートナーに関連付けられている証明書を追加または削除することをお勧めします。

ホスト インスタンスを削除する前に証明書を削除する

• BizTalk サーバーからホスト インスタンスを削除する前に、ホスト インスタンスが実行されているアカウントの個人用ストア内の証明書を削除します。

MIME/SMIME の証明書を使用するように BizTalk Server を構成する

デジタル署名に対するサービス拒否攻撃を回避する

• BizTalk Server でデジタル署名を検証できない場合のメッセージの操作を決定します。 受信ポートで Authentication プロパティを設定すると、サービス拒否攻撃を防ぐのに役立ちます。

  注

  認証 - メッセージの削除と認証 - 受信ポートのメッセージ フラグを保持するには、パーティ解決パイプライン コンポーネントを正しく構成し、BizTalk Server でパーティを定義する必要があります。 詳細については、BizTalk Server ヘルプの パーティ解決パイプライン コンポーネント (https://go.microsoft.com/fwlink/?LinkId=155146) を参照してください。

暗号化されたメッセージと暗号化されていないメッセージの個別の受信場所を作成する

• 一部のパートナーから MIME で暗号化されたメッセージを受信し、他のパートナーから暗号化されていないメッセージを受信する予定の場合は、暗号化されたメッセージと暗号化されていないメッセージ用に別々の受信場所を異なるホストに作成します。 MIME で暗号化されたメッセージのみが必要な場合は、デコード MIME/SMIME パイプライン コンポーネントの [非 MIME メッセージを許可] オプションを [いいえ] に構成します。

証明書を使用するように BizTalk アダプターを構成する

ターゲット Web サイトへの接続をテストする

• SSL を使用している場合は、HTTP または SOAP トランスポートを使用してターゲット Web サイトに接続する前に、Microsoft Internet Explorer を®使用してターゲット Web サイトに接続できることを確認してください。 ターゲット Web サイトに接続するときに、Internet Explorer にダイアログ ボックスが表示されていないことを確認します。 BizTalk Server には、ターゲット Web サイトに接続するときに表示される可能性のあるダイアログ ボックスとやり取りするためのメカニズムはありません。 対象の Web サイト名が SSL 証明書の Web サイトに指定された名前と一致しない場合、または SSL 証明書のルート証明機関が適切な信頼されたルート証明機関ストアにない場合は、Internet Explorer によってダイアログ ボックスが表示されることがあります。

SSL 診断ツールを使用して SSL 接続の問題を分析する

• SSL 診断ツールは、IIS Diagnostics Toolkit のオプション コンポーネントです。 IIS 診断ツールキットは、インターネット インフォメーション サービス診断ツールからダウンロードできます。

BizTalk グループ間での証明書のエクスポート

インポートされた証明書が目的に使用されていることを確認する

• 証明書をグループにインポートする場合、インポートされた証明書には、目的の用途と一致する使用法プロパティが必要です。 使用状況プロパティを確認するには、証明書管理コンソールインターフェイスで証明書をダブルクリックし、[証明書] ダイアログ ボックスの [詳細] タブをクリックします。 次に、[表示] ドロップダウン リストの [すべて] オプションをクリックし、[キー使用法] フィールドまたは [拡張キー使用法] フィールドをクリックして目的を確認します。 BizTalk Server が目的以外の目的で証明書を使用しようとすると、ランタイム エラーが発生します。