Installieren von Zertifikaten für die WCF-Adapter
Die WCF-Adapter können digitale PKI-Zertifikate (Public Key-Infrastruktur) zum Verschlüsseln und Entschlüsseln von Nachrichten, Signieren und Überprüfen (Nichtabstreitbarkeit) von Nachrichten sowie für die Authentifizierung von Clients verwenden. In diesem Thema werden verschiedene Verwendungsszenarien und Konfigurationsoptionen für Zertifikate beschrieben sowie Richtlinien zum Verwenden digitaler Zertifikate mit den WCF-Adaptern erläutert.
Verwendungsszenarien für Zertifikate für die WCF-Empfangsspeicherorte
In der folgenden Tabelle wird erklärt, wie die Zertifikate für die WCF-Empfangsspeicherorte installiert werden.
Zertifikatverwendung | Benutzerkontext | Zertifikatspeicherort | Zertifikattyp | Zeitpunkt der Zertifikatinstallation |
---|---|---|---|---|
Entschlüsselung und Signierung abhängig von den Sicherheitseinstellungen des Empfangsspeicherorts | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, auf dem die Empfangsspeicherorte als jeder Host instance Dienstkonto gehostet werden, und importieren Sie das Dienstzertifikat in den Speicher Aktueller Benutzer \ Persönlich (Mein). | Eigenes privates Zertifikat | Geben Sie den Wert für die Eigenschaft Dienstzertifikat – Fingerabdruck in den folgenden Konfigurationen an: – Die Eigenschaft Sicherheitsmodus des WCF-BasicHttp Empfangsspeicherorts ist auf Nachricht festgelegt. – Die Eigenschaft Transportclientanmeldeinformationstyp des WCF-BasicHttp Empfangsspeicherorts ist für den TransportCredentialOnly-Sicherheitsmodus auf Certificate festgelegt. – Die Eigenschaft Des Typs der Anmeldeinformationen des Nachrichtenclients des WCF-WSHttp Empfangsspeicherorts ist für den Nachrichtensicherheitsmodus auf Keine, Zertifikat oder Benutzername festgelegt. – Die Eigenschaft Transportclientanmeldeinformationstyp des WCF-NetTcp Empfangsspeicherorts ist für den Transportsicherheitsmodus auf Keine oder Zertifikat festgelegt. – Die Eigenschaft des Typs der Anmeldeinformationen des Nachrichtenclients des WCF-NetTcp Empfangsspeicherorts ist für den Nachrichtensicherheitsmodus auf Keine, Benutzername oder Zertifikat festgelegt. – Die Eigenschaft Message client credential type des WCF-NetTcp Empfangsspeicherorts ist für den Sicherheitsmodus TransportWithMessageCredential auf Windows, UserName oder Certificate festgelegt. – Die Eigenschaft Sicherheitsmodus des WCF-NetMsmq ist auf Meldung oder Beides festgelegt. |
Clientauthentifizierung | – | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der die Empfangsspeicherorte als Administratoren hosten wird, und importieren Sie die Zertifizierungsstellen-Zertifikatkette für die X.509-Clientzertifikate in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen des Computers, damit die Clients bei diesem Empfangsspeicher authentifiziert werden können. | Die Zertifizierungsstellen-Zertifikatkette für die X.509-Clientzertifikate | Installieren Sie bei folgenden Konfigurationen die Zertifizierungsstellen-Zertifikatkette für die X.509-Clientzertifikate im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen: – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-BasicHttp Empfangsspeicherorts ist auf Zertifikat festgelegt. – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-WSHttp Empfangsspeicherorts ist auf Zertifikat festgelegt. – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-NetTcp Empfangsspeicherorts ist auf Zertifikat festgelegt. – Der Typ der Anmeldeinformationen des Nachrichtenclients oder die MSMQ-Authentifizierungsmoduseigenschaft des WCF-NetMsmq Empfangsspeicherorts ist auf Zertifikat festgelegt. |
Hinweis
Da die standardmäßigen WCF-Empfangsadapter den ChainTrust-Modus verwenden, um die Clientzertifikate zu überprüfen, müssen Sie die Zertifizierungsstellen-Zertifikatkette für die X.509-Clientzertifikate installieren. Sie können die WCF-Custom oder die WCF-CustomIsolated Adapter verwenden, um dieses Standardverhalten zu umgehen.
