設定 AS2 的憑證
為了保護使用加密和數位簽章的 AS2 資料傳輸,除了在 BizTalk Server 適當設定 AS2 之外,您還必須安裝適當的憑證。 本主題會描述所需的憑證、如何設定憑證,以及憑證的常見問題。
必要條件
您必須以「BizTalk Server 系統管理員」群組的成員身分登入。
AS2 傳輸所需的憑證
為了保護 AS2 資料傳輸,您必須將適當憑證加入適當的憑證存放區,並使憑證與適當的 BizTalk 成品產生關聯。 下列憑證可用來保護 AS2 訊息:
| 憑證使用方式 | 憑證類型 | 管線元件 | 使用者內容 | 憑證存放區 | 定義於 |
|---|---|---|---|---|---|
| 簽章 (輸出) | 自有私密金鑰 (.pfx) | AS2 編碼器 | 與傳送處理常式相關聯之主控件執行個體所使用的帳戶 | 裝載 AS2 編碼器管線作為每個主機實例服務帳戶之每個BizTalk Server目前的 User\Personal 存放區 | - [群組屬性] 對話方塊的[憑證] 頁面。 這是傳送已簽署的文件時所使用的預設簽署憑證。 - 您可以覆寫預設憑證設定,並改為針對不同合作物件使用不同的憑證。 若要這樣做,您可以在 [合約內容] 對話方塊的 [單向合約] 索引標籤的 [簽章憑證] 頁面中選取 [覆寫群組簽章憑證],並指定簽署憑證。 如果已設定此屬性,則每當 AS2 訊息解析為合約時,都會使用 [ 簽章憑證 ] 頁面中提供的憑證來簽署,而不是由作為 BizTalk 群組屬性一部分提供的憑證簽署。 |
| 簽章驗證 (輸入) | 交易夥伴的公開金鑰 (.cer) | AS2 解碼器 | 與接收處理常式相關聯之主控件執行個體所使用的帳戶 | 本機電腦\其他人員存放區,每個裝載 AS2 解碼器管線作為每個主機實例服務帳戶的BizTalk Server | [合作物件屬性] 對話方塊的[憑證] 頁面注意:用來驗證合作物件簽章的憑證必須是唯一的憑證,才能驗證其他合作物件的簽章。 |
| 加密 (輸出) | 交易夥伴的公開金鑰 (.cer) | AS2 編碼器 | 與傳送處理常式相關聯之主控件執行個體所使用的帳戶 | 本機電腦\裝載 AS2 編碼器管線之每個BizTalk Server的其他人員存放區 | [傳送埠屬性] 對話方塊的[憑證] 頁面 |
| 解密 (輸入) | 自有私密金鑰 (.pfx) | AS2 解碼器 | 與接收處理常式相關聯之主控件執行個體所使用的帳戶 | 裝載 AS2 解碼器管線作為每個主機實例服務帳戶之每個BizTalk Server的目前 User\Personal 存放區 | 「AS2 解碼器」會根據訊息中的憑證資訊來判斷憑證。 對於 BizTalk MIME 解碼器,憑證必須位於用來接收訊息之主機的 [ 憑證 ] 頁面中。 這不一定適用於「AS2 解碼器」。 |
外寄訊息的憑證簽署
外寄 AS2 訊息會以 BizTalk 群組屬性所定義的預設憑證簽署。 但在某些情況下,接收訊息的合作對象可能希望訊息是以他們提供的私人憑證來簽署,或希望傳送給他們的外寄訊息是以不同的憑證來簽署。 如果您在 [合約內容] 對話方塊的 [單向合約] 索引標籤的 [簽章憑證] 頁面中選取 [覆寫群組簽章憑證],並指定簽署憑證,則會啟用使用其他憑證簽署傳出訊息的案例。 如果某個憑證指定在合作對象的 AS2 協議中,即會使用該憑證簽署外寄訊息。 如果未針對合作對象定義任何憑證,則會使用 BizTalk 群組屬性所指定的預設憑證。
將憑證加入憑證存放區
如需詳細資訊,請參閱 安裝 WCF 配接器的憑證以及 憑證精靈公用程式 主題的一節。
重要
只有在針對其登入認證與主控件執行個體相關聯的使用者載入使用者設定檔時,個人憑證存放區才能用於訊息處理。 個人存放區是用於簽章和解密憑證 (使用者專屬的私密金鑰)。 預設會為內含式主控件執行個體載入使用者設定檔,但是不會為外掛式主控件執行個體載入使用者設定檔。 您可以讓應用程式針對外掛式主控件載入使用者設定檔。 或者,您也可以為內含式主控件執行個體和外掛式主控件執行個體使用相同的登入,以解決這個問題。
產生憑證
