Konfigurieren von Zertifikaten für MIME- oder SMIME-Nachrichten
Um die Datenübertragung auf BizTalk Server zu schützen, müssen Sie die in den Zertifikatspeichern installierten Zertifikate den entsprechenden BizTalk-Artefakten zuordnen. Dies gilt für MIME/SMIME-codierte Nachrichten. Sie gilt auch für den AS2-Transport, der MIME-/SMIME-Nachrichten transportiert.
Verwenden Sie die folgende Tabelle als Referenz für die Zertifikatverwendungsszenarien und Konfigurationsoptionen, die in BizTalk Server verfügbar sind. Ausführliche Prozeduren finden Sie in den Themen, die in der Überschrift "In diesem Abschnitt" am Ende dieses Themas aufgeführt sind.
| Zertifikatverwendung | Benutzerkontext | Speicherort des Zertifikatspeichers | Zertifikattyp | Konfigurationsparameter in der BizTalk-Verwaltungskonsole |
|---|---|---|---|---|
| Verschlüsselung (Senden) | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugewiesen ist. | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, auf dem S/MIME-Encoderpipelines gehostet werden, und importieren Sie das Verschlüsselungszertifikat in den Lokalen Computer\ Andere Personen Speicher. | Öffentliches Zertifikat des Handelspartners | – Geben Sie werte für das Verschlüsselungszertifikat Allgemeiner Name und Fingerabdruck auf der Seite Zertifikat des Dialogfelds Sendeporteigenschaften an. – Geben Sie im Dialogfeld Pipeline konfigurieren die Optionen für die Pipelinecodierung an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Sendeporteigenschaften auf die Schaltfläche neben der Dropdownliste Pipeline senden klicken. |
| Entschlüsselung (Empfangen) | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der S/MIME-Decoderpipelines als jeden Host instance Dienstkonto hostet, und importieren Sie das Entschlüsselungszertifikat in den Speicher Aktueller Benutzer\ Persönlicher Speicher. Hinweis: Damit die Pipelineentschlüsselung auf Computern mit IIS 6.0 oder höher erfolgreich ist, stellen Sie sicher, dass das Konto für den IIS-Anwendungspool und das vom Host verwendete Konto instance dem Empfangshandler zugeordnet sind und dass dieses Konto Mitglied der < Gruppe machineName>\IIS_WPG ist. Weitere Informationen zum Festlegen der IIS-Prozessidentität für IIS finden Sie unter Richtlinien zum Beheben von Problemen mit IIS-Berechtigungen (https://go.microsoft.com/fwlink/?LinkId=155161) in BizTalk Server Hilfe. Diese Prozesse müssen unter demselben Konto ausgeführt werden, um sicherzustellen, dass das Kontoprofil geladen wird, das wiederum die zum Durchführen der Entschlüsselung in der Pipeline erforderlichen Registrierungsschlüssel lädt. Aus Leistungsgründen lädt IIS das Kontoprofil beim Starten des zugeordneten w3wp.exe-Prozesses nicht, sodass der BizTalk Server Host instance mit demselben Konto konfiguriert werden muss, sodass BizTalk Server das Kontoprofil und die Registrierungsschlüssel laden. | Eigenes privates Zertifikat | – Geben Sie werte für das Entschlüsselungszertifikat Allgemeiner Name und Fingerabdruck auf der Seite Zertifikate jedes Dialogfelds Hosteigenschaften an. – Geben Sie im Dialogfeld Pipeline konfigurieren die Optionen für die Pipelinedecodierung an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Eigenschaften des Empfangsspeicherorts auf die Schaltfläche neben der Dropdownliste Empfangspipeline klicken. |
| Signatur (Senden) | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugewiesen ist. | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der S/MIME-Encoderpipelines als jeden Host instance Dienstkonto hostet, und importieren Sie das Signaturzertifikat in den Aktuellen Benutzer\Persönlichen Speicher. | Eigenes privates Zertifikat | – Geben Sie werte für das Signaturzertifikat Allgemeiner Name und Fingerabdruck auf der Seite Zertifikat des Dialogfelds BizTalk-Gruppeneigenschaften an. Hinweis: Pro BizTalk Server Gruppe kann nur ein Signaturzertifikat angegeben werden. – Geben Sie im Dialogfeld Pipeline konfigurieren die Optionen für die Pipelinecodierung an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Sendeporteigenschaften auf die Schaltfläche neben der Dropdownliste Pipeline senden klicken. |