Hinweis
Bei den isolierten WCF-Adaptern müssen Sie das Benutzerkonto einer isolierten Hostinstanz in Übereinstimmung mit den entsprechenden Anwendungspools bringen. Weitere Informationen zu den isolierten BizTalk-Hosts finden Sie unter Aktivieren von Webdiensten.
Hinweis
Für die WCF-Custom und WCF-CustomIsolated Empfangsspeicherorte variieren der Benutzerkontext, der Zertifikatspeicherort und der Zertifikattyp für die zu installierenden Zertifikate zwischen den Einstellungen für das Verhalten von serviceCredentials und clientCredentials .
Hinweis
Wenn der Empfangsspeicherort das Zertifikatelement für die Endpoint Identity-Eigenschaft verwendet, müssen Sie auch das Zertifikat für die veröffentlichte Dienstidentität in dem in der Endpoint Identity-Eigenschaft angegebenen Zertifikatspeicher installieren.
Hinweis
Anstatt sich beim Computer mit dem Dienstkonto der Hostinstanz oder Administratorkonto anzumelden, können Sie alternativ den Befehl Ausführen als mit entsprechenden Konten ausführen, um dieselbe Aktion zu erledigen.
Verwendungsszenarien für Zertifikate für die WCF-Sendeports
In der folgenden Tabelle wird erklärt, wie die Zertifikate für die WCF-Sendeports installiert werden.
Zertifikatverwendung | Benutzerkontext | Zertifikatspeicherort | Zertifikattyp | Zeitpunkt der Zertifikatinstallation |
---|---|---|---|---|
Clientauthentifizierung | Konto, das von der Hostinstanz verwendet wird, die dem Sendeport zugewiesen ist. | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der die Sendeports als jeden Host instance Dienstkonto hosten wird, und importieren Sie das Clientzertifikat in den Speicher Aktueller Benutzer \ Personal (My). | Eigenes privates Zertifikat | Geben Sie den Wert für die Eigenschaft Clientzertifikat – Fingerabdruck in den folgenden Konfigurationen an: – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-BasicHttp Sendeports ist auf Zertifikat festgelegt. – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-WSHttp Sendeports ist auf Zertifikat festgelegt. – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-NetTcp Sendeports ist auf Zertifikat festgelegt. – Der Typ der Anmeldeinformationen des Nachrichtenclients oder die MSMQ-Authentifizierungsmoduseigenschaft des WCF-NetMsmq Sendeports ist auf Zertifikat festgelegt. |
Dienstauthentifizierung, Signaturbestätigung und Verschlüsselung abhängig von den Sicherheitseinstellungen des Sendeports | – | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der die Sendeports als Administratoren hosten wird, und importieren Sie das Dienstzertifikat in den Speicher Lokaler Computer \ Andere Personen (AddressBook). Sie müssen auch die Zertifizierungsstellen-Zertifikatkette für die Dienstzertifikate in den Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Computers installieren. | – Öffentliches Dienstzertifikat – Die Zertifizierungsstellenzertifikatkette für das Dienstzertifikat |
Geben Sie den Wert für die Eigenschaft Dienstzertifikat – Fingerabdruck in den folgenden Konfigurationen an: – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp oder Transportclientanmeldeinformationstyp des WCF-BasicHttp Sendeports ist auf Zertifikat festgelegt. – Die Eigenschaft Nachrichtenclientanmeldeinformationstyp des WCF-WSHttp Sendeports ist auf Keine, Benutzername oder Zertifikat festgelegt, wenn die Option Dienstanmeldeinformationen aushandeln deaktiviert ist. – Der Sicherheitsmodus des WCF-NetMsmq Sendeports ist auf Nachricht oder Beides festgelegt. |
