BizTalk Server で署名付きメッセージに使用する証明書
BizTalk Server では、送信メッセージへの署名と、S/MIME (Secure Multipurpose Internet Mail Extensions) 受信メッセージに対する署名の確認がサポートされます。 送信メッセージへの署名と受信メッセージの署名の確認には、S/MIME バージョン 2 および 3 が使用されます。 同様に、BizTalk Server の構成では、パートナーへの送信メッセージが署名され暗号化されるように指定できます。
BizTalk Server では、デジタル署名の検証に SHA-1 署名アルゴリズムと MD5 署名アルゴリズムを使用できます。 送信メッセージへの署名には、SHA-1 署名アルゴリズムが使用されます。
BizTalk Server でサポートされる署名キーのキー交換システムは、RSA (Rivest-Shamir-Adleman) アルゴリズムと DSS (Digital Signature Standard) です。 BizTalk Server では、署名キーに対する AES (Advanced Encryption Standard) 交換システムの使用はサポートされません。
BizTalk Server でサポートされる署名証明書は x.509 バージョン 3 です。
次の図は、デジタル署名されたメッセージを BizTalk Server で受信し、BizTalk Server 環境内で署名を適宜使用してパートナーの ID をパーティに解決するときのメッセージ フローです。
デジタル署名されたメッセージを BizTalk Server で受信するときのメッセージ フローは次のとおりです。
パートナーから BizTalk Server にメッセージが送信されます。 パートナーは秘密キー証明書を使用してメッセージに署名します。
対応する BizTalk Server 受信ハンドラーでメッセージが受信されます。
受信パイプラインの実行中に、MIME/SMIME デコーダ パイプライン コンポーネントで、パートナーの公開キーを使用してデジタル署名が検証されます。
パーティの解決コンポーネントが構成されている場合は、受信パイプラインのパーティの解決コンポーネントの実行中に、BizTalk Server システム内でパートナーの公開キー証明書を基にパーティが識別されます。
追加処理が実行されます。
次の図は、デジタル署名されたメッセージを BizTalk Server から送信するときのメッセージ フローです。
デジタル署名されたメッセージを BizTalk Server からパートナーに送信するときのメッセージ フローは次のとおりです。
対応する BizTalk Server 送信ハンドラーからパートナーにメッセージが送信されます。
送信パイプラインの実行中に、MIME/SMIME エンコーダ パイプライン コンポーネントで、BizTalk Server の秘密キーを使用してメッセージが署名されます。
パートナーが BizTalk Server からメッセージを受信します。 パートナーは BizTalk Server の公開キーを使用してデジタル署名を検証します。
BizTalk Serverは、証明書の証明機関 (CA) 信頼チェーンを検証し、証明書の有効期限が切れていないことを確認することで、受信署名済みメッセージに関連付けられている証明書の有効性を確認します。 証明機関 (CA) の信頼チェーンの検証プロセスでは、ルート証明機関まで証明書の信頼チェーンをたどって検証が行われます。 これにより、メッセージの署名に使用された証明書が確実に、認識されている当事者からのものであることが検証されます。 この検証は、実行時、すべての署名付きメッセージに対して個別に行われます。
さらに、BizTalk Serverは、証明機関がメッセージの署名または暗号化に使用された証明書を取り消していないかどうかを確認できます。 これには、証明機関から証明書の失効一覧 (CRL) をダウンロードし、エクスプローラーを使用して CRL をインストールする必要があります。 証明書を検証する方法の詳細については、「 MIME-SMIME デコーダー パイプライン コンポーネントを構成する方法」を参照してください。
参照
BizTalk Server で暗号化されたメッセージに使用する証明書
BizTalk Server で使用される証明書ストア
暗号化証明書および署名証明書
署名付きメッセージの送受信