Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zur Sicherung der AS2-Datenübertragung mit Verschlüsselung und digitalen Signaturen müssen die entsprechenden Zertifikate zusätzlich zur entsprechenden AS2-Konfiguration auf BizTalk Server installiert sein. In diesem Thema werden die erforderlichen Zertifikate, die Konfiguration und häufige Probleme mit ihnen beschrieben.
Voraussetzungen
Sie müssen als Mitglied der Gruppe "BizTalk Server-Administratoren" angemeldet sein.
Für den AS2-Transport erforderliche Zertifikate
Um die Datenübertragung von AS2 zu sichern, müssen Sie dem entsprechenden Zertifikatspeicher das entsprechende Zertifikat hinzufügen und die Zertifikate den entsprechenden BizTalk-Artefakten zuordnen. Die folgenden Zertifikate werden verwendet, um AS2-Nachrichten zu sichern:
| Zertifikatverwendung | Zertifikattyp | Pipelinekomponente | Benutzerkontext | Zertifikatspeicher | Wo Definiert |
|---|---|---|---|---|---|
| Signatur (ausgehend) | Eigener privater Schlüssel (PFX) | AS2-Encoder | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugeordnet ist. | Aktueller Benutzer\persönlicher Speicher jedes BizTalk-Servers, der als Hostinstanzdienstkonto eine AS2-Encoderpipeline hostet. |
-
Zertifikatseite des Dialogfelds " Gruppeneigenschaften ". Dies ist das Standardsignaturzertifikat, das beim Senden signierter Dokumente verwendet wird. – Sie können die Standardzertifikateinstellung außer Kraft setzen und stattdessen unterschiedliche Zertifikate für unterschiedliche Parteien verwenden. Sie können dies tun, indem Sie im Bereich "Signaturzertifikat" der Registerkarte "Vereinbarungseigenschaften" im Dialogfeld "Vereinbarungseigenschaften" die Option "Gruppensignaturzertifikat überschreiben" auswählen und ein Signaturzertifikat angeben. Wenn diese Eigenschaft festgelegt ist, wird die AS2-Nachricht, die auf die Vereinbarung verweist, mit dem Zertifikat signiert, das auf der Seite "Signaturzertifikat" angegeben ist, und nicht von dem Zertifikat, das als Teil der BizTalk Group-Eigenschaften bereitgestellt wird. |
| Signaturüberprüfung (eingehend) | Öffentlicher Schlüssel des Handelspartners (.cer) | AS2-Decoder | Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist. | Lokaler Computer\Anderer Personenspeicher der einzelnen BizTalk Server, der eine AS2-Decoderpipeline als Hostinstanzdienstkonto hostet | Zertifikatseite des Dialogfelds "Eigenschaften der Partei" Hinweis: Das Zertifikat, das verwendet wird, um eine Signatur für eine Partei zu überprüfen, muss von den Zertifikaten eindeutig sein, die zum Überprüfen von Signaturen für andere Parteien verwendet werden. |
| Verschlüsselung (ausgehend) | Öffentlicher Schlüssel des Handelspartners (.cer) | AS2-Encoder | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugeordnet ist. | Lokaler Computer\Speicher für andere Personen in jedem BizTalk Server, der eine AS2-Encoderpipeline hostet | Zertifikatseite des Dialogfelds "Senden von Porteigenschaften" |
| Entschlüsselung (eingehend) | Eigener privater Schlüssel (PFX) | AS2-Decoder | Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist. | Aktueller Benutzer\Persönlicher Speicher der einzelnen BizTalk Server, der eine AS2-Decoderpipeline als Hostinstanzdienstkonto hostet | Der AS2-Decoder bestimmt das Zertifikat basierend auf Zertifikatinformationen in der Nachricht. Für den BizTalk MIME-Decoder muss sich das Zertifikat auf der Seite " Zertifikat " des Hosts befinden, der zum Empfangen der Nachricht verwendet wird. Dies ist für den AS2-Decoder nicht erforderlich. |
Zertifikatsignatur für ausgehende Nachrichten
Ausgehende AS2-Nachrichten werden mit einem Standardzertifikat signiert, das als Teil der BizTalk Group-Eigenschaften definiert ist. Es kann jedoch Szenarien geben, in denen die empfangende Partei möchte, dass die Nachrichten mit einem von ihnen bereitgestellten privaten Zertifikat signiert werden, oder erwartet, dass ein anderes Zertifikat beim Signieren ausgehender Nachrichten für sie verwendet wird. Dieses Szenario des Signierens ausgehender Nachrichten mit anderen Zertifikaten ist aktiviert, wenn Sie das Gruppensignaturzertifikat auf der Seite " Signaturzertifikat überschreiben" auf der Registerkarte "Vereinbarungseigenschaften" des Dialogfelds " Vereinbarungseigenschaften " auswählen und ein Signaturzertifikat angeben. Wenn ein Zertifikat als Teil der AS2-Vereinbarung für eine Partei angegeben wird, wird dieses Zertifikat zum Signieren ausgehender Nachrichten verwendet. Wenn kein Zertifikat für die Partei definiert ist, wird das als Teil der BizTalk Group-Eigenschaften angegebene Standardzertifikat verwendet.
