Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die WCF-Adapter können digitale PKI-Zertifikate (Public Key Infrastructure) für Nachrichtenverschlüsselung und -entschlüsselung, Nachrichtensignatur und -überprüfung (Nichtabstreitbarkeit) und Clientauthentifizierung verwenden. In diesem Thema werden verschiedene Zertifizierungsverwendungsszenarien und Konfigurationsoptionsrichtlinien für die Verwendung digitaler Zertifikate mit den WCF-Adaptern beschrieben.
Zertifikatverwendungsszenarien für die WCF-Empfangsorte
In der folgenden Tabelle wird gezeigt, um die Zertifikate für die WCF-Empfangsorte zu installieren.
| Zertifikatverwendung | Benutzerkontext | Zertifikatsspeicherort | Art der Bescheinigung | Wann die Zertifikate installiert werden sollen |
|---|---|---|---|---|
| Entschlüsselung und Signierung je nach Sicherheitseinstellungen des Empfangsstandorts | Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich als jedes Hostinstanzdienstkonto bei jedem Computer an, auf dem BizTalk Server die Empfangsorte bereitstellt, und importieren Sie das Dienstzertifikat im Speicher "Aktueller Benutzer \ Persönlich (My)". | Eigenes privates Zertifikat | Geben Sie den Wert für das Dienstzertifikat - Thumbprint-Eigenschaft in den folgenden Konfigurationen an: – Die Sicherheitsmodus-Eigenschaft des WCF-BasicHttp Empfangsorts ist auf Nachricht festgelegt. – Die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-BasicHttp Empfangsspeicherorts ist auf Zertifikat für den TransportCredentialOnly-Sicherheitsmodus festgelegt. – Die Eigenschaft des Nachrichtenclient-Anmeldeinformationstyps des WCF-WSHttp Empfangsspeicherorts ist für den Nachrichtensicherheitsmodus auf "None", "Certificate" oder "UserName" festgelegt. – Die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-NetTcp-Empfangsspeicherorts ist auf None oder Certificate für den Transportsicherheitsmodus festgelegt. – Die Eigenschaft des Nachrichtenclient-Anmeldeinformationstyps des WCF-NetTcp-Empfangsspeicherorts ist auf None, UserName oder Certificate für den Nachrichtensicherheitsmodus festgelegt. – Die Eigenschaft Nachrichtenclient-Anmeldeinformationstyp des WCF-NetTcp Empfangsspeicherorts ist im Sicherheitsmodus TransportWithMessageCredential auf Windows, UserName oder Certificate festgelegt. - Die Eigenschaft des Sicherheitsmodus der WCF-NetMsmq ist auf "Nachricht " oder "Beide" festgelegt. |
| Clientauthentifizierung | Nicht verfügbar | Melden Sie sich als Administrator bei jedem Computer an, auf dem BizTalk Server ausgeführt wird und der die Empfangsorte hostet, und importieren Sie die Zertifikatkette der Zertifizierungsstelle für die Client-X.509-Zertifikate in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen des Computers, damit die Clients an diesen Empfangsorten authentifiziert werden können. | Die Zertifikatskette der CA für die X.509-Clientzertifikate | Um die Kette der CA-Zertifikate für die X.509-Clientzertifikate zu installieren, geben Sie diese in den Zertifikatsspeicher für "Vertrauenswürdige Stammzertifizierungsstellen" in den folgenden Konfigurationen ein. – Der Anmeldeinformationstyp des Nachrichtenclients oder die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-BasicHttp Empfangsorts ist auf Zertifikat festgelegt. – Der Client-Zertifikatstyp für Nachrichten oder die Eigenschaft des Transportclient-Zertifikatstyps am Empfangsort WCF-WSHttp ist auf Zertifikat eingestellt. – Der Anmeldeinformationstyp des Nachrichtenclients oder die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-NetTcp Empfangsspeicherorts ist auf "Zertifikat" festgelegt. – Der Nachrichtenclient-Anmeldeinformationstyp oder die Eigenschaft für den MSMQ-Authentifizierungsmodus des WCF-NetMsmq Empfangsorts ist auf Zertifikat festgelegt. |
Hinweis
Da die standardmäßigen WCF-Empfangsadapter den ChainTrust-Modus verwenden, um die Clientzertifikate zu überprüfen, müssen Sie die Zertifizierungsstelle-Zertifikatkette für die X.509-Clientzertifikate installieren. Sie können die WCF-Custom oder die WCF-CustomIsolated Adapter verwenden, um dieses Standardverhalten zu ändern.
