証明書を管理するためのベスト プラクティス

このセクションでは、Microsoft BizTalk Server 環境で証明書を管理するためのベスト プラクティスについて説明します。

証明書の使用を評価して計画する

使用している環境の脅威モデル分析の実行

• 使用している環境の脅威モデル分析 (TMA) を実行して、署名証明書または暗号化証明書でセキュリティの脅威を緩和できるかどうかを判断します。

パートナーと共に公開キーの証明書の計画を作成

• 公開キー証明書をパートナーに送信し、パートナーから公開キー証明書を受信するための計画を作成します。 パーティの解決に署名証明書を使用しない場合は、パブリック証明書をメッセージに添付できます。この場合、使用するシステムで事前に証明書のコピーを用意する必要はありません。

パートナーと共に公開キーの送信に関するガイドラインを設定

• パートナーとのサービス レベル契約 (SLA) の一部として、公開キーの送信、証明書の有効期間の終了が近づいた際の通知の受信、証明書が無効になる場合の通知の受け取りに関して、ガイドラインを設定します。

証明書のインストール

設定した間隔での証明書の失効一覧のダウンロード

• 設定した間隔で、証明機関 (CA) から証明書の失効一覧 (CRL) をダウンロードします。 週に 1 度の実行をお勧めします。 BizTalk サーバーが参加しているドメインの CA がある場合、CRL は自動的にダウンロードされます。

署名証明書の確認

• 署名証明書を証明書の失効一覧と照合して確認します。 署名証明書を確認する方法の詳細については、BizTalk Server ヘルプの「MIME/SMIME デコーダー パイプライン コンポーネントを構成する方法」を参照してください。

パートナーによる証明書の管理

• パートナー管理に含まれる作業として、証明書の管理を行います。 BizTalk Server 環境でパーティの追加または削除を行う場合は、そのパートナーに関連付けられた証明書の追加または削除を行うことをお勧めします。

ホスト インスタンスを削除する前の証明書の削除

• BizTalk サーバーからホスト インスタンスを削除する前に、ホスト インスタンスの実行に使用されているアカウントの個人用ストアにある証明書を削除します。

MIME/SMIME に証明書を使用するようにBizTalk Serverを構成する

デジタル署名に対するサービス拒否攻撃の回避

• BizTalk Serverがデジタル署名を検証できない場合のメッセージの処理を決定します。 受信ポートで [認証] プロパティを設定することにより、サービス拒否攻撃を防止できます。

  Note

  受信ポートに [認証] - [メッセージの削除] フラグおよび [認証] - [メッセージの保持] フラグを設定するには、パーティの解決パイプライン コンポーネントを正しく構成し、BizTalk Server でパーティを定義する必要があります。 詳細については、「BizTalk Server ヘルプ」の「パーティ解決パイプライン コンポーネント ()」 をhttps://go.microsoft.com/fwlink/?LinkId=155146参照してください。

暗号化されたメッセージと暗号化されていないメッセージに対して別の受信場所を作成

• パートナーから MIME 暗号化されているメッセージと暗号化されていないメッセージを受信することが予測される場合は、それぞれに対して異なるホストの異なる受信場所を作成します。 MIME 暗号化されたメッセージのみを受信する予定であれば、MIME/SMIME デコーダ パイプライン コンポーネントの [MIME 以外のメッセージを許可します] オプションを [いいえ] に設定します。

証明書を使用するように BizTalk アダプターを構成する

ターゲット Web サイトへの接続をテストする

• SSL を使用している場合は、HTTP または SOAP トランスポートを使用してターゲット Web サイトに接続する前に、Microsoft インターネット エクスプローラー®を使用してターゲット Web サイトに接続できることを確認してください。 ターゲット Web サイトに接続するときに、インターネット エクスプローラーにダイアログ ボックスが表示されていないことを確認します。 BizTalk Serverには、ターゲット Web サイトへの接続時に表示される可能性のあるダイアログ ボックスとのインターフェイスを設定するためのメカニズムはありません。 ターゲット Web サイト名が SSL 証明書の Web サイトに指定された名前と一致しない場合、または SSL 証明書のルート証明機関が適切な信頼されたルート証明機関ストアにない場合は、インターネット エクスプローラーによってダイアログ ボックスが表示されることがあります。

SSL 診断ツールを使用して SSL 接続の問題を分析する

• SSL 診断ツールは、IIS 診断ツールキットのオプションのコンポーネントです。 IIS Diagnostics Toolkit は、インターネット インフォメーション サービス診断ツールからダウンロードできます。

ある BizTalk グループから別の BizTalk グループへの証明書のエクスポート

インポートされた証明書が目的に使用されていることを確認する

• 証明書をグループにインポートする場合、インポートされた証明書には、目的の用途と一致する使用法プロパティが必要です。 usage プロパティをチェックするには、[証明書管理コンソール] インターフェイスで証明書をダブルクリックし、[証明書] ダイアログ ボックスの [詳細] タブをクリックします。 次に、[表示] ドロップダウン リストの [すべて] オプションをクリックし、[キー使用法] フィールドまたは [拡張キー使用法] フィールドをクリックして目的を確認します。 BizTalk Serverが目的以外の目的で証明書を使用しようとすると、ランタイム エラーが発生します。