Freigeben über

Konfigurieren von Zertifikaten für AS2

  • Artikel

Um die AS2-Datenübertragung mithilfe von Verschlüsselung und digitalen Signaturen zu schützen, müssen Die entsprechenden Zertifikate zusätzlich zur entsprechenden AS2-Konfiguration auf BizTalk Server installiert sein. In diesem Thema werden die erforderlichen Zertifikate, deren Konfiguration sowie häufig auftretende Probleme beschrieben.

Voraussetzungen

Sie müssen als ein Benutzer angemeldet sein, der zur BizTalk Server-Administratorengruppe gehört.

Erforderliche Zertifikate für die AS2-Datenübertragung

Damit eine sichere AS2-Datenübertragung erfolgen kann, müssen Sie dem entsprechenden Zertifikatspeicher die richtigen Zertifikate hinzufügen und die Zertifikate den entsprechenden BizTalk-Elementen zuordnen. Für sichere AS2-Nachrichten werden die folgenden Zertifikate verwendet:

Zertifikatverwendung Zertifikattyp Pipelinekomponente Benutzerkontext Zertifikatspeicher Definitionsspeicherort
Signatur (ausgehend) Eigener privater Schlüssel (.pfx) AS2-Encoder Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugeordnet ist Aktueller Benutzer\Persönlicher Speicher jeder BizTalk Server, die eine AS2-Encoderpipeline als jeden Host instance Dienstkonto hostet - Zertifikatseite des Dialogfelds Gruppeneigenschaften . Dies ist das beim Senden von signierten Dokumenten verwendete Standardsignaturzertifikat.
– Sie können die Standardzertifikateinstellung überschreiben und stattdessen unterschiedliche Zertifikate für verschiedene Parteien verwenden. Dazu wählen Sie auf der Seite Signaturzertifikat der Unidirektionalvereinbarung des Dialogfelds Vereinbarungseigenschaften die Option Gruppensignaturzertifikat außer Kraft setzen aus, und geben Sie ein Signaturzertifikat an. Wenn diese Eigenschaft festgelegt ist, wird die AS2-Nachricht, die in die Vereinbarung aufgelöst wird, mithilfe des zertifikats signiert, das auf der Seite Signaturzertifikat bereitgestellt wird, und nicht durch das Zertifikat, das als Teil der BizTalk-Gruppeneigenschaften bereitgestellt wird.
Signaturüberprüfung (eingehend) Öffentlicher Schlüssel des Handelspartners (.cer) AS2-Decoder Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist Lokaler Computer\Andere Personen Speicher jedes BizTalk Server, der eine AS2-Decoderpipeline als jeden Host instance Dienstkonto hostet Zertifikatseite des Dialogfelds ParteieigenschaftenHinweis: Das Zertifikat, das zum Überprüfen einer Signatur für eine Partei verwendet wird, muss eindeutig von den Zertifikaten sein, die zum Überprüfen von Signaturen für andere Parteien verwendet werden.
Verschlüsselung (ausgehend) Öffentlicher Schlüssel des Handelspartners (.cer) AS2-Encoder Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugeordnet ist Lokaler Computer\Andere Personen Speicher jeder BizTalk Server, die eine AS2-Encoderpipeline hostet Seite "Zertifikat " des Dialogfelds "Porteigenschaften senden "
Entschlüsselung (eingehend) Eigener privater Schlüssel (.pfx) AS2-Decoder Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist Aktueller Benutzer\Persönlicher Speicher jedes BizTalk Server, der eine AS2-Decoderpipeline als jeden Host instance Dienstkonto hostet Vom AS2-Decoder wird das Zertifikat basierend auf den in der Nachricht enthaltenen Zertifikatinformationen ermittelt.

Für den BizTalk MIME-Decoder muss sich das Zertifikat auf der Seite Zertifikat des Hosts befinden, der für den Empfang der Nachricht verwendet wird. Beim AS2-Decoder ist dies nicht erforderlich.