Hinweis
Für die isolierten WCF-Empfangsadapter müssen Sie das Benutzerkonto der isolierten Hostinstanz mit dem der entsprechenden Anwendungspools abgleichen. Weitere Informationen zu den isolierten BizTalk-Hosts finden Sie unter Aktivieren von Webdiensten.
Hinweis
Für die WCF-Custom und WCF-CustomIsolated Empfangsstandorte variiert der Benutzerkontext, der Zertifikatspeicherort und der Zertifikattyp für die zu installierenden Zertifikate zwischen den Einstellungen für serviceCredentials und clientCredentials Verhaltenselemente.
Hinweis
Wenn der Empfangsspeicherort das Zertifikatelement für die Endpoint Identity-Eigenschaft verwendet, müssen Sie auch das Zertifikat für die veröffentlichte Dienstidentität in den zertifikatspeicher installieren, der in der Endpoint Identity-Eigenschaft angegeben ist.
Hinweis
Anstatt sich mit dem Hostinstanzdienstkonto oder Administratorkonto beim Computer anzumelden, können Sie alternativ den Befehl "Ausführen als" mit entsprechenden Konten verwenden, um dieselbe Aktion auszuführen.
Szenarien für die Zertifikatverwendung für die WCF-Sendeports
In der folgenden Tabelle wird gezeigt, wie die Zertifikate für die WCF-Sendeports installiert werden.
| Zertifikatverwendung | Benutzerkontext | Standort des Zertifikatsspeichers | Art der Bescheinigung | Wann die Zertifikate installiert werden sollen |
|---|---|---|---|---|
| Clientauthentifizierung | Konto, das von der Hostinstanz verwendet wird, die dem Sendeport zugeordnet ist | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der die Sendeports als jedes Hostinstanzdienstkonto hosten soll, und importieren Sie das Clientzertifikat in den Speicher "Aktueller Benutzer \ Persönlich (Mein) ". | Eigenes privates Zertifikat | Geben Sie den Wert für die Eigenschaft Clientzertifikat - Thumbprint in den folgenden Konfigurationen an. – Der Anmeldeinformationstyp des Nachrichtenclients oder die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-BasicHttp Sendeports ist auf "Zertifikat" festgelegt. – Der Anmeldeinformationstyp des Nachrichtenclients oder die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-WSHttp Sendeports ist auf "Zertifikat" festgelegt. – Der Anmeldeinformationstyp des Nachrichtenclients oder die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-NetTcp Sendeports ist auf "Zertifikat" festgelegt. – Der Anmeldeinformationstyp des Nachrichtenclients oder die MSMQ-Authentifizierungsmoduseigenschaft des WCF-NetMsmq Sendeports ist auf "Zertifikat" festgelegt. |
| Dienstauthentifizierung, Signaturüberprüfung und Verschlüsselung abhängig von den Sicherheitseinstellungen des Sendeports | Nicht verfügbar | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der die Sendeports als Administratoren hosten soll, und importieren Sie das Dienstzertifikat in den Lokalen Computer \ Andere Personen (AddressBook) Speicher. Außerdem müssen Sie die CA-Zertifikatskette für die Dienstzertifikate im Speicher der vertrauenswürdigen Stammzertifizierungsstellen-Zertifikate des Computers installieren. | - Öffentliches Dienstzertifikat – Die CA-Zertifikatskette für das Dienstzertifikat |
Geben Sie den Wert für das Dienstzertifikat - Thumbprint-Eigenschaft in den folgenden Konfigurationen an: – Der Anmeldeinformationstyp des Nachrichtenclients oder die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-BasicHttp Sendeports ist auf "Zertifikat" festgelegt. – Die Eigenschaft des Nachrichtenclient-Anmeldeinformationstyps des WCF-WSHttp Sendeports ist auf None, UserName oder Certificate festgelegt, wenn die Option Anmeldeinformationen des Aushandlungsdiensts deaktiviert ist. – Der Sicherheitsmodus des WCF-NetMsmq Sendeports ist auf "Nachricht " oder "Beide" festgelegt. |
