次の方法で共有

AS2 の証明書の構成

  • [アーティクル]

暗号化とデジタル署名を使用して安全な AS2 データ送信を行うには、BizTalk Server で AS2 を適切に構成するだけではなく、適切な証明書をインストールする必要があります。 このトピックでは、必要な証明書、証明書の設定方法、および証明書に関する一般的な問題について説明します。

前提条件

BizTalk Server Administrators グループのメンバーとしてログオンする必要があります。

AS2 トランスポートに必要な証明書

安全な AS2 データ送信を行うには、適切な証明書を適切な証明書ストアに追加して、証明書を適切な BizTalk アイテムに関連付ける必要があります。 AS2 メッセージを保護するために、以下の証明書が使用されます。

証明書の使用状況 証明書の種類 パイプライン コンポーネント ユーザー コンテキスト 証明書ストア 定義されている場所
署名 (送信) 固有の秘密キー (.pfx) AS2 エンコーダー 送信ハンドラに関連付けられているホスト インスタンスが使用するアカウント AS2 エンコーダー パイプラインを各ホスト インスタンス サービス アカウントとしてホストする各BizTalk Serverの現在の User\Personal ストア - [グループのプロパティ] ダイアログ ボックスの [証明書] ページ。 これは、署名されたドキュメントの送信時に使用される既定の署名証明書です。
- 既定の証明書設定をオーバーライドし、代わりにさまざまなパーティに異なる証明書を使用できます。 そのためには、[契約のプロパティ] ダイアログ ボックスの [一方向アグリーメント] タブの [署名証明書] ページで [グループ署名証明書のオーバーライド] を選択し、署名証明書を指定します。 このプロパティが設定されている場合、契約に解決される AS2 メッセージは、BizTalk グループのプロパティの一部として提供される証明書ではなく、[ 署名証明書 ] ページで指定された証明書を使用して署名されます。
署名の検証 (受信) 取引先の公開キー (.cer) AS2 デコーダー 受信ハンドラに関連付けられているホスト インスタンスが使用するアカウント 各ホスト インスタンス サービス アカウントとして AS2 デコーダー パイプラインをホストする各BizTalk Serverのローカル コンピューター\その他のPeople ストア [パーティのプロパティ] ダイアログ ボックスの [証明書] ページ 注: パーティの署名の検証に使用される証明書は、他のパーティの署名の検証に使用される証明書から一意である必要があります。
暗号化 (送信) 取引先の公開キー (.cer) AS2 エンコーダー 送信ハンドラに関連付けられているホスト インスタンスが使用するアカウント AS2 エンコーダー パイプラインをホストする各BizTalk Serverのローカル コンピューター\その他のPeople ストア [送信ポートのプロパティ] ダイアログ ボックスの [証明書] ページ
解読 (受信) 固有の秘密キー (.pfx) AS2 デコーダー 受信ハンドラに関連付けられているホスト インスタンスが使用するアカウント AS2 デコーダー パイプラインを各ホスト インスタンス サービス アカウントとしてホストする各BizTalk Serverの現在の User\Personal ストア メッセージに含まれている証明書情報に基づいて、AS2 デコーダが証明書を決定します。

BizTalk MIME デコーダーの場合、メッセージの受信に使用するホストの [証明書 ] ページに証明書が存在する必要があります。 AS2 デコーダの場合は必要ありません。

送信メッセージの証明書への署名

送信 AS2 メッセージへの署名には、BizTalk グループのプロパティに定義された既定の証明書が使用されます。 ただし、メッセージを受信するパーティの求めに応じて、そのパーティから提供されるプライベート証明書を使用して署名したり、そのパーティへの送信メッセージの署名時には別の証明書を使用する必要がある場合もあります。 [契約のプロパティ] ダイアログ ボックスの [一方向アグリーメント] タブの [署名証明書] ページで [グループ署名証明書のオーバーライド] を選択し、署名証明書を指定すると、他の証明書を使用して送信メッセージに署名するこのシナリオが有効になります。 パーティの AS2 アグリーメントで証明書が指定されている場合、送信メッセージの署名にはその証明書が使用されます。 パーティに証明書が定義されていない場合、BizTalk グループのプロパティで指定された既定の証明書が使用されます。

証明書ストアへの証明書の追加

詳細については、「 WCF アダプター用の証明書のインストール」の「証明書管理コンソールの表示」および「 証明書ウィザード ユーティリティ 」トピックを参照してください。

重要

個人証明書ストアは、ログオン資格情報がホスト インスタンスに関連付けられているユーザーのユーザー プロファイルが読み込まれた場合にのみ、メッセージ処理に使用できます。 個人証明書ストアは、証明書 (ユーザー独自の秘密キー) の署名と解読に使用されます。 ユーザー プロファイルは、インプロセス ホスト インスタンスでは既定で読み込まれますが、分離ホスト インスタンスでは既定で読み込まれません。 分離ホストのユーザー プロファイルは、アプリケーションで読み込むことができます。 インプロセス ホスト インスタンスと分離ホスト インスタンスに同じログオンを使用することで、この問題を回避することもできます。