Dienstauthentifizierung, Signaturbestätigung und Verschlüsselung abhängig von den Sicherheitseinstellungen des Sendeports | – | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der den Sendeport als Administratoren hosten wird, und importieren Sie die Zertifizierungsstellenzertifikatkette für die X.509-Clientzertifikate in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen des Computers, damit der Dienst bei diesem Sendeport authentifiziert werden kann. | Die Zertifizierungsstellen-Zertifikatkette für das Dienstzertifikat | Wenn Sie das Dienstzertifikat für die Eigenschaft Dienstzertifikat – Fingerabdruck nicht explizit angeben, installieren Sie die Zertifizierungsstellenzertifikatkette für die X.509-Zertifikate des Diensts im Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen in den folgenden Konfigurationen: – Der Sicherheitsmodus des WCF-BasicHttp Sendeports ist auf Transport oder TransportWithMessageCredential festgelegt. – Der Sicherheitsmodus des WCF-WSHttp Sendeports ist auf Transport oder TransportWithMessageCredential festgelegt. – Der Sicherheitsmodus des WCF-NetTcp Sendeports ist auf TransportWithMessageCredential festgelegt. – Die Eigenschaft Transportclientanmeldeinformationstyp des WCF-NetTcp Sendeports ist auf Keine oder Zertifikat festgelegt. – Die Eigenschaft des Typs der Anmeldeinformationen des Nachrichtenclients des WCF-NetTcp Sendeports ist auf Keine, Benutzername oder Zertifikat festgelegt. |
Hinweis
Da die standardmäßigen WCF-Sendeadapter den ChainTrust-Modus verwenden, um die Dienstzertifikate zu überprüfen, müssen Sie die Zertifizierungsstellenzertifikatkette für die X.509-Zertifikate des Diensts installieren. Mithilfe des WCF-Custom- oder WCF-CustomIsolated-Adapters können Sie dieses Standardverhalten ändern.
Hinweis
Für die WCF-Custom und WCF-CustomIsolated Sendeports variieren der Benutzerkontext, der Zertifikatspeicherort und der Zertifikattyp für die zu installierenden Zertifikate zwischen den Einstellungen des ServiceCredentials - und clientCredentials-Verhaltenselements .
Hinweis
Wenn der Sendeport das Zertifikatelement für die Endpoint Identity-Eigenschaft verwendet, müssen Sie auch das Zertifikat für die erwartete Dienstidentität im Zertifikatspeicher installieren, der in der Endpoint Identity-Eigenschaft angegeben ist.
Hinweis
Anstatt sich beim Computer mit dem Dienstkonto der Hostinstanz oder Administratorkonto anzumelden, können Sie alternativ den Befehl Ausführen als mit entsprechenden Konten ausführen, um dieselbe Aktion zu erledigen.
Anzeigen der Zertifikatverwaltungskonsole
Zum Anzeigen der Zertifikatverwaltungskonsole für Lokaler Computer und Aktueller Benutzer müssen Sie die folgenden Schritte ausführen:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie MMC ein, und klicken Sie auf OK , um die Microsoft-Verwaltungskonsole zu öffnen.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen , um das Dialogfeld Snap-In hinzufügen/entfernen anzuzeigen.
Klicken Sie auf Hinzufügen , um das Dialogfeld Eigenständiges Snap-In hinzufügen anzuzeigen.
Wählen Sie zertifikate aus der Liste der Snap-Ins aus, und klicken Sie dann auf Hinzufügen.
Wählen Sie Computerkonto aus, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen. Dadurch wird die Zertifikatverwaltungskonsole für Lokaler Computer hinzugefügt.
Stellen Sie sicher, dass in der Liste der Snap-Ins weiterhin Zertifikate ausgewählt ist, und klicken Sie dann erneut auf Hinzufügen .
Wählen Sie Mein Benutzerkonto aus, und klicken Sie dann auf Fertig stellen. Dadurch wird die Zertifikatverwaltungskonsole für Aktueller Benutzer hinzugefügt.
Hinweis
Die Zertifikatverwaltungskonsole für das Konto wird angezeigt, mit dem Sie zurzeit angemeldet sind. Wenn Sie Zertifikate in den Speicher „Persönlich“ für ein Dienstkonto importieren möchten, müssen Sie sich vorher mit den Anmeldeinformationen des Dienstkontos anmelden.
Klicken Sie im Dialogfeld Eigenständiges Snap-In auf Schließen.
Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.