| Dienstauthentifizierung, Signaturüberprüfung und Verschlüsselung abhängig von den Sicherheitseinstellungen des Sendeports | Nicht verfügbar | Melden Sie sich als Administratoren auf jedem Computer an, auf dem BizTalk Server ausgeführt wird und der den Sendeport hostet. Importieren Sie die CA-Zertifikatskette für die Client-X.509-Zertifikate in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen auf dem Computer, damit der Dienst für diesen Sendeport authentifiziert werden kann. | Die Zertifikatskette der Zertifizierungsstelle für das Dienstzertifikat | Wenn Sie das Dienstzertifikat für das Dienstzertifikat - Thumbprint-Eigenschaft nicht explizit angeben, installieren Sie die Zertifizierungsstellenzertifikatkette für die X.509-Zertifikate des Diensts in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen in den folgenden Konfigurationen: – Der Sicherheitsmodus des WCF-BasicHttp Sendeports ist auf "Transport " oder " TransportWithMessageCredential" festgelegt. – Der Sicherheitsmodus des WCF-WSHttp Sendeports ist auf "Transport " oder " TransportWithMessageCredential" festgelegt. – Der Sicherheitsmodus des WCF-NetTcp Sendeports ist auf "TransportWithMessageCredential" festgelegt. – Die Eigenschaft des Transportclient-Anmeldeinformationstyps des WCF-NetTcp Sendeports ist auf "None" oder "Certificate" festgelegt. – Die Eigenschaft des Nachrichtenclient-Anmeldeinformationstyps des WCF-NetTcp Sendeports ist auf "None", "UserName" oder "Certificate" festgelegt. |
Hinweis
Da die standardmäßigen WCF-Sendeadapter den ChainTrust-Modus zum Überprüfen der Dienstzertifikate verwenden, müssen Sie die Zertifizierungsstelle-Zertifikatkette für die X.509-Dienstzertifikate installieren. Sie können die WCF-Custom oder die WCF-CustomIsolated Adapter verwenden, um dieses Standardverhalten zu ändern.
Hinweis
Für die Sendeports WCF-Custom und WCF-CustomIsolated variieren Benutzerkontext, Zertifikatspeicherort und Zertifikattyp der zu installierenden Zertifikate zwischen den Verhaltenseinstellungen von serviceCredentials und clientCredentials.
Hinweis
Wenn der Sendeport das Zertifikatelement für die Endpoint Identity-Eigenschaft verwendet, müssen Sie auch das Zertifikat für die erwartete Dienstidentität in den zertifikatsspeicher installieren, der in der Endpoint Identity-Eigenschaft angegeben ist.
Hinweis
Anstatt sich mit dem Hostinstanzdienstkonto oder Administratorkonto beim Computer anzumelden, können Sie alternativ den Befehl "Ausführen als" mit entsprechenden Konten verwenden, um dieselbe Aktion auszuführen.
Anzeigen der Zertifikatverwaltungskonsole
Führen Sie die folgenden Schritte aus, um die Benutzeroberfläche der Zertifikatverwaltungskonsole für den lokalen Computer und den aktuellen Benutzer anzuzeigen:
Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie MMC ein, und klicken Sie auf "OK ", um die Microsoft Management Console zu öffnen.
Klicken Sie im Menü "Datei " auf " Snap-In hinzufügen/entfernen" , um das Dialogfeld " Snap-In hinzufügen/entfernen " anzuzeigen.
Klicken Sie auf "Hinzufügen" , um das Dialogfeld " Eigenständiges Snap-In hinzufügen " anzuzeigen.
Wählen Sie "Zertifikate " aus der Liste der Snap-Ins aus, und klicken Sie dann auf "Hinzufügen".
Wählen Sie "Computerkonto" aus, klicken Sie auf "Weiter", und klicken Sie dann auf " Fertig stellen". Dadurch wird die Zertifikatverwaltungskonsolenschnittstelle für den lokalen Computer hinzugefügt.
Stellen Sie sicher, dass Zertifikate weiterhin aus der Liste der Snap-Ins ausgewählt sind, und klicken Sie dann erneut auf "Hinzufügen" .
Wählen Sie "Mein Benutzerkonto" aus, und klicken Sie dann auf "Fertig stellen". Dadurch wird die Zertifikatverwaltungskonsolenschnittstelle für den aktuellen Benutzer hinzugefügt.
Hinweis
Dadurch wird die Zertifikatverwaltungskonsole für das Konto angezeigt, bei dem Sie zurzeit angemeldet sind. Wenn Sie Zertifikate in den persönlichen Speicher für ein Dienstkonto importieren müssen, sollten Sie sich zuerst mit den Anmeldeinformationen des Dienstkontos anmelden.
Klicken Sie im Dialogfeld "Eigenständiges Snap-In" auf "Schließen".
Klicken Sie im Dialogfeld "Snap-In hinzufügen/entfernen" auf "OK".