Azure Key Vault クライアントの設定
高度な証明書の保存機能により、財務と運用アプリで使用される証明書の保存タイプを定義できます。
この機能では、証明書の保管方法として、ローカル ストレージと Microsoft Azure Key Vault ストレージの 2 つのオプションを提供します。 使用するオプションを定義するには、システム パラメーター ページの 全般 タブで新しい 高度な証明書ストアを使用 オプションを設定します (システム管理>設定>システム パラメーター)。
- ローカル 記憶域 - この記憶域オプションは、配置された施設と、任意の種類のオン施設の開発環境で使用できます。 証明書を使用するには、証明書ストアの詳細を使用する オプションを いいえ に設定します。 この記憶域オプションは、開発と検証の目的で使用される開発環境で、証明書を検証して使用する必要がある場合に推奨されます。
- Azure Key Vault ストレージ - このストレージ オプションは、クラウドを配置する場合は必須ですが、導入型の配置環境や、任意の種類のオンサイト環境にも使用できます。 証明書を使用するには、証明書ストアの詳細を使用する オプションを はい に設定します。 このストレージ オプションは、Azure クラウドの実稼働環境に対する唯一のオプションです。
キー コンテナーに格納されている証明書を使用するには、一部の設定が必要です。 必要な設定については、Microsoft サポート技術情報 (KB) の記事: 4040294 - Azure Key Vault ストレージの管理 を参照してください。 キー コンテナー ストレージを設定した後、財務と運用アプリの証明書にリンクする必要があります。
証明書をキー コンテナーにインストールした後、アプリケーションで設定する必要があります。
- システム管理>設定>キー コンテナー パラメーターの順に移動します。
- 新規作成 を選択して、新しいインスタンスを作成します。
- 名前と説明を入力し、一般クイックタブで、キー コンテナー ストレージと統合するために必要な次のフィールドを設定します。
キー コンテナーのURL - シークレット リファレンスで定義されていない場合は、既定のキー コンテナー の URL を入力します。
キー コンテナー クライアント - 認証のために Key Vault ストレージに関連付けられている Microsoft Entra ID アプリケーションのインタラクティブ クライアント ID を入力します。
キー コンテナー シークレット キー - Key Vault ストレージで認証のために使用される Microsoft Entra ID アプリケーションと関連しているシークレット キーを入力します。
注記
複数のキー コンテナー ストレージを使用する場合は、キー コンテナー パラメータ ページでインスタンスごとに個別のインスタンスを設定する必要があります。
- 証明書 クイック タブで 、追加 を選択して証明書を追加します。 各証明書について、以下のフィールドを設定します:
- 名前
- 説明
- キー コンテナー認証シークレット – 証明書へのシークレットの参照を入力します。
キー コンテナーのシークレット証明書は、次の例に類似している必要があります:
vault://<KeyVaultName*>/<SecretName>/<SecretVersion*>
アスタリスク (*) でマークされた属性はオプションです。 ただし、<SecretName> 属性は必須です。 ほとんどの場合、キー コンテナーのシークレット キーは次の形式で定義できます:
vault:///<SecretName>
シークレットのバージョンがキー コンテナーのシークレットキーに定義されていない場合、システムは最新の有効期限を持つアクティブな証明書を取得します。
注記
キー コンテナーのストレージ機能が拡張され、証明書のキャッシュが可能になりました。 以下の構成を推奨します:
- キー コンテナー証明書のバージョンを指定します。
- 既存の証明書の新しいバージョンをキー コンテナー ストレージにアップロードしたら、キー コンテナー証明書シークレット フィールドの <SecretVersion> 属性を更新します。
検証 機能を使用して、証明書への参照が正しく定義されていることを確認し、証明書が有効です。