| Signaturverifizierung (Empfangen) | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, auf dem S/MIME-Decoderpipelines gehostet werden, und importieren Sie das Signaturzertifikat in den Lokalen Computer\Andere Personen Speicher. | Öffentliches Zertifikat des Handelspartners | – Geben Sie werte für das Überprüfungszertifikat Allgemeiner Name und Fingerabdruck auf der Seite Zertifikate der einzelnen Parteieneigenschaften an. – Geben Sie im Dialogfeld Pipeline konfigurieren die Optionen für die Pipelinedecodierung an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Eigenschaften des Empfangsspeicherorts auf die Schaltfläche neben der Dropdownliste Empfangspipeline klicken. Hinweis: Das Zertifikat, das zum Überprüfen einer Signatur für eine Partei verwendet wird, muss eindeutig gegenüber den Zertifikaten sein, die zum Überprüfen von Signaturen für andere Parteien verwendet werden. Hinweis: Die Konfiguration der Decodierungsoption erfordert, dass eine Pipeline mit der MIME/SMIME-Decoderkomponente bereitgestellt wird. |
| Auflösen der Partei (Empfangen) | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich beim BizTalk Server Computer an, von dem aus die Auflösung der Partei konfiguriert wird, und importieren Sie das Zertifikat in den Lokalen Computer\ Andere Personen Speicher. | Öffentliches Zertifikat des Handelspartners | – Geben Sie werte für das Zertifikat Allgemeiner Name und Fingerabdruck auf der Seite Zertifikate jedes Dialogfelds Hosteigenschaften an. – Geben Sie im Dialogfeld Pipeline konfigurierenresolveParty-Optionen an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Eigenschaften des Empfangsspeicherorts auf die Schaltfläche neben der Dropdownliste Empfangspipeline klicken. Hinweis: Für die Konfiguration dieser Option muss eine Pipeline verwendet werden, die die Party-Auflösungskomponente enthält. Die XMLReceive-Pipeline enthält die Party-Auflösungskomponente . |
| HTTPS (Senden) | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugewiesen ist. | Für SSL-Kommunikation ist kein Clientzertifikat erforderlich. Ob ein Clientzertifikat erforderlich ist, liegt im Ermessen des Administrators des Zielwebservers. Wenn der Zielwebserver ein Clientzertifikat erfordert, gehen Sie wie folgt vor: - Erhalten Sie das öffentliche Zertifikat vom Handelspartner. – Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, als das konto, das vom Host verwendet instance, das dem Sendehandler zugeordnet ist. – Importieren Sie das Zertifikat in den Aktuellen Benutzer\Persönlichen Speicher. Informationen zum Konfigurieren von IIS für die Verwendung von SSL finden Sie im Knowledge Base-Artikel Gewusst wie: Installieren importierter Zertifikate auf einem Webserver in Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=155162). Informationen zum Abrufen eines Zertifikats mithilfe von Windows Server 2003-Zertifikatdiensten-Webseiten finden Sie unter Verwenden von Windows Server 2003-Zertifikatdienstewebseiten (https://go.microsoft.com/fwlink/?LinkID=69975). Hinweis: Informationen zum Abrufen von Zertifikaten von einem Windows Server 2008-Computer mithilfe der Zertifikatdienste-Webseite finden Sie im Microsoft Knowledge Base-Artikel 922706 unter https://go.microsoft.com/fwlink/?LinkId=155317 (https://go.microsoft.com/fwlink/?LinkId=155317). |
Öffentliches Zertifikat des Handelspartners | - HTTP-Transport : Legen Sie die Option SSL-Clientzertifikatfingerabdruck auf der Registerkarte Authentifizierung des Dialogfelds HTTP-Transporteigenschaften fest. Das Dialogfeld HTTP-Transporteigenschaften wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Porteigenschaften senden auf die Schaltfläche Konfigurieren klicken. - SOAP-Transport : Legen Sie die Option Clientzertifikatfingerabdruck auf der Registerkarte Allgemein des Dialogfelds SOAP-Transporteigenschaften fest. Das Dialogfeld SOAP-Transporteigenschaften wird angezeigt, indem Sie auf der Seite Allgemein des Dialogfelds Sendeporteigenschaften auf die Schaltfläche Konfigurieren klicken. |
In diesem Abschnitt
Konfigurieren von BizTalk Server zum Empfangen verschlüsselter MIME- oder SMIME-Nachrichten
Konfigurieren BizTalk Server zum Senden verschlüsselter MIME- oder SMIME-Nachrichten
Konfigurieren BizTalk Server zum Empfangen signierter MIME- oder SMIME-Nachrichten
Konfigurieren BizTalk Server zum Senden signierter MIME- oder SMIME-Nachrichten