WCF アダプタの証明書のインストール
WCF アダプターは、メッセージの暗号化と暗号化解除、メッセージの署名と検証 (否認不可)、クライアント認証の目的で公開キー 基盤 (PKI) デジタル証明書を使用できます。 このトピックでは、証明書を使用するさまざまなシナリオ、および WCF アダプタでデジタル証明書を使用する場合の構成オプションのガイドラインを示します。
WCF 受信場所での証明書の使用シナリオ
次の表は、証明書を WCF 受信場所にインストールする方法を示しています。
| 証明書の使用法 | ユーザー コンテキスト | 証明書ストアの場所 | 証明書の種類 | 証明書サーバーをインストールするタイミング |
|---|---|---|---|---|
| 受信場所のセキュリティ設定に応じた暗号化の解読と署名 | 受信ハンドラーに関連付けられているホスト インスタンスが使用するアカウント | 各ホスト インスタンス サービス アカウントとして受信場所をホストするBizTalk Serverを実行している各コンピューターにログオンし、サービス証明書を Current User \ Personal (My) ストアにインポートします。 | 独自のプライベート証明書 | 次の構成で、 サービス証明書 - 拇印 プロパティの値を指定します。 - 受信場所 WCF-BasicHttp の セキュリティ モード プロパティが Message に設定されています。 - WCF-BasicHttp 受信場所のトランスポート クライアント資格情報の種類プロパティは、TransportCredentialOnly セキュリティ モードの Certificate に設定されます。 - メッセージ セキュリティ モードの WCF-WSHttp 受信場所のメッセージ クライアント資格情報の種類プロパティは、None、Certificate、または UserName に設定されます。 - WCF-NetTcp 受信場所のトランスポート クライアント資格情報の種類プロパティは、トランスポート セキュリティ モードの場合は None または Certificate に設定されます。 - WCF-NetTcp 受信場所のメッセージ クライアント資格情報の種類プロパティは、メッセージ セキュリティ モードの場合は None、UserName、または Certificate に設定されます。 - WCF-NetTcp 受信場所のメッセージ クライアント資格情報の種類プロパティは、TransportWithMessageCredential セキュリティ モードの Windows、UserName、または証明書に設定されます。 - WCF-NetMsmq の セキュリティ モード プロパティは 、Message または Both に設定されています。 |
| クライアント認証 | 該当なし | 受信場所を管理者としてホストするBizTalk Serverを実行している各コンピューターにログオンし、クライアント X.509 証明書の CA 証明書チェーンをコンピューターの信頼されたルート証明機関証明書ストアにインポートして、この受信場所に対してクライアントを認証できるようにします。 | クライアントの X.509 証明書の CA 証明書チェーン | 次に示す構成で、クライアント証明書の CA 証明書チェーンを信頼されたルート証明機関の証明書ストアにインストールします。 - WCF-BasicHttp 受信場所の メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティは、 Certificate に設定されています。 - WCF-WSHttp 受信場所の メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティは、 Certificate に設定されています。 - WCF-NetTcp 受信場所の メッセージ クライアント資格情報の種類 または トランスポート クライアント資格情報の種類 プロパティは、 Certificate に設定されています。 - WCF-NetMsmq 受信場所の メッセージ クライアント資格情報の種類 または MSMQ 認証モード プロパティが Certificate に設定されています。 |
Note
標準の WCF 受信アダプターは ChainTrust モードを使用してクライアント証明書を検証するため、クライアント X.509 証明書の CA 証明書チェーンをインストールする必要があります。 WCF-Custom または WCF-CustomIsolated アダプターを使用して、この既定の動作を可能にすることができます。
Note
分離 WCF 受信アダプタの場合は、分離ホスト インスタンスとそれに対応するアプリケーション プールのユーザー アカウントを一致させる必要があります。 BizTalk 分離ホストの詳細については、「 Web サービスの有効化」を参照してください。
Note
WCF-Custom と WCF-CustomIsolated の受信場所の場合、インストールする証明書のユーザー コンテキスト、証明書ストアの場所、証明書の種類は、 serviceCredentials と clientCredentials 動作要素の設定によって異なります。
Note
受信場所で Endpoint Identity プロパティの certificate 要素を使用する場合は、発行されたサービス ID の証明書を Endpoint Identity プロパティで指定された証明書ストアにインストールする必要もあります。
Note
ホスト インスタンス サービス アカウントまたは管理者アカウントを使用してコンピュータにログオンする代わりに、[別のユーザーとして実行] を使用すると、適用可能なアカウントを使用して同じアクションを実行できます。
WCF 送信ポートでの証明書の使用シナリオ
次の表は、証明書を WCF 送信ポートにインストールする方法を示しています。
| 証明書の使用法 | ユーザー コンテキスト | 証明書ストアの場所 | 証明書の種類 | 証明書サーバーをインストールするタイミング |
|---|---|---|---|---|
