Fehlerbehebung für Zertifikate
Microsoft BizTalk Server können digitale PKI-Zertifikate (Public Key Infrastructure) für die Ver- und Entschlüsselung von Dokumenten, das Signieren und Verifizieren von Dokumenten (ohne Ablehnung) und für die Auflösung von Parteien verwenden. In diesem Thema werden verschiedene Szenarien für die Verwendung von Zertifizierungen und Konfigurationsoptionen beschrieben und einige allgemeine Richtlinien für die Verwendung digitaler Zertifikate mit BizTalk Server.
Verwendungsszenarien und Konfigurationsoptionen für Zertifikate
Die meisten Probleme, die bei der Verwendung von Zertifikaten mit BizTalk Server auftreten, sind das Ergebnis einer falschen oder unvollständigen Konfiguration. Wird zum Beispiel das richtige Zertifikat in den falschen Zertifikatspeicher oder das falsche Zertifikat in den richtigen Speicher importiert oder werden in der BizTalk-Verwaltungskonsole falsche Informationen eingegeben, führt dies beim Verwenden des Zertifikats zu Laufzeitfehlern.
Verwenden Sie die folgende Tabelle als Referenz für die in BizTalk Server verfügbaren Zertifikatverwendungsszenarien und Konfigurationsoptionen:
| Zertifikatverwendung | Benutzerkontext | Zertifikatspeicherort | Zertifikattyp | Verwendete Pipelinekomponente | Konfigurationsparameter in der BizTalk Server-Verwaltungskonsole |
|---|---|---|---|---|---|
| Verschlüsselung (Senden) | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugewiesen ist. | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der S/MIME-Encoderpipelines hostet, und importieren Sie das Verschlüsselungszertifikat in den Personen Speicher "Lokaler Computer \Sonstiges". | Öffentliches Zertifikat des Handelspartners | MIME/SMIME-Encoder | – Geben Sie werte für den allgemeinen Namen und fingerabdruck des Verschlüsselungszertifikats auf der Seite Zertifikat des Dialogfelds Porteigenschaften senden an. – Geben Sie optionen für die Pipelinecodierung im Dialogfeld Pipeline konfigurieren an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf die Schaltfläche neben der Dropdownliste Pipeline senden auf der Seite Allgemein des Dialogfelds Sendeporteigenschaften klicken. |
| Entschlüsselung (Empfangen) | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der S/MIME-Decoderpipelines als jeden Host instance Dienstkonto hostet, und importieren Sie das Entschlüsselungszertifikat in den Speicher Aktueller Benutzer\ Persönlicher. Hinweis: Damit die Pipelineentschlüsselung auf einem IIS 7.0-Computer erfolgreich ist, stellen Sie sicher, dass das Konto für den IIS-Anwendungspool und das konto, das vom Host verwendet instance, das dem Empfangshandler zugeordnet ist, identisch sind und dass dieses Konto Mitglied der <Gruppe machineName>\IIS_WPG ist. Weitere Informationen zum Festlegen der IIS-Prozessidentität für IIS 7.0 finden Sie unter Richtlinien zum Beheben von PROBLEMEN mit IIS-Berechtigungen. Diese Prozesse müssen unter demselben Konto ausgeführt werden, um sicherzustellen, dass das Kontoprofil geladen wird, das wiederum die zum Durchführen der Entschlüsselung in der Pipeline erforderlichen Registrierungsschlüssel lädt. Aus Leistungsgründen lädt IIS 6.0 das Kontoprofil beim Starten des zugeordneten w3wp.exe Prozesses nicht, sodass die BizTalk Server Host-instance mit demselben Konto konfiguriert werden muss, damit BizTalk Server das Kontoprofil und die Registrierungsschlüssel laden. | Eigenes privates Zertifikat | MIME/SMIME-Decoder | – Geben Sie Werte für den Allgemeinen Namen des Entschlüsselungszertifikats und den Fingerabdruck auf der Seite Zertifikate jedes Dialogfelds Hosteigenschaften an. – Geben Sie optionen für die Pipelinedecodierung im Dialogfeld Pipeline konfigurieren an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie im Dialogfeld Eigenschaften des Empfangsspeicherorts auf der Seite Allgemein auf die Schaltfläche neben der Dropdownliste Empfangspipeline klicken. |
