Zertifikate, die von BizTalk Server für signierte Nachrichten verwendet werden
BizTalk Server unterstützt das Signieren ausgehender Nachrichten und die Überprüfung der Signatur eingehender S/MIME-Nachrichten (Secure Multipurpose Internet Mail Extensions). BizTalk Server verwendet die S/MIME-Versionen 2 und 3 zum Signieren ausgehender Nachrichten und Überprüfen der Signatur eingehender Nachrichten. Sie können BizTalk Server auch für das Signieren und anschließende Verschlüsseln der Nachrichten konfigurieren, die an Partner gesendet werden.
BizTalk Server unterstützt für die Überprüfung digitaler Signaturen die Signaturalgorithmen SHA-1 und MD5. Zum Signieren ausgehender Nachrichten verwendet BizTalk Server den Signaturalgorithmus SHA-1.
Die von BizTalk Server unterstützten Hauptaustauschsysteme für Signaturschlüssel sind die RSA-Algorithmen und der DSS (Digital Signature Standard). BizTalk Server unterstützt für Signaturschlüssel nicht das Austauschsystem AES (Advanced Encryption Standard).
Das von BizTalk Server unterstützte Signaturzertifikat ist X.509, Version 3.
Die folgende Abbildung zeigt den Nachrichtenfluss, wenn BizTalk Server eine digital signierte Nachricht empfängt und optional die Signatur nutzt, um die Identität des Partners in eine Partei in der BizTalk Server-Umgebung aufzulösen.
Der Nachrichtenfluss, wenn BizTalk Server eine digital signierte Nachricht empfängt, ist wie folgt:
Ein Partner sendet eine Nachricht an BizTalk Server. Der Partner signiert die Nachricht mit seinem privaten Schlüsselzertifikat.
Der entsprechende BizTalk Server-Empfangshandler empfängt die Nachricht.
Während der Ausführung der Empfangspipeline überprüft die Pipelinekomponente „MIME/SMIME-Decoder“ die digitale Signatur mithilfe des öffentlichen Schlüssels des Partners.
Sofern die Komponente zum Auflösen von Parteien konfiguriert ist, dient das öffentliche Schlüsselzertifikat des Partners während der Ausführung der Komponente zum Auflösen von Parteien der Empfangspipeline zum Identifizieren der Partei im BizTalk Server-System.
Eine weitere Verarbeitung erfolgt.
Die folgende Abbildung zeigt den Nachrichtenfluss, wenn BizTalk Server eine digital signierte Nachricht sendet.
Der Nachrichtenfluss, wenn BizTalk Server eine digital signierte Nachricht an einen Partner sendet, ist wie folgt:
Der entsprechende BizTalk Server-Sendehandler sendet eine Nachricht an den Partner.
Während der Ausführung der Sendepipeline signiert die Pipelinekomponente „MIME/SMIME-Encoder“ die Nachricht mithilfe des privaten Schlüssels von BizTalk Server.
Der Partner empfängt die Nachricht von BizTalk Server. Der Partner nutzt den öffentlichen Schlüssel von BizTalk Server zum Überprüfen der digitalen Signatur.
BizTalk Server überprüft die Gültigkeit der Zertifikate, die den eingehenden signierten Nachrichten zugeordnet sind, indem die Vertrauenskette der Zertifizierungsstelle für das Zertifikat überprüft und überprüft wird, ob das Zertifikat nicht abgelaufen ist. Das Überprüfen der Vertrauenskette der Zertifizierungsstellen umfasst das Durchlaufen der Vertrauenskette für Zertifikate, bis eine Stammzertifizierungsstelle erreicht ist. Dadurch wird überprüft, ob das Zertifikat zum Signieren einer Nachricht tatsächlich von der identifizierten Partei stammt. Diese Überprüfung findet zur Laufzeit für jede einzelne signierte Nachricht statt.
Darüber hinaus können BizTalk Server überprüfen, ob die Zertifizierungsstelle das Zertifikat, das zum Signieren oder Verschlüsseln der Nachricht verwendet wird, nicht widerrufen hat. Für diesen Zweck müssen Sie die Zertifikatssperrliste von der Zertifizierungsstelle herunterladen und mithilfe von Windows-Explorer installieren. Weitere Informationen zum Überprüfen eines Zertifikats finden Sie unter Konfigurieren der Pipelinekomponente des MIME-SMIME-Decoders.
Weitere Informationen
Zertifikate, die von BizTalk Server für verschlüsselte Nachrichten verwendet werden
Von BizTalk Server verwendete Zertifikatspeicher
Verschlüsselung und Signaturzertifikate
Senden und Empfangen von signierten Nachrichten