証明書の生成

証明書は、証明機関 (CA) から取得できますが、証明書を要求する手順は CA ごとに異なります。 証明書の要求を送信する前に、目的の証明機関の Web サイトに記載された情報を確認してください。

重要

AS2 トランスポートに使用する証明書には、その使用目的に必要な属性が設定されている必要があります。 署名と署名の検証を行うには、証明書の キー使用法 属性が デジタル署名である必要があります。 暗号化と暗号化解除の場合、証明書の キー使用法 属性は データ暗号化 または キー暗号化である必要があります。 キー使用法属性を確認するには、証明書をダブルクリックし、[証明書] ダイアログ ボックスの [詳細] タブをクリックし、[キー使用法] フィールドをオンにします。

Windows Server 2008 の証明書サービスを使用して証明書を生成することもできます。ただし、このようにして生成された証明書はパブリック CA による署名ではなく自己署名入りのため、取引先はテスト目的でしか受け付けない可能性があります。

送信 AS2 メッセージの署名に使用する証明書を構成するには

  1. BizTalk Server管理コンソールで、[BizTalk グループ] ノードを右クリックし、[プロパティ] をクリックします。

  2. [ グループのプロパティ ] ダイアログ ボックスのコンソール ツリーで、[ 証明書] をクリックします。

  3. [ 証明書 ] ウィンドウで、[ 参照] をクリックし、署名に使用する証明書を見つけて、[ OK] をクリックします。

    Note

    証明書の一般名を入力する代わりに、拇印だけを入力できます。 拇印を取得するには、MMC またはファイル システムの証明書ストアで証明書をダブルクリックし、[ 詳細 ] タブをクリックし、[ 拇印 ] フィールドをクリックし、拇印をコピーします。

  4. [OK] をクリックします。

特定のパーティに対する送信 AS2 メッセージの署名に使用する証明書を構成するには

  1. BizTalk Server管理コンソールで、[パーティ] ノードをクリックします。 [ パーティとビジネス プロファイル ] ウィンドウの [ 契約 ] セクションで、特定のパーティとメッセージを交換するために作成された契約を右クリックし、[ プロパティ] をクリックします。

  2. 一方向アグリーメント タブで、[ 署名証明書] をクリックします。

  3. [グループ署名証明書の上書きチェック] ボックスを選択して、このページで提供されている証明書を使用して、送信 AS2 メッセージと MDN に署名します。

  4. [ 参照 ] をクリックして [ 証明書の選択 ] ダイアログ ボックスを表示します。ここで、このパーティによって送信されるメッセージに適用する署名証明書を選択します。

  5. [ 共通名 ] テキスト ボックスには、選択した証明書の説明が表示されます。

  6. [ 拇印 ] テキスト ボックスには、証明書の拇印が表示されます。 証明書の拇印の形式は HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHHHHHHHHHHHHHHHHH の形式です。ここで、H は 16 進数 (0 ~ 9 の数字、または A から F の文字) です。

  7. [ 証明書の削除] をクリックして、選択した証明書を削除します。

  8. [ OK] を クリックして変更を検証し、ダイアログ ボックスを閉じます。

受信 AS2 メッセージのデジタル署名の検証に使用する証明書を構成するには

  1. BizTalk Server管理コンソールで、[BizTalk グループ] ノードを開き、[パーティ] ノードをクリックします。

  2. [ パーティとビジネス プロファイル ] ウィンドウで、署名付きメッセージを受信するパーティを右クリックし、[ プロパティ] をクリックします。

  3. コンソール ツリーで、[ 証明書] をクリックします。

  4. [ 証明書 ] ウィンドウで、[ 参照] をクリックし、デジタル署名の検証に使用する証明書を見つけて、[OK] をクリック します

    Note

    証明書の一般名を入力する代わりに、拇印だけを入力できます。 拇印を取得するには、MMC またはファイル システムの証明書ストアで証明書をダブルクリックし、[ 詳細 ] タブをクリックし、[ 拇印 ] フィールドをクリックし、拇印をコピーします。

  5. [OK] をクリックします。

送信 AS2 メッセージの暗号化に使用する証明書を構成するには

  1. BizTalk Server管理コンソールで、[BizTalk グループ] ノードを開き、[アプリケーション] ノードを開き、暗号化されたメッセージを送信する送信ポートを含むアプリケーションのノードを開きます。

  2. [ 送信ポート] ノードを開き、送信ポートを右クリックし、[ プロパティ] をクリックします。

  3. コンソール ツリーで、[ 証明書] をクリックします。

  4. [ 証明書 ] ウィンドウで、[ 参照] をクリックし、暗号化に使用する証明書を見つけて、[OK] をクリック します

    Note

    証明書の一般名を入力する代わりに、拇印だけを入力できます。 拇印を取得するには、MMC またはファイル システムの証明書ストアで証明書をダブルクリックし、[ 詳細 ] タブをクリックし、[ 拇印 ] フィールドをクリックし、拇印をコピーします。

  5. [OK] をクリックします。

参照

AS2 トランスポート AS2ソリューション アーキテクチャでの署名、圧縮、および暗号化の構成に関する AS2 セキュリティ WCF アダプター用の証明書のインストール