共用方式為

安裝 WCF 配接器的憑證

  • 發行項

WCF 配接器可以基於下列用途使用公開金鑰基礎結構 (PKI) 數位憑證:訊息加密和解密、訊息簽章和驗證 (Verification) (不可否認性) 和用戶端驗證 (Authentication)。 本主題描述各種憑證使用方式案例和組態選項指導方針,以搭配 WCF 配接器使用數位憑證。

WCF 接收位置的憑證使用方式案例

下表顯示如何安裝 WCF 接收位置的憑證。

憑證使用方式 使用者內容 憑證存放區位置 憑證類型 安裝憑證的時機
依據接收位置的安全性設定進行解密和簽章 與接收處理常式關聯之主控件執行個體所使用的帳戶 登入執行BizTalk Server的每部電腦,將接收位置裝載為每個主機實例服務帳戶,並將服務憑證匯入目前使用者 \ 個人 (我的) 存放區。 自有私用憑證 在下列組態中指定 服務憑證 - 指紋 屬性的值:

- WCF-BasicHttp 接收位置的安全性 模式 屬性會設定為 [訊息]。
- WCF-BasicHttp 接收位置的傳輸用戶端認證類型屬性會設定為TransportCredentialOnly安全性模式的憑證
- WCF-WSHttp 接收位置的Message 用戶端認證類型屬性會設定為[訊息] 安全性模式的[無]、[憑證] 或[UserName]。
- WCF-NetTcp 接收位置的傳輸用戶端認證類型屬性會設定為[無] 或 [傳輸安全性模式的憑證]。
- WCF-NetTcp 接收位置的Message 用戶端認證類型屬性會設定為[無]、[UserName] 或[訊息安全性模式的憑證]。
- WCF-NetTcp 接收位置的Message 用戶端認證類型屬性會設定為WindowsUserNameTransportWithMessageCredential安全性模式的憑證
- WCF-NetMsmq 的安全性模式 屬性會設定為 [訊息 ] 或 [ 兩者]。
用戶端驗證 N/A 以系統管理員身分登入執行BizTalk Server的每部電腦,並將用戶端 X.509 憑證的 CA 憑證鏈結匯入電腦的信任根憑證授權單位憑證存放區,以便用戶端可以驗證到此接收位置。 X.509 憑證的 CA 憑證鏈結 依據下列組態,將用戶端 X.509 憑證的 CA 憑證鏈結安裝在「信任的根憑證授權」憑證存放區:

- WCF-BasicHttp 接收位置的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 憑證
- WCF-WSHttp 接收位置的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 憑證
- WCF-NetTcp 接收位置的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 憑證
- WCF-NetMsmq 接收位置的 訊息用戶端認證類型MSMQ 驗證模式 屬性會設定為 憑證

注意

由於標準 WCF 接收配接器會使用 ChainTrust 模式來驗證用戶端憑證,因此您必須安裝用戶端 X.509 憑證的 CA 憑證鏈結。 您可以使用 WCF-Custom 或 WCF-CustomIsolated 配接器變更此預設行為。

注意

對於外掛式 WCF 接收配接器,您需要讓外掛式主控件執行個體與對應的應用程式集區間的使用者帳戶相符合。 如需 BizTalk 隔離主機的詳細資訊,請參閱 啟用 Web 服務

注意

對於 WCF-Custom 和 WCF-CustomIsolated 接收位置,要安裝的憑證的使用者內容、憑證存放區位置和憑證類型會因 serviceCredentialsclientCredentials 行為元素設定而有所不同。

注意

如果接收位置使用 Endpoint Identity 屬性的憑證元素,您也必須將已發佈服務識別的憑證安裝到 Endpoint Identity 屬性中指定的憑證存放區中。

注意

如果不使用主控件執行個體服務帳戶或系統管理員帳戶登入電腦,您也可以改為使用「執行身分」命令搭配適用的帳戶,以執行相同的動作。

WCF 傳送埠的憑證使用方式案例

下表顯示如何安裝 WCF 傳送埠的憑證。

憑證使用方式 使用者內容 憑證存放區位置 憑證類型 安裝憑證的時機
用戶端驗證 與傳送埠關聯之主控件執行個體所使用的帳戶 登入執行BizTalk Server的每部電腦,將傳送埠裝載為每個主機實例服務帳戶,並將用戶端憑證匯入目前使用者 \ 個人 (我的) 存放區。 自有私用憑證 在下列設定中指定 用戶端憑證 - 指紋 屬性的值:

- WCF-BasicHttp 傳送埠的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 [憑證]。
- WCF-WSHttp 傳送埠的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 [憑證]。
- WCF-NetTcp 傳送埠的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 [憑證]。
- WCF-NetMsmq 傳送埠的 訊息用戶端認證類型MSMQ 驗證模式 屬性會設定為 憑證
依據傳送埠的安全性設定進行服務驗證 (Authentication)、簽章驗證 (Verification) 和加密 N/A 登入以系統管理員身分裝載傳送埠BizTalk Server的每部電腦,並將服務憑證匯入本機電腦 \ (AddressBook) 存放區。 您也必須將服務憑證的 CA 憑證鏈結安裝在電腦「信任的根憑證授權」憑證存放區中。 - 服務公開憑證
- 服務憑證的 CA 憑證鏈結		 在下列組態中指定 服務憑證 - 指紋 屬性的值:

- WCF-BasicHttp 傳送埠的 訊息用戶端認證類型傳輸用戶端認證類型 屬性會設定為 [憑證]。
- 清除[交涉服務認證] 選項時,WCF-WSHttp 傳送埠的[訊息用戶端認證類型] 屬性會設定為[無]、[UserName] 或 [憑證]。
- WCF-NetMsmq 傳送埠 的安全性模式 會設定為 [訊息 ] 或 [ 兩者]。
依據傳送埠的安全性設定進行服務驗證 (Authentication)、簽章驗證 (Verification) 和加密 N/A 以系統管理員身分登入執行BizTalk Server的每部電腦,並將用戶端 X.509 憑證的 CA 憑證鏈結匯入電腦的信任根憑證授權單位憑證存放區,讓服務可以驗證至此傳送埠。 服務憑證的 CA 憑證鏈結 如果您未明確指定 服務憑證的服務憑證 - 指紋 屬性,請在下列設定中,將服務 X.509 憑證的 CA 憑證鏈結安裝至受信任的根憑證授權單位憑證存放區:

- WCF-BasicHttp 傳送埠 的安全性模式 會設定為 TransportTransportWithMessageCredential
- WCF-WSHttp 傳送埠 的安全性模式 會設定為 TransportTransportWithMessageCredential
- WCF-NetTcp 傳送埠 的安全性模式 會設定為 TransportWithMessageCredential
- WCF-NetTcp 傳送埠的 傳輸用戶端認證類型 屬性會設定為 [無 ] 或 [ 憑證]。
- WCF-NetTcp 傳送埠的 訊息用戶端認證類型 屬性會設定為 NoneUserNameCertificate

注意

由於標準 WCF 傳送配接器會使用 ChainTrust 模式來驗證服務憑證,因此您必須安裝服務 X.509 憑證的 CA 憑證鏈結。 您可以使用 WCF-Custom 或 WCF-CustomIsolated 配接器變更此預設行為。

注意

對於 WCF-Custom 和 WCF-CustomIsolated 傳送埠,要安裝之憑證的使用者內容、憑證存放區位置和憑證類型會因 serviceCredentialsclientCredentials 行為元素設定而有所不同。

注意

如果傳送埠使用 Endpoint Identity 屬性的憑證元素,您也必須將預期的服務識別憑證安裝到 Endpoint Identity 屬性中指定的憑證存放區中。

注意

如果不使用主控件執行個體服務帳戶或系統管理員帳戶登入電腦,您也可以改為使用「執行身分」命令搭配適用的帳戶,以執行相同的動作。

顯示憑證管理主控台

若要顯示本機電腦和目前的使用者的 [憑證管理主控台] 介面,請執行下列步驟:

  1. 按一下 [開始],按一下 [ 執行],輸入 MMC,然後按一下 [ 確定 ] 以開啟 Microsoft Management Console。

  2. 在 [ 檔案 ] 功能表上,按一下 [新增/移除嵌入式管理單元 ] 以顯示 [ 新增/移除嵌入式管理單元 ] 對話方塊。

  3. 按一下 [新增 ] 以顯示 [ 新增獨立嵌入式管理單元] 對話方塊。

  4. 從嵌入式管理單元清單中選取 [ 憑證 ],然後按一下 [ 新增]。

  5. 選取 [電腦帳戶],按 [ 下一步],然後按一下 [ 完成]。 這樣會新增本機電腦的 [憑證管理主控台] 介面。

  6. 確定仍從嵌入式管理單元清單中選取 [ 憑證 ],然後按一下 [ 再次新增 ]。

  7. 選取 [我的使用者帳戶],然後按一下 [ 完成]。 這樣會新增目前的使用者的 [憑證管理主控台] 介面。

    注意

    如此將會針對您目前登入所使用的帳戶顯示 [憑證管理主控台]。 如果您需要針對某個服務帳戶將憑證匯入「個人」存放區,您應該先使用該服務帳戶認證來登入。

  8. 按一下[獨立嵌入式管理單元]對話方塊中的 [關閉]。

  9. 按一下 [新增/移除嵌入式管理單元]對話方塊中的[確定]。