BizTalk Server でのデータ転送をセキュリティで保護するには、証明書ストアにインストールされている証明書を適切な BizTalk 成果物に関連付ける必要があります。 これは、MIME/SMIME でエンコードされたメッセージに適用されます。 また、MIME/SMIME メッセージを転送する AS2 トランスポートにも適用されます。
次の表は、BizTalk Server で使用できる証明書の使用シナリオと構成オプションのリファレンスとして使用します。 詳細な手順については、このトピックの最後にある「このセクション」の見出しに記載されているトピックを参照してください。
| 証明書の使用状況 | ユーザー コンテキスト | 証明書ストアの場所 | 証明書の種類 | BizTalk 管理コンソールの構成パラメーター |
|---|---|---|---|---|
| 暗号化 (送信) | 送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | S/MIME エンコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、暗号化証明書を ローカル コンピューター \ その他のユーザー ストアにインポートします。 | 取引先の公開証明書 | - [送信ポートのプロパティ] ダイアログ ボックスの [証明書] ページで、暗号化証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスでパイプラインエンコード オプションを指定します。 [パイプラインの構成] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [送信パイプライン] ドロップダウン リストの横にあるボタンをクリックして表示されます。 |
| 復号化 (受信) | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | 各ホスト インスタンス サービス アカウントとして S/MIME デコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、暗号化解除証明書を 現在のユーザー \ 個人用 ストアにインポートします。 手記: IIS 6.0 以降を実行しているコンピューターでパイプラインの暗号化解除が成功するには、IIS アプリケーション プールのアカウントと、受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウントが同じであり、このアカウントが <machineName>\IIS_WPG グループのメンバーであることを確認します。 IIS の IIS プロセス ID の設定の詳細については、BizTalk Server ヘルプの IIS のアクセス許可の問題 (https://go.microsoft.com/fwlink/?LinkId=155161) を解決するためのガイドラインを参照してください。 これらのプロセスは、アカウント プロファイルが読み込まれ、パイプラインで暗号化解除を実行するために必要なレジストリ キーが読み込まれるように、同じアカウントで実行する必要があります。 パフォーマンス上の理由から、IIS は関連付けられた w3wp.exe プロセスを開始するときにアカウント プロファイルを読み込まないので、BizTalk Server ホスト インスタンスを同じアカウントで構成して、BizTalk Server がアカウント プロファイルとレジストリ キーを読み込む必要があります。 | 独自のプライベート証明書 | - 各 [ホストのプロパティ] ダイアログ ボックスの [証明書] ページで、復号化証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスでパイプラインデコード オプションを指定します。 [受信場所のプロパティ] ダイアログ ボックスの [全般] ページにある [受信パイプライン] ドロップダウン リストの横のボタンをクリックすると、[パイプラインの構成] ダイアログ ボックスが表示されます。 |
| 署名 (送信) | 送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | 各ホスト インスタンス サービス アカウントとして S/MIME エンコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、署名証明書を 現在のユーザー \ 個人用 ストアにインポートします。 | 独自のプライベート証明書 | - [BizTalk グループのプロパティ] ダイアログ ボックスの [証明書] ページで、署名証明書の共通名と拇印の値を指定します。
手記: 各 BizTalk Server グループごとに指定できる署名証明書は 1 つだけです。 - [パイプラインの構成] ダイアログ ボックスでパイプラインエンコード オプションを指定します。 [パイプラインの構成] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [送信パイプライン] ドロップダウン リストの横にあるボタンをクリックして表示されます。 |
| 署名の検証 (受信) | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | S/MIME デコーダー パイプラインをホストする BizTalk Server を実行している各コンピューターにログオンし、署名証明書を ローカル コンピューター \ その他のユーザー ストアにインポートします。 | 取引先の公開証明書 | - 各 [パーティのプロパティ] ダイアログ ボックスの [証明書] ページで、検証証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスでパイプラインデコード オプションを指定します。 [受信場所のプロパティ] ダイアログ ボックスの [全般] ページにある [受信パイプライン] ドロップダウン リストの横のボタンをクリックすると、[パイプラインの構成] ダイアログ ボックスが表示されます。 手記: パーティの署名の検証に使用する証明書は、他のパーティの署名を検証するために使用される証明書から一意である必要があります。 手記:Decode オプションを構成するには、MIME/SMIME デコーダー コンポーネントを含むパイプラインがデプロイされている必要があります。 |
| パーティ決議 (受信) | 受信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | パーティ解決の構成元である BizTalk Server コンピューターにログオンし、証明書を ローカル コンピューター \ その他のユーザー ストアにインポートします。 | 取引先の公開証明書 | - 各 [ホストのプロパティ] ダイアログ ボックスの [証明書] ページで、証明書の共通名と拇印の値を指定します。 - [パイプラインの構成] ダイアログ ボックスで ResolveParty オプションを指定します。 [受信場所のプロパティ] ダイアログ ボックスの [全般] ページにある [受信パイプライン] ドロップダウン リストの横のボタンをクリックすると、[パイプラインの構成] ダイアログ ボックスが表示されます。 手記: このオプションを構成するには、 Party 解決 コンポーネントを含むパイプラインを使用する必要があります。 XMLReceive パイプラインには、Party 解決コンポーネントが含まれています。 |
| HTTPS (送信) | 送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウント | SSL 通信では、クライアント証明書は必要ありません。 クライアント証明書が必要かどうかは、移行先の Web サーバー管理者の判断で行います。 宛先 Web サーバーにクライアント証明書が必要な場合は、次の手順に従います。 - 取引先から公開証明書を取得します。 - BizTalk Server を実行している各コンピューターに、送信ハンドラーに関連付けられているホスト インスタンスによって使用されるアカウントとしてログオンします。 - 現在のユーザー \ 個人用 ストアに証明書をインポートします。 SSL を使用するように IIS を構成する方法については、サポート技術情報の記事「 方法: Windows Server 2003 の Web サーバーにインポートされた証明書をインストール する (https://go.microsoft.com/fwlink/?LinkId=155162)」を参照してください。 Windows Server 2003 Certificate Services Web ページを使用して証明書を取得する方法については、「 Windows Server 2003 Certificate Services Web ページの使用 (https://go.microsoft.com/fwlink/?LinkID=69975)」を参照してください。 手記: [証明書サービス] Web ページを使用して Windows Server 2008 コンピューターから証明書を取得するには、 https://go.microsoft.com/fwlink/?LinkId=155317 (https://go.microsoft.com/fwlink/?LinkId=155317) 922706マイクロソフト サポート技術情報の記事を参照してください。 |
取引先の公開証明書 |
-
HTTP トランスポート - [HTTP トランスポートのプロパティ] ダイアログ ボックスの [認証] タブで SSL クライアント証明書の拇印オプションを設定します。 [HTTP トランスポートのプロパティ] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [構成] ボタンをクリックして表示されます。 - SOAP トランスポート - [SOAP トランスポートのプロパティ] ダイアログ ボックスの [全般] タブで、[クライアント証明書の拇印] オプションを設定します。 [SOAP トランスポートのプロパティ] ダイアログ ボックスは、[送信ポートのプロパティ] ダイアログ ボックスの [全般] ページの [構成] ボタンをクリックして表示されます。 |