Von BizTalk Server verwendete Zertifikatspeicher
In BizTalk Server werden zwei Typen von Zertifikatspeichern verwendet, nämlich der Zertifikatspeicher Andere Personen für öffentliche Schlüssel und der Zertifikatspeicher Persönlich für den privaten Schlüssel für jedes Dienstkonto einer Hostinstanz.
Zertifikatspeicher „Andere Personen“. Zertifikate mit öffentlichen Schlüsseln sind, wie der Name besagt, öffentlich und für alle Personen zugänglich, die Zugriff auf den Computer haben, auf dem die Zertifikate gespeichert sind. In BizTalk Server werden Zertifikate mit öffentlichen Schlüsseln verwendet, um Nachrichten an bestimmte Parteien zu verschlüsseln und die digitalen Signaturen eingehender Nachrichten von bestimmten Parteien zu überprüfen. Unter Windows steht der Zertifikatspeicher Andere Personen zum Speichern der auf dem Computer verwendeten Zertifikate mit öffentlichen Schlüsseln zur Verfügung. Alle Benutzer können die Zertifikate in diesem Speicher lesen und verwenden, und Windows-Administratoren verfügen über die Berechtigungen zum Verwalten des Speichers.
Hinweis
Sie müssen die Zertifikate mit öffentlichen Schlüsseln im Zertifikatspeicher Lokaler Computer\Andere Personen auf dem lokalen Computer speichern, auf dem eine BizTalk-Hostinstanz verwendet wird, um Signaturen zu überprüfen oder an einen Remotepartner gesendete Nachrichten zu verschlüsseln.
Die folgende Abbildung zeigt den Zertifikatspeicher Andere Personen, der von BizTalk Server für Zertifikate mit öffentlichen Schlüsseln verwendet wird:
BPI_SP_MSGSEC_OTHERPEOPLECERTSTORE
Zertifikatspeicher „Persönlich“. In BizTalk Server werden Zertifikate mit privaten Schlüsseln verwendet, um eingehende Nachrichten zu entschlüsseln und ausgehende Nachrichten zu signieren. Jedes Windows-Konto, das für die interaktive Anmeldung auf einem Computer aktiviert ist, verfügt über einen persönlichen Zertifikatspeicher des Betriebssystems, auf den nur dieses Konto zugreifen kann. In BizTalk Server werden die persönlichen Zertifikatspeicher für die einzelnen Dienstkonten von Hostinstanzen verwendet, um auf die Zertifikate mit privaten Schlüsseln zuzugreifen, auf die die einzelnen Dienstkonten Zugriff haben. Nur die Besitzer der Zertifikatspeicher können auf ihre persönlichen Zertifikatspeicher zugreifen und diese verwalten. Mit anderen Worten müssen Sie sich an jedem Computer, der S/MIME-Decoderpipelines hosten soll, mit den Dienstkonten der einzelnen Hostinstanzen anmelden und das Entschlüsselungszertifikat mithilfe des Zertifikate-Snap-Ins in den persönlichen Zertifikatspeicher importieren.
Die folgende Abbildung zeigt den Zertifikatspeicher Persönlich, der von BizTalk Server für Zertifikate mit privaten Schlüsseln verwendet wird:
Wichtig
Die Zertifikate mit privaten Schlüsseln müssen im Zertifikatspeicher Aktueller Benutzer\Persönlich für die Dienstkonten jeder Hostinstanz auf jedem Computer gespeichert werden, auf dem eine BizTalk-Hostinstanz ausgeführt wird, die das Zertifikat für die Entschlüsselung oder zum Signieren ausgehender Nachrichten benötigt.
Hinweis
Nachdem Sie das Zertifikat mit dem privaten Schlüssel dem persönlichen Zertifikatspeicher der Dienstkonten hinzugefügt haben, die ausgehende Nachrichten signieren, müssen Sie dieses Signaturzertifikat auch in der BizTalk-Verwaltungskonsole angeben. Weitere Informationen finden Sie unter Konfigurieren BizTalk Server für das Senden signierter Nachrichten.
Hinweis
Der persönliche Zertifikatspeicher wird auch als MY-Zertifikatspeicher bezeichnet, wenn er für programmgesteuerte Vorgänge wie die Skripterstellung für den Im- und Export von Zertifikaten verwendet wird.
In der folgenden Tabelle sind die Zertifikate beschrieben, die in den einzelnen Windows-Zertifikatspeichern installiert werden müssen.
Tabelle 1: Zertifikate für die einzelnen Windows-Zertifikatspeicher
| Zertifikatzweck | Zertifikattyp | Zertifikatspeicher |
|---|---|---|
| Signieren | Eigener privater Schlüssel | Persönlicher Speicher für jedes Dienstkonto eines Hosts instance, das über eine Sendepipeline mit einer MIME/SMIME Encoder-Pipelinekomponente verfügt, die zum Signieren von Nachrichten konfiguriert ist (Eigenschaft "Signierungszertifikat hinzufügen zu Nachricht hinzufügen", festgelegt auf True). Weitere Informationen finden Sie unter Konfigurieren von BizTalk Server für das Senden signierter Nachrichten. |
| Überprüfen von Signaturen | Öffentlicher Schlüssel des Partners | Speicher Andere Personen auf jedem Computer mit einer Hostinstanz, die eine Empfangspipeline mit einer MIME/SMIME-Decoderkomponente aufweist. Weitere Informationen finden Sie unter Konfigurieren von BizTalk Server für den Empfang signierter Nachrichten. |
| Entschlüsseln | Eigener privater Schlüssel | Persönlicher Speicher für jedes Dienstkonto einer Hostinstanz, die eine Empfangspipeline mit einer MIME/SMIME-Decoderkomponente aufweist. Weitere Informationen finden Sie unter Konfigurieren BizTalk Server für den Empfang verschlüsselter Nachrichten. |
| Verschlüsselt | Öffentlicher Schlüssel des Partners | Andere Personen auf jedem Computer speichern, auf dem eine Host-instance mit einer Sendepipeline mit einer MIME/SMIME Encoder-Pipelinekomponente gespeichert ist, die zum Verschlüsseln von Nachrichten konfiguriert ist (Verschlüsselungseigenschaft aktivieren auf True)festgelegt. Weitere Informationen finden Sie unter Konfigurieren von BizTalk Server zum Senden verschlüsselter Nachrichten. |
| Parteiauflösung | Öffentlicher Schlüssel des Partners | Speicher Andere Personen auf dem Verwaltungscomputer, auf dem die Parteiauflösung konfiguriert wird. Weitere Informationen finden Sie unter Verwenden von Zertifikaten für die Parteienauflösung. |
Die folgende Abbildung zeigt, welche Zertifikate in den einzelnen Zertifikatspeichern auf einem zum Empfangen von Nachrichten vorgesehenen Computer mit BizTalk Server erforderlich sind.
Die folgende Abbildung zeigt, welche Zertifikate in den einzelnen Zertifikatspeichern auf einem zum Senden von Nachrichten vorgesehenen Computer mit BizTalk Server erforderlich sind.
Weitere Informationen zu den Zertifikatspeichern und dem Zertifikat-Snap-In für Microsoft Management Console (MMC) erhalten Sie, wenn Sie in der Windows-Hilfe nach „Zertifikatkonsole“ suchen.
Weitere Informationen
Zertifikate, die von BizTalk Server für signierte Nachrichten verwendet werden
Zertifikate, die von BizTalk Server für verschlüsselte Nachrichten verwendet werden
Verschlüsselung und Signaturzertifikate
Implementieren der Nachrichtensicherheit