小売店舗のユーザー定義の証明書プロファイル

  • [アーティクル]

この記事では、Microsoft Dynamics 365 Commerce で利用できる証明書プロファイルの概要を提供します。 この機能は、ローカル証明書のサポートを追加することによって小売チャネルのシークレットを管理 の機能を拡張します。

販売時点管理 (POS) がオフライン モードで実行されている間、Microsoft Azure Key Vault に保存されている証明書にはアクセスできません。 代わりにローカル証明書を使用する必要があります。 次の機能がサポートされています。

  • Key Vault 予備シナリオでのローカル証明書の使用
  • Key Vault を使用しないローカル証明書の使用 (たとえばオンプレミスのインストールで)
  • 一部の店舗およびターミナルは証明書の新しいバージョンを使用しますが、他の店舗またはターミナルは以前のバージョンを引き続き使用する証明書の段階的な更新

証明書プロファイル機能を使用すると、既定の証明書を指定して、同じ証明書プロファイル内の証明書を検索する順序を設定できます。 この機能は、ローカル証明書および Key Vault 証明書についても同じような設定方法を提供します。 証明書に対して会社固有の設定を追加できますが、各証明書の会社間の一意の識別子を Commerce チャネルで使用できます。

シナリオ

証明書プロファイル機能では、Commerce チャネルで次のシナリオをサポートしています。

  • Key Vault 予備シナリオでのローカル証明書を使用します。 予備シナリオの例を次に示します。

    • キー コンテナー ストレージにアクセスできません。
    • キー コンテナー ストレージに証明書が見つかりません。
    • POS はオフライン モードで実行されています。

  • ローカル証明書を使用しますが、Key Vault には保存しません (たとえば、オンプレミスのインストールで)。

  • 証明書の段階的な更新を実行すると、証明書の新しいバージョンは、新しいバージョンが既に利用可能な店舗またはターミナルでのみ使用されます。

  • 複数の会社で同じ証明書を使用します。

証明書プロファイルの設定

次の手順では、証明書プロファイルの設定方法について説明します。

Key Vault の設定

Key Vault に保存されている電子証明書を使用する前に、以下の手順を完了する必要があります。

  1. Key Vault ストレージ アカウントを作成します。 Commerce Scale Unit と同じ地理的領域にストレージ アカウントを配置することをお勧めします。
  2. デジタル証明書を Key Vault ストレージ アカウントにアップロードします。
  3. Application Object Server (AOS) アプリケーションを承認して、Key Vault ストレージ アカウントからシークレットを読み取ります。

Key Vault を操作する方法の詳細については、Azure Key Vault の使用を開始するを参照してください。

システム パラメーターを設定

Commerce チャネルで証明書プロファイルを構成する前に、Commerce が Key Vault に格納されている証明書と証明書プロファイルの両方を使用できるようにする必要があります。

Commerce headquarters でシステム パラメーターを設定するには、次の手順を実行します。

  1. システム パラメーター ページで、高度な証明書ストアの使用 オプションを はい に設定します。
  2. 機能管理ワークスペースで、小売店舗のユーザー定義の証明書プロファイル機能を有効にします。

Key Vault パラメーターを設定

Key Vault パラメーター ページで、Key Vault ストレージにアクセスするには、次のパラメーターを指定する必要があります:

  • 名前説明 - Key Vault ストレージ アカウントの名前と説明。
  • Key Vault URL - Key Vault ストレージ アカウントの URL。
  • Key Vault クライアント - 認証のために Key Vault ストレージ アカウントに関連付けられている Microsoft Entra アプリケーションのインタラクティブ クライアント ID。 このクライアントは、ストレージ アカウントからシークレットを読み取るためのアクセス許可が必要です。
  • Key Vault シークレット キー - Key Vault ストレージ アカウントで認証のために使用される Microsoft Entra アプリケーションと関連しているシークレット キー。
  • 名前説明シークレットの参照 - 証明書の名前、説明、シークレットの参照。

詳細については、Azure Key Vault クライアントの設定 を参照してください。

証明書プロファイルの構成

Commerce headquarters で証明書プロファイルを構成するには、次の手順に従います。

  1. システム管理 > 設定 > 証明書プロファイルの順に移動します。

  2. アクション ペインで 新規 を選択して、レコードを作成します。

  3. 証明書プロファイル名前説明 のフィールドに値を入力します。

    メモ

    証明書プロファイルは、すべての会社および Commerce コンポーネント間の証明書の一意識別子です。

  4. 法人 FastTab で、追加 を選択して明細行を追加します。

  5. 法人 の下で、現在の証明書プロファイルを使用する法人 (会社) を選択します。

    証明書プロファイルを複数の法人に使用する必要がある場合は、手順 4 と 5 を繰り返して、追加の法人ごとに明細行を追加します。

  6. 設定を選択して、証明書プロファイル設定のページを開くと、証明書プロファイルの会社固有の設定を入力できます。 現在の証明書プロファイルが Commerce チャネルで呼び出されたときに使用できる証明書を指定します。 必要な数の証明書を追加し、証明書の優先順位を設定します。 優先順位の高い証明書を使用できない場合は、優先順位に基づいて次の証明書が使用されます。 詳細については、ワークフロー: Commerce Runtime での証明書の検索 を参照してください。

