Teilen über


Zertifikate, die von BizTalk Server für verschlüsselte Nachrichten verwendet werden

BizTalk Server unterstützt die Verschlüsselung ausgehender Nachrichten mit öffentlichem Schlüssel und die Entschlüsselung eingehender Nachrichten basierend auf Secure Multipurpose Internet Mail Extensions (S/MIME). BizTalk Server verwendet S/MIME, Version 3, für die Verschlüsselung von ausgehenden Nachrichten und S/MIME Version 2 und 3 für die Entschlüsselung von eingehenden Nachrichten.

  • BizTalk Server unterstützt die Verschlüsselungszertifikate RSA und Diffie Hellman.

  • BizTalk Server unterstützt Verschlüsselungsalgorithmen gemäß DES (Data Encryption Standard), 3DES und RC2.

    Die folgende Abbildung zeigt den Nachrichtenfluss, wenn BizTalk Server eine verschlüsselte Nachricht empfängt.

    Nachrichtenfluss beim Empfangen einer verschlüsselten Nachricht

    Wenn BizTalk Server eine verschlüsselte Nachricht empfängt, verläuft der Nachrichtenfluss wie folgt:

  1. Ein Partner sendet eine Nachricht an BizTalk Server. Der Partner verschlüsselt die Nachricht mit dem öffentlichen Schlüssel von BizTalk Server.

  2. Der entsprechende BizTalk Server-Empfangshandler empfängt die Nachricht.

  3. Bei der Ausführung der Empfangspipeline entschlüsselt die MIME/SMIME-Decoder-Pipelinekomponente die Nachricht mit dem privaten Schlüssel von BizTalk Server.

    Hinweis

    Damit die Pipelineentschlüsselung auf einem IIS 7.0-Computer erfolgreich ist, stellen Sie sicher, dass das Konto für den IIS-Anwendungspool und das konto, das vom Host verwendet instance, das dem Empfangshandler zugeordnet ist, identisch sind und dass dieses Konto Mitglied der <Gruppe machineName>\IIS_WPG ist. Weitere Informationen zum Festlegen der IIS-Prozessidentität für IIS 7.0 finden Sie unter Richtlinien zum Beheben von PROBLEMEN mit IIS-Berechtigungen. Diese Prozesse müssen unter demselben Konto ausgeführt werden, um sicherzustellen, dass das Kontoprofil geladen wird, das wiederum die zum Durchführen der Entschlüsselung in der Pipeline erforderlichen Registrierungsschlüssel lädt. Aus Leistungsgründen lädt IIS 7.0 das Kontoprofil nicht beim Starten des zugehörigen w3wp.exe-Prozesses. Daher muss die BizTalk-Hostinstanz mit demselben Konto konfiguriert sein, sodass BizTalk das Kontoprofil und die Registrierungsschlüssel laden kann.

  4. Eine weitere Verarbeitung erfolgt.

    Die folgende Abbildung zeigt den Nachrichtenfluss, wenn BizTalk Server eine verschlüsselte Nachricht sendet.

    Nachrichtenfluss beim Senden einer verschlüsselten Nachricht

    Wenn BizTalk Server eine verschlüsselte Nachricht an einen Partner sendet, verläuft der Nachrichtenfluss wie folgt:

  5. Der entsprechende BizTalk Server-Sendehandler sendet eine Nachricht an den Partner.

  6. Bei der Ausführung der Sendepipeline verschlüsselt die MIME/SMIME-Encoder-Pipelinekomponente die Nachricht mit dem öffentlichen Schlüssel des Partners.

  7. Der Partner empfängt die Nachricht von BizTalk Server. Der Partner entschlüsselt die Nachricht mit seinem privaten Schlüssel.

Weitere Informationen

Zertifikate, die von BizTalk Server für signierte Nachrichten verwendet werden
Von BizTalk Server verwendete Zertifikatspeicher
Verschlüsselung und Signaturzertifikate
Senden und Empfangen von verschlüsselten Nachrichten