为 MIME 或 SMIME 消息配置证书
若要帮助保护BizTalk Server上的数据传输,必须将证书存储中安装的证书与相应的 BizTalk 项目相关联。 这适用于 MIME/SMIME 编码的消息。 它还适用于用于传输 MIME/SMIME 消息的 AS2 传输。
使用下表作为BizTalk Server中提供的证书使用方案和配置选项的参考。 本主题末尾的“在此部分”标题中列出的主题中提供了详细的过程。
| 证书使用情况 | 用户上下文 | 证书存储位置 | 证书类型 | BizTalk 管理控制台中的配置参数 |
|---|---|---|---|---|
| 加密(发送) | 与发送处理程序相关联的主机实例使用的帐户 | 登录到运行BizTalk Server将托管 S/MIME 编码器管道的每台计算机,并将加密证书导入本地计算机 \其他人员存储。 | 贸易合作伙伴公共证书 | - 在“发送端口属性”对话框的“证书”页上指定加密证书“公用名”和“指纹”的值。 - 在“配置管道”对话框中指定管道编码选项。 单击“发送端口属性”对话框的“常规”页上的“发送管道”下拉列表旁边的按钮,即可显示“配置管道”对话框。 |
| 解密(接收) | 与接收处理程序关联的主机实例使用的帐户 | 登录到运行BizTalk Server将 S/MIME 解码器管道作为每个主机实例服务帐户托管的计算机,并将解密证书导入到当前用户 \ 个人存储。 注意:若要在运行 IIS 6.0 或更高版本的计算机上成功进行管道解密,请确保 IIS 应用程序池的帐户与与接收处理程序关联的主机实例使用的帐户相同,并且此帐户是 machineName>\IIS_WPG 组的成员<。 有关为 IIS 设置 IIS 进程标识的详细信息,请参阅BizTalk Server帮助中的解决 IIS 权限问题的指南 (https://go.microsoft.com/fwlink/?LinkId=155161) 。 这些进程必须以相同的帐户运行,以便确保加载的帐户配置文件还加载了在管道中执行解密所需的注册表项。 出于性能原因,IIS 在启动关联的 w3wp.exe 进程时不会加载帐户配置文件,因此必须使用同一帐户配置BizTalk Server主机实例,以便BizTalk Server加载帐户配置文件和注册表项。 | 私人证书 | - 在每个“主机属性”对话框的“证书”页上指定解密证书“公用名”和“指纹”的值。 - 在“配置管道”对话框中指定管道解码选项。 单击“接收位置属性”对话框的“常规”页上的“接收管道”下拉列表旁边的按钮,即可显示“配置管道”对话框。 |
| 签名(发送) | 与发送处理程序相关联的主机实例使用的帐户 | 登录到运行 BizTalk Server将 S/MIME 编码器管道作为每个主机实例服务帐户托管的每台计算机,并将签名证书导入到当前用户 \ 个人存储。 | 私人证书 | - 在“BizTalk 组属性”对话框的“证书”页上指定签名证书“公用名”和“指纹”的值。 注意:每个BizTalk Server组只能指定一个签名证书。 - 在“配置管道”对话框中指定管道编码选项。 单击“发送端口属性”对话框的“常规”页上的“发送管道”下拉列表旁边的按钮,即可显示“配置管道”对话框。 |
| 签名验证(接收) | 与接收处理程序关联的主机实例使用的帐户 | 登录到运行BizTalk Server将托管 S/MIME 解码器管道的每台计算机,并将签名证书导入本地计算机 \其他人员存储。 | 贸易合作伙伴公共证书 | - 在每个“参与方属性”对话框的“证书”页上指定验证证书“公用名”和“指纹”的值。 - 在“配置管道”对话框中指定管道解码选项。 单击“接收位置属性”对话框的“常规”页上的“接收管道”下拉列表旁边的按钮,即可显示“配置管道”对话框。 注意: 用于验证参与方签名的证书必须与用于验证其他参与方的签名的证书中唯一。 注意: “ 解码 ”选项的配置要求部署具有 MIME/SMIME 解码器组件的管道。 |
| 参与方解析(接收) | 与接收处理程序关联的主机实例使用的帐户 | 登录到正在从中配置参与方解析的BizTalk Server计算机,并将证书导入本地计算机\其他人员存储。 | 贸易合作伙伴公共证书 | - 在每个“主机属性”对话框的“证书”页上指定证书“公用名”和“指纹”的值。 - 在“配置管道”对话框中指定 ResolveParty 选项。 单击“接收位置属性”对话框的“常规”页上的“接收管道”下拉列表旁边的按钮,即可显示“配置管道”对话框。 注意: 此选项的配置需要使用包含 Party 解析 组件的管道。 XMLReceive 管道包含 Party 解析组件。 |
| HTTPS(发送) | 与发送处理程序相关联的主机实例使用的帐户 | SSL 通信无需客户端证书。 是否要求客户端证书由目标 Web 服务器管理员决定。 如果目标 Web 服务器要求客户端证书,则执行以下步骤: - 从贸易合作伙伴获取公共证书。 - 作为与发送处理程序关联的主机实例使用的帐户登录到运行 BizTalk Server的每台计算机。 - 将证书导入 当前用户 \ 个人 存储。 有关将 IIS 配置为使用 SSL 的信息,请参阅知识库文章 如何:在 Windows Server 2003 的 Web 服务器上安装导入的证书 (https://go.microsoft.com/fwlink/?LinkId=155162) 。 有关如何使用 Windows Server 2003 证书服务网页获取证书的信息,请参阅 使用 Windows Server 2003 证书服务网页 (https://go.microsoft.com/fwlink/?LinkID=69975) 。 注意: 若要使用证书服务网页从 Windows Server 2008 计算机获取证书,请参阅 Microsoft 知识库文章 922706 https://go.microsoft.com/fwlink/?LinkId=155317 (https://go.microsoft.com/fwlink/?LinkId=155317) 。 |
贸易合作伙伴公共证书 | - HTTP 传输 - 在“HTTP 传输属性”对话框的“身份验证”选项卡上设置 SSL 客户端证书指纹选项。 单击“发送端口属性”对话框的“常规”页上的“配置”按钮,即可显示“HTTP 传输属性”对话框。 - SOAP 传输 - 在“SOAP 传输属性”对话框的“常规”选项卡上设置客户端证书指纹选项。 单击“发送端口属性”对话框的“常规”页上的“配置”按钮,即可显示“SOAP 传输属性”对话框。 |