| Signatur (Senden) | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugewiesen ist. | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, der S/MIME-Encoderpipelines als jeden Host instance Dienstkonto hostet, und importieren Sie das Signaturzertifikat in den Speicher Aktueller Benutzer\ Persönlicher. | Eigenes privates Zertifikat | MIME/SMIME-Encoder | – Geben Sie Werte für den allgemeinen Namen und fingerabdruck des Signaturzertifikats auf der Seite Zertifikat des Dialogfelds BizTalk-Gruppeneigenschaften an. Hinweis: Pro BizTalk Server Gruppe kann nur ein Signaturzertifikat angegeben werden. – Geben Sie optionen für die Pipelinecodierung im Dialogfeld Pipeline konfigurieren an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie auf die Schaltfläche neben der Dropdownliste Pipeline senden auf der Seite Allgemein des Dialogfelds Sendeporteigenschaften klicken. |
| Signaturverifizierung (Empfangen) | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, auf dem S/MIME-Decoderpipelines gehostet werden, und importieren Sie das Signaturzertifikat in den Personen Speicher "Lokaler Computer\Sonstiges". | Öffentliches Zertifikat des Handelspartners | MIME/SMIME-Decoder | – Geben Sie werte für den allgemeinen Namen des Überprüfungszertifikats und den Fingerabdruck auf der Seite Zertifikate der einzelnen Parteieneigenschaften an. – Geben Sie optionen für die Pipelinedecodierung im Dialogfeld Pipeline konfigurieren an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie im Dialogfeld Eigenschaften des Empfangsspeicherorts auf der Seite Allgemein auf die Schaltfläche neben der Dropdownliste Empfangspipeline klicken. Hinweis: Die Konfiguration der Decodierungsoption erfordert, dass eine Pipeline mit der MIME/SMIME-Decoderkomponente bereitgestellt wird. |
| Auflösen der Partei (Empfangen) | Das Konto, das von der Hostinstanz verwendet wird, die dem Empfangshandler zugeordnet ist | Melden Sie sich bei dem BizTalk Server Computer an, von dem die Parteienauflösung konfiguriert wird, und importieren Sie das Zertifikat in den Speicher Lokaler Computer \ Andere Personen. | Öffentliches Zertifikat des Handelspartners | Parteiauflösung | – Geben Sie werte für den allgemeinen Namen und fingerabdruck des Zertifikats auf der Seite Zertifikate jedes Dialogfelds Hosteigenschaften an. – Geben Sie resolveParty-Optionen im Dialogfeld Pipeline konfigurieren an. Das Dialogfeld Pipeline konfigurieren wird angezeigt, indem Sie im Dialogfeld Eigenschaften des Empfangsspeicherorts auf der Seite Allgemein auf die Schaltfläche neben der Dropdownliste Empfangspipeline klicken. Hinweis: Die Konfiguration dieser Option erfordert die Verwendung einer Pipeline, die die Parteiauflösungskomponente enthält. Die XMLReceive-Pipeline enthält die Party-Auflösungskomponente . |
| HTTPS (Senden) | Konto, das von der Hostinstanz verwendet wird, die dem Sendehandler zugewiesen ist. | Für SSL-Kommunikation ist kein Clientzertifikat erforderlich. Ob ein Clientzertifikat erforderlich ist, liegt im Ermessen des Administrators des Zielwebservers. Wenn der Zielwebserver ein Clientzertifikat erfordert, gehen Sie wie folgt vor: - Beschaffen Sie das öffentliche Zertifikat vom Handelspartner. – Melden Sie sich bei jedem Computer an, auf dem BizTalk Server ausgeführt wird, als das konto, das vom Host verwendet instance, das dem Sendehandler zugeordnet ist. – Importieren Sie das Zertifikat in den Speicher Aktueller Benutzer \ Persönlicher Speicher. Informationen zum Abrufen eines Zertifikats mithilfe von Windows Server 2008-Zertifikatdiensten-Webseiten finden Sie unter Anfordern eines Zertifikats über das Web. |
Öffentliches Zertifikat des Handelspartners | Nicht verfügbar | - HTTP-Transport : Legen Sie die Option SSL-Clientzertifikatfingerabdruck auf der Registerkarte Authentifizierung des Dialogfelds HTTP-Transporteigenschaften fest. Das Dialogfeld HTTP-Transporteigenschaften wird angezeigt, indem Sie im Dialogfeld Porteigenschaften senden auf der Seite Allgemein auf die Schaltfläche Konfigurieren klicken. - SOAP-Transport : Legen Sie die Option Clientzertifikatfingerabdruck auf der Registerkarte Allgemein des Dialogfelds SOAP-Transporteigenschaften fest. Das Dialogfeld SOAP-Transporteigenschaften wird angezeigt, indem Sie im Dialogfeld Porteigenschaften senden auf der Seite Allgemein auf die Schaltfläche Konfigurieren klicken. |
So zeigen Sie die Zertifikatverwaltungskonsole-Schnittstelle für „Lokaler Computer“ und „Aktueller Benutzer“ an
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie MMC ein, und klicken Sie auf OK , um die Microsoft-Verwaltungskonsole zu öffnen.
