憑證疑難排解
Microsoft BizTalk Server可以使用公開金鑰基礎結構 (PKI) 數位憑證,以進行檔加密和解密、檔簽署和驗證 (非否認性) 和合作物件解決。 本主題說明各種認證使用案例和設定選項,並提供一些搭配BizTalk Server使用數位憑證的一般指導方針。
憑證使用方式案例和組態選項
使用憑證與BizTalk Server時發生的大部分問題都是不正確或不完整的設定所導致。 例如,將正確的憑證匯入錯誤的憑證存放區、將不正確的憑證匯入正確的存放區,或是未能將適當的資訊輸入到 BizTalk 管理主控台,將會造成使用憑證時發生執行階段錯誤。
使用下表作為憑證使用案例和組態選項的參考,BizTalk Server:
| 憑證使用方式 | 使用者內容 | 憑證存放區位置 | 憑證類型 | 使用的管線元件 | BizTalk Server 管理主控台中的組態參數 |
|---|---|---|---|---|---|
| 加密 (傳送) | 與傳送處理常式關聯之主控件執行個體所使用的帳戶 | 登入每部執行BizTalk Server的電腦,以裝載 S/MIME 編碼器管線,並將加密憑證匯入本機電腦 \ 其他人員存放區。 | 交易夥伴公用憑證 | MIME/SMIME 編碼器 | - 在 [傳送埠屬性] 對話方塊的 [憑證] 頁面上,指定加密憑證的 [一般名稱] 和[指紋] 的值。 - 在 [設定管線] 對話方塊中指定管線編碼選項。 按一下 [傳送埠內容] 對話方塊之 [一般] 頁面上 [傳送管線] 下拉式清單旁的按鈕,即可顯示 [設定管線] 對話方塊。 |
| 解密 (接收) | 與接收處理常式關聯之主控件執行個體所使用的帳戶 | 登入執行BizTalk Server的每部電腦,將裝載 S/MIME 解碼器管線作為每個主機實例服務帳戶,並將解密憑證匯入目前使用者 \ 個人存放區。 注意:若要讓管線解密在 IIS 7.0 電腦上成功,請確定 IIS 應用程式集區的帳戶和與接收處理常式相關聯之主機實例所使用的帳戶相同,而且此帳戶是 machineName > \IIS_WPG 群組的成員 < 。 如需為 IIS 7.0 設定 IIS 進程識別的詳細資訊,請參閱 解決 IIS 許可權問題的指導方針。 這些處理序必須在相同的帳戶下執行,以確保可載入帳戶設定檔,而這樣會載入在管線中執行解密所需的登錄機碼。 基於效能考慮,IIS 6.0 不會在啟動相關聯的 w3wp.exe 程式時載入帳戶設定檔,因此BizTalk Server主機實例必須使用相同的帳戶設定,BizTalk Server將會載入帳戶設定檔和登錄機碼。 | 自有私用憑證 | MIME/SMIME 解碼器 | - 在每個 [主機屬性] 對話方塊的 [憑證] 頁面上,指定解密憑證的 [一般名稱] 和[指紋] 的值。 - 在 [設定管線] 對話方塊中指定管線解碼選項。 按一下 [接收位置屬性] 對話方塊之 [一般] 頁面上 [接收管線] 下拉式清單旁的按鈕,即可顯示 [設定管線] 對話方塊。 |
| 簽章 (傳送) | 與傳送處理常式關聯之主控件執行個體所使用的帳戶 | 登入每部執行BizTalk Server的電腦,將裝載 S/MIME 編碼器管線作為每個主機實例服務帳戶,並將簽章憑證匯入目前使用者 \ 個人存放區。 | 自有私用憑證 | MIME/SMIME 編碼器 | - 在[BizTalk 群組屬性] 對話方塊的 [憑證] 頁面上,指定簽章憑證[一般名稱和指紋] 的值。 注意:每個BizTalk Server群組只能指定一個簽章憑證。 - 在 [設定管線] 對話方塊中指定管線編碼選項。 按一下 [傳送埠內容] 對話方塊之 [一般] 頁面上 [傳送管線] 下拉式清單旁的按鈕,即可顯示 [設定管線] 對話方塊。 |
| 簽章驗證 (接收) | 與接收處理常式關聯之主控件執行個體所使用的帳戶 | 登入將裝載 S/MIME 解碼器管線且執行BizTalk Server的每部電腦,並將簽章憑證匯入本機電腦 \ 其他人員存放區。 | 交易夥伴公用憑證 | MIME/SMIME 解碼器 | - 在 [每一方屬性] 對話方塊的 [憑證] 頁面上,指定驗證憑證的 [一般名稱] 和 [指紋] 的值。 - 在 [設定管線] 對話方塊中指定管線解碼選項。 按一下 [接收位置屬性] 對話方塊之 [一般] 頁面上 [接收管線] 下拉式清單旁的按鈕,即可顯示 [設定管線] 對話方塊。 注意:[解碼] 選項的設定需要部署具有 MIME/SMIME 解碼器元件的管線。 |