Zertifikatsignatur für ausgehende Nachrichten

Ausgehende AS2-Nachrichten werden unter Verwendung eines Standardzertifikats signiert, das in den Eigenschaften der Gruppe „BizTalk“ definiert ist. In manchen Fällen legt die Empfängerpartei jedoch fest, dass die Nachrichten mit einem privaten, individuell festgelegten Zertifikat signiert werden, oder erwartet, dass beim Signieren ausgehender Nachrichten ein anderes Zertifikat verwendet wird. Dieses Szenario des Signierens ausgehender Nachrichten mit anderen Zertifikaten ist aktiviert, wenn Sie im Dialogfeld Vereinbarungseigenschaften auf der Seite Signaturzertifikat auf der Registerkarte "Unidirektionale Vereinbarung" die Option Gruppensignaturzertifikat außer Kraft setzen auswählen und ein Signaturzertifikat angeben. Wird ein Zertifikat innerhalb der AS2-Vereinbarung für eine Partei angegeben, wird dieses Zertifikat zum Signieren ausgehender Nachrichten verwendet. Ist kein Zertifikat für die Partei definiert, wird das in den Eigenschaften der Gruppe „BizTalk“ festgelegte Standardzertifikat verwendet.

Hinzufügen von Zertifikaten zum Zertifikatspeicher

Weitere Informationen finden Sie im Abschnitt "Anzeigen der Zertifikatverwaltungskonsole" unter Installieren von Zertifikaten für die WCF-Adapter sowie im Thema Zertifikat-Assistenten-Hilfsprogramm .

Wichtig

Der persönliche Zertifikatspeicher ist nur für die Nachrichtenverarbeitung verfügbar, wenn das Benutzerprofil für den Benutzer geladen wird, dessen Anmeldeinformationen der Hostinstanz zugeordnet sind. Der persönliche Speicher wird für Signatur- und Entschlüsselungszertifikate verwendet (der private Schlüssel des Benutzers). Das Benutzerprofil wird standardmäßig für die gerade verarbeitete Hostinstanz geladen. Das Benutzerprofil wird jedoch nicht standardmäßig für die isolierte Hostinstanz geladen. Sie können das Benutzerprofil für den isolierten Host durch eine Anwendung laden lassen. Alternativ können Sie dieses Problem umgehen, indem Sie dieselben Anmeldedaten für die gerade verarbeitete Hostinstanz und die isolierte Hostinstanz verwenden.

Generieren von Zertifikaten

Zertifikate können von einer Zertifizierungsstelle (Certificate Authority, CA) abgerufen werden. Die zum Anfordern eines Zertifikats erforderlichen Schritte können jedoch je nach Zertifizierungsstelle unterschiedlich sein. Lesen Sie die auf der Website der Zertifizierungsstelle bereitgestellten Informationen, bevor Sie Zertifikatanforderungen senden.

Wichtig

Die für den AS2-Transport verwendeten Zertifikate müssen über die erforderlichen Attribute für die gewünschte Verwendung verfügen. Für die Signatur- und Signaturüberprüfung muss das Schlüsselverwendungsattribut des Zertifikats digitale Signatur sein. Für die Verschlüsselung und Entschlüsselung muss das Schlüsselverwendungsattribut des Zertifikats Datenenchiffrierung oder Schlüsselenchiffrierung sein. Sie können das Attribut Schlüsselverwendung überprüfen, indem Sie auf das Zertifikat doppelklicken, im Dialogfeld Zertifikat auf die Registerkarte Details klicken und das Feld Schlüsselverwendung überprüfen.

In Windows Server 2008 können Sie Zertifikate auch mithilfe der Zertifikatdienste generieren. Der jeweilige Partner kann diese Zertifikate jedoch nur zu Testzwecken annehmen, da es sich dabei um selbstsignierte Zertifikate und nicht um von einer öffentlichen Zertifizierungsstelle signierte Zertifikate handelt.

So konfigurieren Sie ein Zertifikat zum Signieren ausgehender AS2-Nachrichten

  1. Klicken Sie in der BizTalk Server Verwaltungskonsole mit der rechten Maustaste auf den Knoten BizTalk-Gruppe, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie in der Konsolenstruktur des Dialogfelds Gruppeneigenschaften auf Zertifikat.

  3. Klicken Sie im Bereich Zertifikat auf Durchsuchen, suchen Sie das Zertifikat, das Sie zum Signieren verwenden möchten, und klicken Sie dann auf OK.

    Hinweis

    Statt den allgemeinen Namen des Zertifikats einzugeben, können Sie einfach nur den Fingerabdruck eingeben. Sie können den Fingerabdruck abrufen, indem Sie im Zertifikatspeicher in MMC oder im Dateisystem auf das Zertifikat doppelklicken, auf die Registerkarte Details klicken, auf das Feld Fingerabdruck klicken und den Fingerabdruck kopieren.