Klicken Sie auf das Menü Datei , und klicken Sie dann auf Snap-In hinzufügen/entfernen , um das Dialogfeld Snap-In hinzufügen/entfernen anzuzeigen.
Wählen Sie in der Liste der verfügbaren Snap-Ins Zertifikate aus, und klicken Sie auf Hinzufügen.
Wählen Sie Computerkonto aus, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen. Dadurch wird die Schnittstelle für die Zertifikatverwaltungskonsole für den lokalen Computer hinzugefügt.
Stellen Sie sicher, dass in der Liste der Snap-Ins weiterhin Zertifikate ausgewählt ist, und klicken Sie dann erneut auf Hinzufügen .
Wählen Sie Mein Benutzerkonto aus, und klicken Sie dann auf Fertig stellen. Dadurch wird die Benutzeroberfläche der Zertifikatverwaltungskonsole für Aktueller Benutzer hinzugefügt.
Hinweis
Dadurch wird die Zertifikatverwaltungskonsole für das Konto angezeigt, mit dem Sie derzeit angemeldet sind. Wenn Sie Zertifikate in den Speicher „Persönlich“ für ein Dienstkonto importieren möchten, müssen Sie sich vorher mit den Anmeldeinformationen des Dienstkontos anmelden.
Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf die Schaltfläche OK.
Allgemeine Richtlinien
Stellen Sie sicher, dass das importierte Zertifikat für den beabsichtigten Zweck verwendet wird: Doppelklicken Sie dazu in der Benutzeroberfläche der Zertifikatverwaltungskonsole auf das Zertifikat, und klicken Sie dann im Dialogfeld Zertifikat auf die Registerkarte Details. Klicken Sie dann auf die Option Alle für die Dropdownliste Anzeigen , und klicken Sie dann, um die Felder Schlüsselverwendung und/oder erweiterte Schlüsselverwendung auszuwählen, um den beabsichtigten Zweck zu überprüfen. Wenn BizTalk Server versucht, ein Zertifikat für einen anderen als den beabsichtigten Zweck zu verwenden, tritt ein Laufzeitfehler auf.
Testen Der Verbindung mit der Zielwebsite: Wenn Sie SSL verwenden, stellen Sie sicher, dass Sie eine Verbindung mit der Zielwebsite über internet Explorer herstellen können, bevor Sie versuchen, eine Verbindung mit der Zielwebsite mit den HTTP- oder SOAP-Transporten herzustellen. Stellen Sie sicher, dass keine Dialogfelder im Internet Explorer angezeigt werden, wenn Sie eine Verbindung mit der Zielwebsite herstellen. BizTalk Server verfügt über keinen Mechanismus für die Verbindung mit Dialogfeldern, die beim Herstellen einer Verbindung mit der Zielwebsite angezeigt werden. Ein Dialogfeld kann vom Internet Explorer angezeigt werden, wenn der Name der Zielwebsite nicht mit dem namen übereinstimmt, der für die Website im SSL-Zertifikat angegeben wurde oder sich die Stammzertifizierungsstelle für das SSL-Zertifikat nicht im entsprechenden Speicher für vertrauenswürdige Stammzertifizierungsstellen befindet.
Verwenden Sie das SSL-Diagnosetool, um SSL-Verbindungsprobleme zu analysieren: Das SSL-Diagnosetool ist eine optionale Komponente des IIS-Diagnosetoolkits. Weitere Informationen finden Sie unter IIS-Diagnosetools.
Stellen Sie sicher, dass das Zertifikat gültig ist. BizTalk Server fordert Sie nicht auf, wenn das Zertifikat abgelaufen ist. Stattdessen hält BizTalk Server die Nachricht an.