    メモ

    優先順位フィールドは自動的に設定されます。 値 1 は、最も高い優先順位を表します。 新しい明細行が、証明書プロファイル設定のページに追加されると、その優先順位は前の明細行の優先順位より 1 大きい番号に設定されます。 特定の明細行の優先順位を変更するには、明細行を選択し、上へ移動を選択して優先順位を上げるか、下に移動を選択して優先順位を下げます。

  7. 証明書プロファイル設定 ページに新しい明細行を追加するときは、次のフィールドを設定します:

    • 場所タイプ – 証明書を保存されている場所を選択します。 このフィールドには次の 2 つの値があります: ローカル証明書Key Vault です。

    • Key Vault 証明書場所のタイプ フィールドを Key Vault に設定する場合、このフィールドは必須です。 これを使用して、Key Vault 証明書のシークレットを指定します。

    • 店舗名 – このフィールドはオプションであり、場所タイプ フィールドをローカル証明書に設定した場合にのみ利用できます。 これを使用して、ローカル証明書の検索に使用する既定の店舗名を指定します。

    • 店舗の場所 – このフィールドはオプションであり、場所タイプ フィールドをローカル証明書に設定した場合にのみ利用できます。 これを使用して、ローカル証明書の検索に使用する既定の店舗の場所を指定します。

      メモ

      Commerce Runtime でローカル証明書を検索するプロセスを簡略化するために、既定の店舗名および店舗の場所が追加されます。 X509StoreProvider には、証明書が保存されるフォルダーの一覧があります。 既定の店舗名および既定の店舗の場所が指定されていない場合、X509StoreProvider はその一覧の他のフォルダーにある証明書を検索しようとします。 店舗名および店舗の場所に使用可能な値の詳細については、StoreName 列挙型 および StoreLocation 列挙型 を参照してください。

    • サムプリント – このフィールドは必須であり、場所タイプ フィールドを ローカル証明書 に設定した場合にのみ利用できます。 これを使用して、証明書のサムプリントを指定します。

      重要

      ローカル証明書を使用する必要があるアプリケーションを実行するユーザー (たとえば、オフライン モードの Store Commerce アプリ) が、証明書の秘密キーへの読み取り専用アクセスを少なくとも持っていることを確認する必要があります。

    • コメント – このフィールドはオプションであり、ユーザーはメモを入力できます。

ワークフロー: Commerce Runtime での証明書の検索

Commerce Runtime で、証明書プロファイルが呼び出されたときに証明書を検索するために使用される、基本的なワークフローを次に示します。

  1. システムでは、証明書プロファイルに現在の法人に対する会社固有の設定があるかどうかが識別されます。

  2. システムでは、優先順位フィールドが 1 に設定された明細行に対する証明書プロファイル設定のページの値を使用して証明書を検索しようとします。

    • 場所のタイプ フィールドが Key Vault に設定されている場合、Key Vault 証明書のシークレット フィールドの値はキー コンテナー パラメーターのページの証明書を検索するために使用されます。 次に、証明書がキー コンテナー ストレージで検索されます。
    • 場所タイプ フィールドがローカル証明書に設定される場合、既定の店舗名および店舗の場所を使用して、これらのパラメータが指定されている場合、X509StoreProvider は最初に証明書を検索します。 次に、そのフォルダーの一覧にある他のすべてのフォルダーを検索します。

  3. 証明書が見つからない場合は、優先順位フィールドが 2 などに設定されている明細行に対してプロセスが繰り返されます。

メモ

証明書プロファイルに現在の法人の設定がない場合、または証明書検索が証明書プロファイル設定のページのすべての明細行で失敗した場合、証明書は見つかりません。

証明書検索の結果のキャッシュ

証明書検索の結果がキャッシュされます。 キャッシュの既定の有効期限は 1 時間です。 ただし、この時間はカスタマイズ可能で、最大 24 時間に設定できます。

段階的更新

証明書の新しいバージョンが導入されても、すべての店舗で同時に更新できない場合は、証明書プロファイル機能により証明書を段階的に更新できます。

  1. 証明書プロファイルおよび更新する明細行を検索し、設定を選択します。
  2. 明細行を追加し、証明書の最新バージョンに関連する設定を指定します。
  3. 新しい明細行の優先順位の値を増やします。 上へ移動ボタンを使用し、同じ証明書の以前のバージョンの明細行の上になるように明細行を移動します。

メモ

Commerce Runtime では、証明書の新しいバージョンが最初に呼び出されます。 証明書がまだ特定の店舗または特定のターミナルで更新されていない場合は、以前のバージョンが呼び出されます。