Hinzufügen von Zertifikaten zu den Zertifikatspeichern
Weitere Informationen finden Sie im Abschnitt "Anzeigen der Zertifikatverwaltungskonsole" unter " Installieren von Zertifikaten für die WCF-Adapter" sowie im Thema "Zertifikat-Assistent-Hilfsprogramm ".
Von Bedeutung
Der persönliche Zertifikatspeicher ist nur für die Nachrichtenverarbeitung verfügbar, wenn das Benutzerprofil für den Benutzer geladen wird, dessen Anmeldeinformationen der Hostinstanz zugeordnet sind. Der persönliche Speicher wird zum Signieren und Entschlüsseln von Zertifikaten (dem eigenen privaten Schlüssel des Benutzers) verwendet. Das Benutzerprofil wird standardmäßig für die In-Process-Hostinstanz geladen. Das Benutzerprofil wird jedoch nicht standardmäßig für die isolierte Hostinstanz geladen. Sie können eine Anwendung zum Laden des Benutzerprofils für den isolierten Host haben. Alternativ können Sie dieses Problem umgehen, indem Sie dieselbe Anmeldung für die In-Process-Hostinstanz und die isolierte Hostinstanz verwenden.
Generieren von Zertifikaten
Zertifikate können von einer Zertifizierungsstelle (Ca) abgerufen werden; die Schritte zum Anfordern eines Zertifikats können jedoch zwischen CAs variieren. Überprüfen Sie die Informationen auf der Website der Zertifizierungsstelle, bevor Sie Zertifikatanforderungen übermitteln.
Von Bedeutung
Zertifikate, die für den AS2-Transport verwendet werden, müssen über die attribute verfügen, die für ihre beabsichtigte Verwendung erforderlich sind. Für die Signatur- und Signaturüberprüfung muss das Attribut "Schlüsselverwendung " des Zertifikats digitale Signatur sein. Für Verschlüsselung und Entschlüsselung muss das Attribut "Schlüsselverwendung " des Zertifikats "Data Encipherment" oder "Key Encipherment" sein. Sie können das Attribut "Key Usage" überprüfen, indem Sie auf das Zertifikat doppelklicken, im Dialogfeld "Zertifikat" auf die Registerkarte "Details" klicken und das Feld "Schlüsselverwendung" aktivieren.
Sie können zertifikate auch in Windows Server 2008 mithilfe von Zertifikatdiensten generieren, ihr Partner kann diese Zertifikate jedoch nur zu Testzwecken akzeptieren, da sie selbstsigniert sind, anstatt von einer öffentlichen Zertifizierungsstelle zu signiert.
So konfigurieren Sie ein Zertifikat zum Signieren ausgehender AS2-Nachrichten
Klicken Sie in der BizTalk Server-Verwaltungskonsole mit der rechten Maustaste auf den Knoten "BizTalk-Gruppe ", und klicken Sie dann auf "Eigenschaften".
Klicken Sie in der Konsolenstruktur des Dialogfelds " Gruppeneigenschaften " auf "Zertifikat".
Klicken Sie im Bereich "Zertifikat " auf " Durchsuchen", suchen Sie das Zertifikat, das Sie für die Signatur verwenden möchten, und klicken Sie dann auf "OK".
Hinweis
Anstatt den gemeinsamen Namen des Zertifikats einzugeben, können Sie nur den Fingerabdruck eingeben. Sie können den Fingerabdruck abrufen, indem Sie im Zertifikatspeicher in MMC oder im Dateisystem auf das Zertifikat doppelklicken, auf die Registerkarte "Details " klicken, auf das Feld " Fingerabdruck " klicken und den Fingerabdruck kopieren.
Klicke auf OK.