  4. Klicken Sie auf OK.

So konfigurieren Sie ein Zertifikat zum Signieren ausgehender AS2-Nachrichten für eine bestimmte Partei

  1. Klicken Sie in der BizTalk Server Verwaltungskonsole auf den Knoten Parteien. Klicken Sie im Bereich Parteien- und Geschäftsprofile im Abschnitt Vereinbarungen mit der rechten Maustaste auf die Vereinbarung, die zum Austauschen von Nachrichten mit einer bestimmten Partei erstellt wird, und klicken Sie auf Eigenschaften.

  2. Klicken Sie auf der Registerkarte "Unidirektionale Vereinbarung" auf Signaturzertifikate.

  3. Aktivieren Sie das Kontrollkästchen Gruppensignaturzertifikat außer Kraft setzen, um das auf dieser Seite bereitgestellte Zertifikat zum Signieren ausgehender AS2-Nachrichten und MDN zu verwenden.

  4. Klicken Sie auf Durchsuchen , um das Dialogfeld Zertifikat auswählen anzuzeigen, in dem Sie das Signaturzertifikat auswählen, das auf von dieser Seite übertragene Nachrichten angewendet werden soll.

  5. Im Textfeld Allgemeiner Name wird eine Beschreibung des ausgewählten Zertifikats angezeigt.

  6. Im Textfeld Fingerabdruck wird der Fingerabdruck des Zertifikats angezeigt. Der Zertifikatfingerabdruck hat das Format HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH, wobei H für eine Hexadezimalziffer (eine Zahl von 0 bis 9 oder ein Buchstabe von A bis F) steht.

  7. Klicken Sie auf Zertifikat entfernen , um das ausgewählte Zertifikat zu entfernen.

  8. Klicken Sie auf OK , um die Änderungen zu überprüfen, und schließen Sie dann das Dialogfeld.

So konfigurieren Sie ein Zertifikat zum Überprüfen der digitalen Signatur einer eingehenden AS2-Nachricht

  1. Öffnen Sie in der BizTalk Server Verwaltungskonsole den Knoten BizTalk-Gruppe, und klicken Sie dann auf den Knoten Parteien.

  2. Klicken Sie im Bereich Parteien- und Geschäftsprofile mit der rechten Maustaste auf die Partei, von der Sie signierte Nachrichten erhalten, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie in der Konsolenstruktur auf Zertifikat.

  4. Klicken Sie im Bereich Zertifikat auf Durchsuchen, suchen Sie nach dem Zertifikat, das Sie zum Überprüfen der digitalen Signatur verwenden möchten, und klicken Sie dann auf OK.

    Hinweis

    Statt den allgemeinen Namen des Zertifikats einzugeben, können Sie einfach nur den Fingerabdruck eingeben. Sie können den Fingerabdruck abrufen, indem Sie im Zertifikatspeicher in MMC oder im Dateisystem auf das Zertifikat doppelklicken, auf die Registerkarte Details klicken, auf das Feld Fingerabdruck klicken und den Fingerabdruck kopieren.

  5. Klicken Sie auf OK.

So konfigurieren Sie ein Zertifikat zum Verschlüsseln ausgehender AS2-Nachrichten

  1. Öffnen Sie in der BizTalk Server Verwaltungskonsole den Knoten BizTalk-Gruppe, öffnen Sie den Knoten Anwendungen, und öffnen Sie den Knoten der Anwendung, der den Sendeport enthält, auf dem Sie die verschlüsselte Nachricht senden werden.

  2. Öffnen Sie den Knoten Sendeports , klicken Sie mit der rechten Maustaste auf den Sendeport, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie in der Konsolenstruktur auf Zertifikat.

  4. Klicken Sie im Bereich Zertifikat auf Durchsuchen, suchen Sie das Zertifikat, das Sie für die Verschlüsselung verwenden möchten, und klicken Sie dann auf OK.

    Hinweis

    Statt den allgemeinen Namen des Zertifikats einzugeben, können Sie einfach nur den Fingerabdruck eingeben. Sie können den Fingerabdruck abrufen, indem Sie im Zertifikatspeicher in MMC oder im Dateisystem auf das Zertifikat doppelklicken, auf die Registerkarte Details klicken, auf das Feld Fingerabdruck klicken und den Fingerabdruck kopieren.

  5. Klicken Sie auf OK.

Weitere Informationen

AS2-SicherheitKonfigurieren von Signierung, Komprimierung und Verschlüsselung in AS2-Transport-AS2-LösungsarchitekturInstallieren von Zertifikaten für die WCF-Adapter