次の方法で共有

BizTalk Server で使用される証明書ストア

  • [アーティクル]

BizTalk Server では、2 種類の証明書ストアが使用されます。公開キーには "ほかの人" 証明書ストアが使用され、秘密キーには各ホスト インスタンス サービス アカウント用の個人証明書ストアが使用されます。

"ほかの人" 証明書ストア : 公開キー証明書は、その名前が意味するとおり、公開された証明書であり、証明書が保存されているコンピューターへのアクセスが許可されているユーザーであればだれでもアクセスできます。 BizTalk Server では、公開キー証明書を使用して特定のパーティへのメッセージを暗号化したり、特定のパーティからの受信メッセージのデジタル署名を確認します。 "ほかの人" 証明書ストアは Windows で提供され、ストアにはコンピュータで使用される公開キー証明書が保存されます。 このストアにある証明書はすべてのユーザーが読み取りおよび使用できます。このストアを管理する権限は Windows 管理者が持っています。

Note

公開キー証明書は、BizTalk ホスト インスタンスが置かれているローカル コンピュータの Local Machine\Other People 証明書ストアに保存する必要があります。ホスト インスタンスは、署名の確認やリモートのパートナーに送信するメッセージの暗号化に使用されます。

次の図に、BizTalk Server で公開キー証明書に対して使用される "ほかの人" 証明書ストアを示します。

その他のPeopleの証明書ストア

個人証明書ストア: BizTalk Server では、秘密キー証明書を使用して、受信メッセージの解読や送信メッセージの署名を行います。 コンピューターに対話形式でログオンできるすべての Windows アカウントには、オペレーティング システムによって個人証明書ストアが作成されます。証明書ストアには、そのアカウントのみがアクセスできます。 BizTalk Server では、ホスト インスタンス サービス アカウントごとの個人証明書ストアを使用して、各サービス アカウントがアクセスできる秘密キー証明書にアクセスします。 個人証明書ストアにアクセスし、管理できるのはその証明書ストアの所有者のみです。 つまり、ホスト サービス アカウントごとに S/MIME デコード パイプラインをホストする各コンピュータにログオンし、証明書スナップインを使用して解読証明書を個人証明書ストアにインポートする必要があります。

次の図に、BizTalk Server で秘密キー証明書に対して使用される個人証明書ストアを示します。

現在のユーザーの証明書ストア

重要

秘密キー証明書は、各コンピュータでホスト インスタンス サービス アカウントごとに設定されている Current User\Personal 証明書ストアに保存する必要があります。BizTalk ホスト インスタンスでは解読や送信メッセージの署名の実行にこの証明書が必要です。

Note

送信メッセージへの署名に使う秘密キー証明書をサービス アカウントの個人証明書ストアに追加した後は、BizTalk 管理コンソールでこの署名証明書を指定する必要もあります。 詳細については、「署名付きメッセージを送信するためのBizTalk Serverを構成する方法」を参照してください。

Note

個人証明書ストアは、証明書のインポートやエクスポートをスクリプト記述するなどのプログラム操作に使用する場合、MY 証明書ストアとも呼ばれます。

次の表で、各 Windows 証明書ストアにインストールする必要がある証明書を説明します。

表 1 Windows 証明書ストアごとの証明書

証明書の目的 証明書の種類 証明書ストア
署名 固有の秘密キー メッセージに署名するように構成された MIME/SMIME Encoder パイプライン コンポーネントを持つ送信パイプラインを持つホスト インスタンスの各サービス アカウントの個人用ストア ([署名証明書をメッセージに追加] プロパティをTrue設定)。 詳細については、「署名付きメッセージを送信するためのBizTalk Serverを構成する方法」を参照してください。
署名の検証 パートナーの公開キー ホスト インスタンスが置かれている各コンピュータの "ほかの人" ストア。ホスト インスタンスの受信パイプラインには、MIME/SMIME デコーダ パイプライン コンポーネントが含まれます。 詳細については、「署名付きメッセージを受信するためのBizTalk Serverを構成する方法」を参照してください。
解読 固有の秘密キー ホスト インスタンス サービス アカウントごとの個人用ストア。ホスト インスタンスの受信パイプラインには、MIME/SMIME デコーダ パイプライン コンポーネントが含まれます。 詳細については、「暗号化されたメッセージを受信するためのBizTalk Serverを構成する方法」を参照してください。
Encrypting パートナーの公開キー その他のPeople、メッセージを暗号化するように構成された MIME/SMIME Encoder パイプライン コンポーネントを持つ送信パイプラインを持つホスト インスタンスを持つ各コンピューターに格納されます (暗号化プロパティを に設定しますTrue))。 詳細については、「暗号化されたメッセージを送信するためのBizTalk Serverを構成する方法」を参照してください。
パーティの解決 パートナーの公開キー パーティの解決を構成する管理コンピュータの "ほかの人" ストア。 詳細については、「 パーティ解決に証明書を使用する」を参照してください。

次の図に、メッセージの受信専用の BizTalk Server に設定された各証明書ストアに必要な証明書を示します。

セキュリティで保護されたメッセージを受信するために必要な証明書

次の図に、メッセージの送信専用の BizTalk Server に設定された各証明書ストアに必要な証明書を示します。

セキュリティで保護されたメッセージを送信するために必要な証明書

証明書ストアと Microsoft 管理コンソール (MMC) の証明書スナップインの詳細については、Windows ヘルプで "証明書コンソール" を検索してください。

参照

BizTalk Server で署名付きメッセージに使用する証明書
BizTalk Server で暗号化されたメッセージに使用する証明書
暗号化証明書および署名証明書
メッセージ セキュリティの実装