| クライアント認証 | 送信ポートに関連付けられているホスト インスタンスが使用するアカウント | 各ホスト インスタンス サービス アカウントとして送信ポートをホストするBizTalk Serverを実行している各コンピューターにログオンし、クライアント証明書を Current User \ Personal (My) ストアにインポートします。 | 独自のプライベート証明書 | 次の構成で、 クライアント証明書 - 拇印 プロパティの値を指定します。 - WCF-BasicHttp 送信ポートの メッセージクライアント資格情報の種類またはトランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - WCF-WSHttp 送信ポートの メッセージクライアント資格情報の種類またはトランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - WCF-NetTcp 送信ポートの メッセージクライアント資格情報の種類またはトランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - WCF-NetMsmq 送信ポートの メッセージ クライアント資格情報の種類 または MSMQ 認証モード プロパティが Certificate に設定されています。 |
| 送信ポートのセキュリティ設定に応じたサービス認証、署名の確認、および暗号化 | 該当なし | 送信ポートを管理者としてホストするBizTalk Serverを実行している各コンピューターにログオンし、サービス証明書をローカル コンピューター \ Other people (AddressBook) ストアにインポートします。 また、そのコンピュータの信頼されたルート証明機関の証明書ストアに、サービス証明書の CA 証明書チェーンをインストールする必要があります。 | - サービスパブリック証明書 - サービス証明書の CA 証明書チェーン |
次の構成で、 サービス証明書 - 拇印 プロパティの値を指定します。 - WCF-BasicHttp 送信ポートの メッセージクライアント資格情報の種類またはトランスポート クライアント資格情報の種類 プロパティが Certificate に設定されています。 - [Negotiate service credential]\(ネゴシエート サービス資格情報\) オプションがオフの場合、WCF-WSHttp 送信ポートの Message client credential type プロパティは None、UserName、または Certificate に設定されます。 - WCF-NetMsmq 送信ポートの セキュリティ モード が [メッセージ ] または [両方] に設定されています。 |
| 送信ポートのセキュリティ設定に応じたサービス認証、署名の確認、および暗号化 | 該当なし | 送信ポートを管理者としてホストするBizTalk Serverを実行している各コンピューターにログオンし、クライアント X.509 証明書の CA 証明書チェーンをコンピューターの信頼されたルート証明機関証明書ストアにインポートして、この送信ポートに対してサービスを認証できるようにします。 | サービス証明書の CA 証明書チェーン | サービス証明書 - 拇印プロパティにサービス証明書を明示的に指定しない場合は、次の構成で、サービス X.509 証明書の CA 証明書チェーンを信頼されたルート証明機関証明書ストアにインストールします。 - WCF-BasicHttp 送信ポートの セキュリティ モード は、 Transport またはTransportWithMessageCredential に設定されます。 - WCF-WSHttp 送信ポートの セキュリティ モード は、 Transport またはTransportWithMessageCredential に設定されます。 - WCF-NetTcp 送信ポートの セキュリティ モード は TransportWithMessageCredential に設定されます。 - WCF-NetTcp 送信ポートの トランスポート クライアント資格情報の種類 プロパティは 、None または Certificate に設定 されています。 - WCF-NetTcp 送信ポートの メッセージ クライアント資格情報の種類 プロパティは、 None、 UserName、または Certificate に設定 されます。 |
Note
標準的な WCF 送信アダプターは、サービス証明書を検証するために ChainTrust モードを使用するため、サービス X.509 証明書の CA 証明書チェーンをインストールする必要があります。 WCF-Custom アダプタまたは WCF-CustomIsolated アダプタを使用すると、この既定の動作を変更できます。
Note
WCF-Custom および WCF-CustomIsolated 送信ポートの場合、インストールする証明書のユーザー コンテキスト、証明書ストアの場所、および証明書の種類は、 serviceCredentials と clientCredentials 動作要素の設定によって異なります。
Note
送信ポートで Endpoint Identity プロパティに certificate 要素が使用されている場合は、エンドポイント ID プロパティで指定された証明書ストアに、予想されるサービス ID の証明書を インストールする必要もあります。
Note
ホスト インスタンス サービス アカウントまたは管理者アカウントを使用してコンピュータにログオンする代わりに、[別のユーザーとして実行] を使用すると、適用可能なアカウントを使用して同じアクションを実行できます。
[証明書] 管理コンソールの表示
[ローカル コンピュータ] と [現在のユーザー] の [証明書] 管理コンソール インターフェイスを表示するには、次の手順を実行します。
[スタート] ボタンをクリックし、[実行] をクリックし、「MMC」と入力し、[OK] をクリックして Microsoft 管理コンソールを開きます。
[ ファイル ] メニューの [ スナップインの追加と削除 ] をクリックして、[ スナップインの追加と削除 ] ダイアログ ボックスを表示します。
[ 追加] をクリックして、[ スタンドアロン スナップインの追加 ] ダイアログ ボックスを表示します。
スナップインの一覧から [ 証明書] を選択し、[ 追加] をクリックします。
[ コンピューター アカウント] を選択し、[ 次へ] をクリックし、[完了] をクリック します。 [ローカル コンピュータ] の [証明書] 管理コンソール インターフェイスが追加されます。
スナップインの一覧から [証明書] が引き続き選択されていることを確認し、もう一度 [ 追加 ] をクリックします。
[ マイ ユーザー アカウント] を選択し、[完了] をクリック します。 [現在のユーザー] の [証明書] 管理コンソール インターフェイスが追加されます。
Note
これにより、現在ログオンしているアカウントの [証明書] 管理コンソールが表示されます。 サービス アカウントの個人証明書ストアに証明書をインポートする必要がある場合は、最初にサービス アカウントの資格情報を使用してログオンしてください。
[スタンドアロン スナップイン] ダイアログ ボックスで [閉じる] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。