您可以向憑證授權單位 (CA) 取得憑證;但要求憑證的步驟可能會隨 CA 而不同。 在提交憑證要求之前,請先檢閱憑證授權單位的網站所提供的資訊。
重要
AS2 傳輸所使用的憑證必須有憑證預定使用方式的必要屬性。 若要進行簽署和簽章驗證,憑證的 [金鑰使用 方式] 屬性必須是 [數位簽章]。 針對加密和解密,憑證的 [金鑰使用 方式] 屬性必須是 [資料 加密] 或 [ 金鑰加密]。 您可以按兩下憑證、按一下 [憑證] 對話方塊中的 [詳細資料] 索引標籤,然後核取 [金鑰使用方式] 欄位,以確認 [金鑰使用方式] 屬性。
您也可以使用「憑證服務」,在 Windows Server 2003 或 Windows Server 2000 中產生憑證,但您的合作對象可能只會將這些憑證用於測試目的,因為這些憑證是自我簽署的憑證,而非公用 CA 所簽署的憑證。
若要設定用以簽署外寄 AS2 訊息的憑證
在 BizTalk Server 管理主控台中,以滑鼠右鍵按一下[BizTalk 群組] 節點,然後按一下 [內容]。
在 [ 群組屬性 ] 對話方塊的主控台樹中,按一下 [ 憑證]。
在 [ 憑證] 窗格中,按一下 [ 流覽],尋找您要用於簽署的憑證,然後按一下 [ 確定]。
注意
您可以只輸入憑證指紋,而不需要輸入憑證的一般名稱。 您可以按兩下 MMC 中憑證存放區中的憑證,或按一下檔案系統中的憑證、按一下 [詳細 資料] 索引標籤、按一下 [ 指紋 ] 欄位,以及複製指紋,以取得指紋。
按一下 [確定]。
若要為特定合作對象設定用以簽署外寄 AS2 訊息的憑證
在 BizTalk Server 管理主控台中,按一下[合作物件]節點。 從 [ 合作物件和商務設定檔 ] 窗格的 [ 合約 ] 區段中,以滑鼠右鍵按一下為與特定合作物件交換訊息而建立的合約,然後按一下 [ 內容]。
在單向合約索引標籤上,按一下 [ 簽章憑證]。
選取 [ 覆寫群組簽署憑證 ] 核取方塊,以使用此頁面中提供的憑證來簽署傳出 AS2 訊息和 MDN。
按一下 [流覽 ] 以顯示 [ 選取憑證 ] 對話方塊,您可以在其中選取要套用至此合作物件所傳輸之訊息的簽章憑證。
[ 一般名稱] 文字方塊會顯示所選憑證的描述。
[ 指紋] 文字方塊會顯示憑證的指紋。 憑證指紋的格式為 HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH,其中 H 是十六進位數字 (0 到 9 的數字或是 A 到 F 的字母)。
按一下 [移除憑證 ] 以移除選取的憑證。
按一下 [確定 ] 驗證變更,然後關閉對話方塊。
若要設定憑證來確認內送 AS2 訊息的數位簽章
在 BizTalk Server 管理主控台中,開啟[BizTalk 群組] 節點,然後按一下 [合作物件]節點。
在 [ 合作物件和商務設定檔] 窗格中,以滑鼠右鍵按一下您要接收已簽署訊息的合作物件,然後按一下 [ 內容]。
在主控台樹中,按一下 [ 憑證]。
在 [ 憑證] 窗格中,按一下 [ 流覽],尋找您要用來驗證數位簽章的憑證,然後按一下 [ 確定]。
注意
您可以只輸入憑證指紋,而不需要輸入憑證的一般名稱。 您可以按兩下 MMC 中憑證存放區中的憑證,或按一下檔案系統中的憑證、按一下 [詳細 資料] 索引標籤、按一下 [ 指紋 ] 欄位,以及複製指紋,以取得指紋。
按一下 [確定]。
若要設定憑證來加密外寄 AS2 訊息
在 BizTalk Server 管理主控台中,開啟[BizTalk 群組] 節點、開啟 [應用程式] 節點,然後開啟包含您要傳送加密訊息之傳送埠的應用程式節點。
開啟 [傳送埠]節點,以滑鼠右鍵按一下傳送埠,然後按一下 [內容]。
在主控台樹中,按一下 [ 憑證]。
在 [ 憑證] 窗格中,按一下 [ 流覽],尋找您要用於加密的憑證,然後按一下 [ 確定]。
注意
您可以只輸入憑證指紋,而不需要輸入憑證的一般名稱。 您可以按兩下 MMC 中憑證存放區中的憑證,或按一下檔案系統中的憑證、按一下 [詳細 資料] 索引標籤、按一下 [ 指紋 ] 欄位,以及複製指紋,以取得指紋。
按一下 [確定] 。