セキュリティタスク

AzureでSitecoreクライアント証明書を置き換える

Version:

日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

XPサービスロールには、クライアント証明書 (Azureではプライベート証明書と呼ばれます) が必要です。クライアント証明書の有効期限が切れた場合は、証明書を置き換え、その証明書へのすべての参照を更新する必要があります。

証明書を置き換える

期限切れの証明書を置き換えるには:

Azureポータルで、TLS/SSL settingsオプションをクリックし、Private Key Certificatesタブをクリックして、Upload certificateをクリックします。
証明書( *.pfxファイル)をアップロードします。
アップロードされた証明書が正常であることを確認します。
Thumbprint列の値をコピーします。
Configurationタブに移動し、新しい証明書のコピーされた拇印を使用するようにWEBSITE_LOAD_CERTIFICATESアプリの設定を変更します。
変更を適用するには、Saveをクリックします。

証明書の拇印を更新する

Webサービスを公開するロールは、証明書の拇印を参照します。証明書の拇印を更新するには:

<wwwroot>\App_Config\AppSettings.configファイル内のvalidateCertificateThumbprintキーの値を置き換えます。
<?xml version="1.0" encoding="utf-8"?> <appSettings> <add key="validateCertificateThumbprint" value="31163F08D549CBD401BFFA83D6B7C5074971BACC" /> </appSettings>
この手順は、次のロールで実行する必要があります。

自己署名証明書のサポート

自己署名証明書をサポートするには:

この設定が存在するすべてのXPサービスロールの<wwwroot>\App_Config\AppSettings.configファイルで、AllowInvalidClientCertificate設定をtrueに設定します。
この設定が存在するすべてのCoreロールの <wwwroot>\App_Config\AppSettings.configファイルでAllowInvalidClientCertificate設定をtrueに設定します。

接続文字列の更新

xConnect CollectionなどのWebサービスに接続するロールには、証明書の接続文字列が含まれます。その接続文字列には拇印が含まれており、これはサービスのvalidateCertificateThumbprint設定と一致する必要があります。次の例は、xconnect.collection接続文字列と、一致するxconnect.collection.certificate接続文字列を示しています。

<add name="xconnect.collection" connectionString="https://tut4xconnect.dev.local" /> 
<add name="xconnect.collection.certificate" connectionString="StoreName=My;StoreLocation=LocalMachine;FindType=FindByThumbprint;FindValue=5496B9D84850AFE5A3554B7B2D23F3B5C79CA53A" />

接続文字列を更新するには:

すべてのXPサービスロールの証明書接続文字列を更新します。証明書接続文字列の完全なリストについては、個々のロールページを参照してください。

メモ

実装には、証明書接続文字列の完全なリストが含まれていない可能性があります。この場合は、存在するものを更新します。
- すべてのWebサービスで、接続文字列は <wwwroot>\App_Settings\ConnectionStrings.config
- マーケティングオートメーションエンジンの場合、接続文字列は <wwwroot>\App_Data\jobs\continuous\AutomationEngine\App_Config\ConnectionStrings.configで構成されます。 <wwwroot> は、マーケティングオートメーションオペレーションWebサービス (XP Scaled) またはすべてのXPサービスを組み合わせたスタンドアロンロール (XP Single) のいずれかです。
- 処理エンジンの場合、接続文字列は <wwwroot>\App_Data\jobs\continuous\ProcessingEngine\App_Config\ConnectionStrings.configで構成されます。 <wwwroot> は、処理Webサービス (XP Scaled) またはすべてのXPサービスを組み合わせたスタンドアロンロール (XP Single) のいずれかです。
すべてのCoreロールの証明書接続文字列を更新します。接続文字列は <wwwroot>\App_Config\ConnectionStrings.configにあります。

トラブルシューティング

証明書を更新した後、ログに次の例外が表示される場合があります ( 83DCC21BBF54D76F71D7B67EA2319273BCDA8E19は古い証明書の拇印です)。

Message: The certificate was not found. Store: My, Location: CurrentUser, FindType: FindByThumbprint, FindValue: 83DCC21BBF54D76F71D7B67EA2319273BCDA8E19, InvalidAllowed: True.

この問題を解決するには、Webアプリケーションを再起動します。

この記事を改善するための提案がある場合は、お知らせください!