若要帮助保护 BizTalk Server 上的数据传输,必须将相应的证书添加到相应的证书存储中,并将证书与相应的 BizTalk 项目相关联。 本主题介绍如何显示本地计算机和当前用户证书存储的证书管理控制台界面,以及如何在相应的存储中安装相应的证书。
下表中显示的证书用于帮助签名、验证签名、加密和解密消息。
| 证书用法 | 证书类型 | 证书存储 |
|---|---|---|
| 签名(出站) | 拥有自己的私钥(.pfx) | 当前用户\ 每个托管 MIME/SMIME 编码器管道的 BizTalk 服务器的个人存储,用作每个主机实例的服务帐户 |
| 签名验证(入站) | 贸易伙伴的公钥(.cer) | 本地计算机\Other People 存储托管 MIME/SMIME 解码器管道的每个 BizTalk 服务器,作为其主机实例服务账号。 |
| 加密(出站) | 贸易伙伴的公钥(.cer) | 托管 MIME/SMIME 编码器管道的每个 BizTalk 服务器的本地计算机\其他用户存储 |
| 解密(入站) | 专有私钥 (.pfx) | 托管 MIME/SMIME 解码器管道的每个 BizTalk 服务器的当前用户\个人存储作为每个主机实例服务帐户 |
先决条件
若要执行本主题中的过程,必须以 BizTalk Server 管理员组的成员身份登录。
显示证书管理控制台
单击“ 开始”,单击“ 运行”,键入 MMC,然后单击“ 确定 ”以打开 Microsoft管理控制台。
单击“ 文件 ”菜单,然后单击“ 添加或删除管理单元 ”以显示 “添加或删除管理单元 ”对话框。
单击添加按钮以显示添加独立管理控制台对话框。
从管理单元列表中选择“证书”,然后单击“添加”。
选择 “计算机帐户”,单击“ 下一步”,然后单击“ 完成”。 这将为本地计算机添加证书管理控制台接口。
确保从管理单元列表中仍然选择 证书,然后再次单击 添加。
选择 “我的用户帐户”,然后单击“ 完成”。 这将为当前用户添加证书管理控制台界面。
注释
这将显示当前登录的帐户的 证书管理控制台 。 如果需要将证书导入到服务帐户的个人存储中,则应先使用服务帐户凭据登录。
单击“独立管理单元”对话框中的“关闭”按钮。
单击“添加或删除管理单元”对话框中的“确定”按钮。
安装用于接收加密消息的证书
从证书颁发机构(CA)请求私钥和公钥对,以便 BizTalk Server 进行数字签名使用。
将公钥发送到合作伙伴进行加密。
在 BizTalk Server 中,以主机实例上运行处理程序的服务帐户身份登录,该处理程序将接收来自合作伙伴的消息。 安装 BizTalk Server 私钥证书,用于解密服务帐户的个人存储中的消息。
注释
有关用于安装证书进行加密的过程的详细信息,请参阅 BizTalk Server 帮助中的如何为加密消息(https://go.microsoft.com/fwlink/?LinkId=155156)安装证书。 有关用于将证书导入证书存储的工具的详细信息,请参阅 BizTalk Server 帮助中的 证书向导实用工具 (https://go.microsoft.com/fwlink/?LinkId=155157)。
让合作伙伴安装 BizTalk Server 公钥证书,以加密相应存储中的消息。 如果合作伙伴使用的是 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008,则应在“外部人员”存储中安装公钥。
安装用于发送加密消息的证书
让合作伙伴从证书颁发机构(CA)请求私人-公钥对,以便进行加密。
让合作伙伴向你发送其公钥,以便加密要发送到合作伙伴的消息。
让合作伙伴安装私钥证书,以便解密相应存储中的消息。 如果合作伙伴使用的是 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008,则应在个人证书存储中安装私钥。
注释
有关用于安装证书进行加密的过程的详细信息,请参阅 BizTalk Server 帮助中的如何为加密消息(https://go.microsoft.com/fwlink/?LinkId=155156)安装证书。 有关用于将证书导入证书存储的工具的详细信息,请参阅 BizTalk Server 帮助中的 证书向导实用工具 (https://go.microsoft.com/fwlink/?LinkId=155157)。
在 BizTalk Server 中,登录到运行处理程序的主机实例的服务器,该处理程序将向合作伙伴发送消息。 将合作伙伴的公钥证书安装到“其他人”存储中,以加密发送给合作伙伴的消息。
安装用于接收已签名消息的证书
让合作伙伴向证书颁发机构(CA)请求用于数字签名的私钥和公钥对。
让合作伙伴向你发送其用于数字签名的公钥。
让合作伙伴在合适的存储位置安装其专用私钥证书,以便对消息进行签名。 如果他们正在使用 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008,请让他们将私钥安装在用于对发送到 BizTalk Server 的消息进行签名的账户的个人存储中。
注释
有关用于安装证书进行加密的过程的详细信息,请参阅 BizTalk Server 帮助中的如何为加密消息(https://go.microsoft.com/fwlink/?LinkId=155156)安装证书。 有关用于将证书导入证书存储的工具的详细信息,请参阅 BizTalk Server 帮助中的 证书向导实用工具 (https://go.microsoft.com/fwlink/?LinkId=155156)。
在 BizTalk Server 中,登录到运行处理程序的主机实例的服务器,该处理程序将接收来自合作伙伴的消息。 安装合作伙伴的公钥证书,以在“其他人”存储中验证其签名。
安装用于发送已签名消息的证书
从证书颁发机构(CA)请求私钥和公钥对,以便 BizTalk Server 进行数字签名使用。
向合作伙伴发送用于数字签名的公钥。
在 BizTalk Server 中,以主机实例的服务帐户身份登录,该主机实例运行处理程序,将消息发送给合作伙伴。 在服务帐户的个人存储中安装 BizTalk Server 私钥证书,用于消息签名。
注释
有关用于安装证书进行加密的过程的详细信息,请参阅 BizTalk Server 帮助中的如何为加密消息(https://go.microsoft.com/fwlink/?LinkId=155156)安装证书。 有关用于将证书导入证书存储的工具的详细信息,请参阅 BizTalk Server 帮助中的 证书向导实用工具 (https://go.microsoft.com/fwlink/?LinkId=155157)。
让合作伙伴安装 BizTalk Server 公钥证书,以便在正确的存储位置验证其数字签名。 如果合作伙伴使用的是 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008,则应在“外部人员”存储中安装公钥。