So konfigurieren Sie ein Zertifikat zum Signieren ausgehender AS2-Nachrichten für eine bestimmte Partei
Klicken Sie in der BizTalk Server-Verwaltungskonsole auf den Knoten "Parties ". Klicken Sie im Bereich "Parteien und Geschäftsprofile " im Abschnitt "Vereinbarungen " mit der rechten Maustaste auf den Vertrag, der für den Austausch von Nachrichten mit einer bestimmten Partei erstellt wurde, und klicken Sie auf "Eigenschaften".
Klicken Sie auf einer einseitigen Registerkarte für Vereinbarungen auf "Signaturzertifikate".
Aktivieren Sie das Kontrollkästchen "Gruppensignaturzertifikat außer Kraft setzen ", um das auf dieser Seite bereitgestellte Zertifikat zum Signieren ausgehender AS2-Nachrichten und MDN zu verwenden.
Klicken Sie auf " Durchsuchen ", um das Dialogfeld " Zertifikat auswählen " anzuzeigen, in dem Sie das Signaturzertifikat auswählen, das auf von dieser Partei übertragene Nachrichten angewendet werden soll.
Im Textfeld "Allgemeiner Name " wird eine Beschreibung des ausgewählten Zertifikats angezeigt.
Das Textfeld "Fingerabdruck" zeigt den Fingerabdruck des Zertifikats an. Der Zertifikatfingerabdruck weist das Format HHHH HHHH HHHH HHHH HHHH HHHH HHH HHHH HHHH auf, wobei H eine Hexadezimalziffer ist (eine Zahl zwischen 0 und 9 oder ein Buchstabe von A bis F).
Klicken Sie auf "Zertifikat entfernen", um das ausgewählte Zertifikat zu entfernen.
Klicken Sie auf 'OK' , um die Änderungen zu überprüfen und dann das Dialogfeld zu schließen.
So konfigurieren Sie ein Zertifikat zum Überprüfen der digitalen Signatur einer eingehenden AS2-Nachricht
Öffnen Sie in der BizTalk Server-Verwaltungskonsole den Knoten "BizTalk Group ", und klicken Sie dann auf den Knoten "Parties ".
Klicken Sie im Bereich "Parteien und Geschäftsprofile " mit der rechten Maustaste auf die Partei, von der Sie signierte Nachrichten erhalten, und klicken Sie dann auf "Eigenschaften".
Klicken Sie in der Konsolenstruktur auf "Zertifikat".
Klicken Sie im Bereich "Zertifikat " auf " Durchsuchen", suchen Sie das Zertifikat, das Sie für die Überprüfung der digitalen Signatur verwenden möchten, und klicken Sie dann auf "OK".
Hinweis
Anstatt den gemeinsamen Namen des Zertifikats einzugeben, können Sie nur den Fingerabdruck eingeben. Sie können den Fingerabdruck abrufen, indem Sie im Zertifikatspeicher in MMC oder im Dateisystem auf das Zertifikat doppelklicken, auf die Registerkarte "Details " klicken, auf das Feld " Fingerabdruck " klicken und den Fingerabdruck kopieren.
Klicke auf OK.
So konfigurieren Sie ein Zertifikat zum Verschlüsseln von ausgehenden AS2-Nachrichten
Öffnen Sie in der BizTalk Server-Verwaltungskonsole den Knoten "BizTalk Group ", öffnen Sie den Knoten "Anwendungen ", und öffnen Sie den Knoten der Anwendung , die den Sendeport enthält, an den Sie die verschlüsselte Nachricht senden möchten.
Öffnen Sie den Knoten " Ports senden ", klicken Sie mit der rechten Maustaste auf den Sendeport, und klicken Sie dann auf "Eigenschaften".
Klicken Sie in der Konsolenstruktur auf "Zertifikat".
Klicken Sie im Bereich "Zertifikat " auf " Durchsuchen", suchen Sie das Zertifikat, das Sie für die Verschlüsselung verwenden möchten, und klicken Sie dann auf "OK".
Hinweis
Anstatt den gemeinsamen Namen des Zertifikats einzugeben, können Sie nur den Fingerabdruck eingeben. Sie können den Fingerabdruck abrufen, indem Sie im Zertifikatspeicher in MMC oder im Dateisystem auf das Zertifikat doppelklicken, auf die Registerkarte "Details " klicken, auf das Feld " Fingerabdruck " klicken und den Fingerabdruck kopieren.
Klicke auf OK.
Siehe auch
AS2 SecuritySignierung, Komprimierung und Verschlüsselung im AS2-Transport konfigurierenAS2 Lösung ArchitekturZertifikate für die WCF-Adapter installieren