| 合作對象解析 (接收) | 與接收處理常式關聯之主控件執行個體所使用的帳戶 | 登入正在設定合作物件解析的BizTalk Server電腦,並將憑證匯入本機電腦 \ 其他人員存放區。 | 交易夥伴公用憑證 | 合作對象解析 | - 在 [每個主機屬性] 對話方塊的 [憑證] 頁面上,指定憑證[一般名稱] 和 [指紋] 的值。 - 在 [設定管線] 對話方塊中指定ResolveParty選項。 按一下 [接收位置屬性] 對話方塊之 [一般] 頁面上 [接收管線] 下拉式清單旁的按鈕,即可顯示 [設定管線] 對話方塊。 注意: 此選項的設定需要使用包含 合作物件解析 元件的管線。 XMLReceive管線包含合作物件解析元件。 |
| HTTPS (傳送) | 與傳送處理常式關聯之主控件執行個體所使用的帳戶 | SSL 通訊不需要用戶端憑證。 是否需要用戶端憑證是由目的地 Web 伺服器管理員自由決定。 如果目的地 Web 伺服器需要用戶端憑證,請遵循下列步驟: - 從交易夥伴取得公開憑證。 - 登入每部執行BizTalk Server的電腦,做為與傳送處理常式相關聯之主機實例所使用的帳戶。 - 將憑證匯入 目前使用者 \ 個人 存放區。 如需如何使用 Windows Server 2008 憑證服務網頁取得憑證的資訊,請參閱 透過 Web 要求憑證。 |
交易夥伴公用憑證 | NA | - HTTP 傳輸- 在 [HTTP 傳輸內容] 對話方塊的 [驗證] 索引標籤上設定SSL 用戶端憑證指紋選項。 按一下 [傳送埠屬性] 對話方塊之 [一般] 頁面上的 [設定] 按鈕,即可顯示[HTTP 傳輸屬性] 對話方塊。 - SOAP 傳輸- 在 [SOAP 傳輸內容] 對話方塊的 [一般] 索引標籤上,設定[用戶端憑證指紋] 選項。 按一下 [傳送埠屬性] 對話方塊之 [一般] 頁面上的 [設定] 按鈕,即可顯示[SOAP 傳輸屬性] 對話方塊。 |
顯示 [本機電腦] 和 [目前使用者] 的 [憑證管理主控台] 介面
按一下 [開始],按一下 [ 執行],輸入 MMC,然後按一下 [ 確定 ] 以開啟 Microsoft Management Console。
按一下 [ 檔案] 功能表,然後按一下 [ 新增/移除嵌入式管理單元 ] 以顯示 [ 新增/移除嵌入式管理單元 ] 對話方塊。
從可用的嵌入式管理單元清單中選取 [ 憑證 ],然後按一下 [ 新增]。
選取 [電腦帳戶],按 [ 下一步],然後按一下 [ 完成]。 這會新增本機電腦的憑證管理主控台介面。
確定仍從嵌入式管理單元清單中選取 [ 憑證 ],然後按一下 [再次 新增 ]。
選取 [我的使用者帳戶 ],然後按一下 [ 完成]。 這會新增目前使用者的憑證管理主控台介面。
注意
這會顯示您目前登入之帳戶的 [憑證管理主控台 ]。 如果您需要針對某個服務帳戶將憑證匯入「個人」存放區,您應該先使用該服務帳戶認證來登入。
按一下 [新增/移除嵌入式管理單元] 對話方塊上的 [確定] 按鈕。
一般準則
請確定匯入的憑證用於其目的:若要這樣做,請按兩下 [憑證管理主控台]介面中的憑證,然後按一下 [憑證] 對話方塊的 [詳細資料] 索引標籤。 然後按一下 [顯示] 下拉式清單的 [全部]選項,然後按一下以選取 [金鑰使用方式] 和/或[增強金鑰使用方式] 欄位,以確認預定的目的。 如果BizTalk Server嘗試將憑證用於其預定用途以外的憑證,則會發生執行階段錯誤。
測試目標網站的連線:如果您使用 SSL,請先確定您可以使用 Internet Explorer 連線到目標網站,然後再嘗試使用 HTTP 或 SOAP 傳輸連線到目標網站。 當您連線到目標網站時,請確認 Internet Explorer 中不會顯示任何對話方塊。 BizTalk Server沒有任何機制可以與連線到目標網站時顯示的任何對話方塊互動。 如果目標網站名稱不符合 SSL 憑證中網站指定的名稱,或 SSL 憑證的根憑證授權單位不在適當的 受信任根憑證授權 單位存放區中,Internet Explorer 可能會顯示對話方塊。
使用 SSL 診斷工具來分析 SSL 連線問題: SSL 診斷工具是 IIS 診斷工具組的選擇性元件。 如需詳細資訊,請參閱 IIS 診斷工具。
請確定憑證有效。 BizTalk Server如果憑證已過期,則不會提示您。 相反地,BizTalk Server會暫停訊息。