为了帮助保护 BizTalk Server 上的数据传输,必须将证书存储中安装的证书与相应的 BizTalk 项目相关联。 这适用于 MIME/SMIME 编码的消息。 它还适用于用于传输 MIME/SMIME 消息的 AS2 传输。
使用下表作为 BizTalk Server 中提供的证书使用方案和配置选项的参考。 在本主题末尾的“本节内容”标题下列出的主题中提供了详细的步骤。
| 证书用法 | 用户上下文 | 证书存储位置 | 证书类型 | BizTalk 管理控制台中的配置参数 |
|---|---|---|---|---|
| 加密 (发送) | 与发送处理模块关联的主机实例使用的帐户 | 登录到运行 BizTalk Server 的每台计算机,该计算机将托管 S/MIME 编码器管道,并将加密证书导入 本地计算机 \ 其他人 存储。 | 贸易合作伙伴公共证书 | - 在“发送端口属性”对话框的“证书”页上指定加密证书公用名和指纹的值。 - 在“配置管道”对话框中指定管道编码选项。 通过单击“发送端口属性”对话框的“常规”页上“发送管道”下拉列表旁边的按钮,将显示“配置管道”对话框。 |
| 解密 (接收) | 与接收处理程序关联的主机实例使用的帐户 | 登录到运行 BizTalk Server 的每台计算机,该计算机将 S/MIME 解码器管道作为每个主机实例服务帐户托管,并将解密证书导入 到当前用户 \个人 存储。 注意:若要使管道解密在运行 IIS 6.0 或更高版本的计算机上成功,请确保 IIS 应用程序池的帐户和与接收处理程序关联的主机实例使用的帐户相同,并且此帐户是 machineName>\IIS_WPG 组的成员<。 有关为 IIS 设置 IIS 进程标识的详细信息,请参阅 BizTalk Server 帮助中 解决 IIS 权限问题的指南 (https://go.microsoft.com/fwlink/?LinkId=155161)。 这些进程必须在同一帐户下运行,以确保加载帐户配置文件,这反过来会加载在管道中进行解密所需的注册表项。 出于性能原因,IIS 在启动关联的 w3wp.exe 进程时不会加载帐户配置文件,因此必须使用相同的帐户配置 BizTalk Server 主机实例,以便 BizTalk Server 将加载帐户配置文件和注册表项。 | 拥有私有证书 | - 在每个“主机属性”对话框的“证书”页上指定解密证书公用名和指纹的值。 - 在“配置管道”对话框中指定管道解码选项。 通过单击“接收位置属性”对话框的“常规”页上“接收管道”下拉列表旁边的按钮,将显示“配置管道”对话框。 |
| 签名(发送) | 与发送处理模块关联的主机实例使用的帐户 | 登录到运行 BizTalk Server 的每台计算机,该计算机将托管 S/MIME 编码器管道作为每个主机实例服务帐户,并将签名证书导入 到 Current User \ Personal 存储。 | 拥有私有证书 | - 在 BizTalk 组属性对话框的“证书”页上指定签名证书公用名和指纹的值。
注意: 每个 BizTalk Server 组只能指定一个签名证书。 - 在“配置管道”对话框中指定管道编码选项。 通过单击“发送端口属性”对话框的“常规”页上“发送管道”下拉列表旁边的按钮,将显示“配置管道”对话框。 |
| 签名验证(接收端) | 与接收处理程序关联的主机实例使用的帐户 | 登录到运行 BizTalk Server 的每台计算机,该计算机将托管 S/MIME 解码器管道,并将签名证书导入 本地计算机 \ 其他人 存储。 | 贸易合作伙伴公共证书 | - 在每个“参与方属性”对话框的“证书”页上指定验证证书公用名和指纹的值。 - 在“配置管道”对话框中指定管道解码选项。 通过单击“接收位置属性”对话框的“常规”页上“接收管道”下拉列表旁边的按钮,将显示“配置管道”对话框。 注意: 用于验证一个参与方签名的证书必须与用于验证其他各方签名的证书不同并且是独特的。 注意:解码选项的配置要求部署包含 MIME/SMIME 解码器组件的管道。 |
| 政党决议(收到) | 与接收处理程序关联的主机实例使用的帐户 | 登录到正在配置参与方解析的 BizTalk Server 计算机,并将证书导入 本地计算机 \ 其他人 存储。 | 贸易合作伙伴公共证书 | - 在每个“主机属性”对话框的“证书”页上指定证书公用名和指纹的值。 - 在“配置管道”对话框中指定 ResolveParty 选项。 通过单击“接收位置属性”对话框的“常规”页上“接收管道”下拉列表旁边的按钮,将显示“配置管道”对话框。 注意: 此选项的配置需要使用包含 Party 解析 组件的管道。 XMLReceive 管道包含 Party 解析组件。 |
| HTTPS (发送) | 与发送处理模块关联的主机实例使用的帐户 | SSL 通信不需要客户端证书。 是否需要客户端证书取决于目标 Web 服务器管理员。 如果目标 Web 服务器需要客户端证书,请执行以下步骤: - 从贸易伙伴获取公共证书。 - 以与发送处理程序关联的主机实例使用的帐户身份登录到运行 BizTalk Server 的每台计算机。 - 将证书导入 当前用户 \ 个人 存储区。 关于如何配置 IIS 以使用 SSL 的信息,请参考知识库文章 如何在 Windows Server 2003 的 Web 服务器上安装导入证书 (https://go.microsoft.com/fwlink/?LinkId=155162)。 有关如何使用 Windows Server 2003 证书服务网页获取证书的信息,请参阅 使用 Windows Server 2003 证书服务网页 (https://go.microsoft.com/fwlink/?LinkID=69975)。 注意:若要使用证书服务网页从 Windows Server 2008 计算机获取证书,请参阅Microsoft知识库文章922706(https://go.microsoft.com/fwlink/?LinkId=155317https://go.microsoft.com/fwlink/?LinkId=155317)。 |
贸易合作伙伴公共证书 |
-
HTTP 传输 - 在“HTTP 传输属性”对话框的“身份验证”选项卡上设置 SSL 客户端证书指纹选项。 “HTTP 传输属性”对话框通过单击“发送端口属性”对话框的“常规”页上的“配置”按钮来显示。 - SOAP 传输 - 在“SOAP 传输属性”对话框的“常规”选项卡上设置客户端证书指纹选项。 “SOAP 传输属性”对话框通过单击“发送端口属性”对话框的“常规”页上的“配置”按钮来显示。 |