若要協助保護 BizTalk Server 上的數據傳輸,您必須將證書存儲中安裝的憑證與適當的 BizTalk 成品產生關聯。 這適用於MIME/SMIME編碼的訊息。 它也適用於 AS2 傳輸,其會傳輸 MIME/SMIME 訊息。
使用下表作為 BizTalk Server 中可用之憑證使用案例和組態選項的參考。 提供詳細程序的主題列表位於本主題末尾的「此節內容」標題下。
| 憑證使用方式 | 用戶內容 | 證書存儲位置 | 憑證類型 | BizTalk 管理控制台中的組態參數 |
|---|---|---|---|---|
| 加密 (傳送) | 與傳送處理程式相關聯的主機實例所使用的帳戶 | 登入執行 BizTalk Server 的每部電腦,以裝載 S/MIME 編碼器管線,並將加密憑證匯入到本機 電腦 \ 其他人 存放區。 | 貿易夥伴公開憑證 | - 在 [傳送埠屬性] 對話方塊的 [憑證] 頁面上,指定加密憑證的 [一般名稱] 和 [指紋] 值。 - 在 [設定管線] 對話框中指定管線編碼選項。 在 [傳送埠屬性] 對話方塊的 [一般] 頁面上,按一下 [傳送管線] 下拉式清單旁的按鈕,即可顯示 [設定管線對話方塊]。 |
| 解密(接收) | 與接收處理程式相關聯的主機實例所使用的帳戶 | 登入執行 BizTalk Server 的每部電腦,將裝載 S/MIME 譯碼器管線作為每個主機實例服務帳戶,並將解密憑證匯入 目前使用者 \ Personal 存放區。 注意:若要讓管線解密在執行 IIS 6.0 或更新版本的電腦上成功,請確定 IIS 應用程式集區的帳戶和與接收處理程式相關聯之主機實例所使用的帳戶相同,而且此帳戶是 machineName>\IIS_WPG 群組的成員<。 如需為 IIS 設定 IIS 進程識別的詳細資訊,請參閱 BizTalk Server 說明中解決 IIS 許可權問題的指導方針。https://go.microsoft.com/fwlink/?LinkId=155161 這些進程必須在相同的帳戶下執行,以確保載入帳戶配置檔,進而載入管線中執行解密所需的登錄機碼。 基於效能考慮,IIS 不會在啟動相關聯的 w3wp.exe 程式時載入帳戶配置檔,因此 BizTalk Server 主機實例必須使用相同的帳戶進行設定,以便 BizTalk Server 載入帳戶配置檔和登錄機碼。 | 持有私有憑證 | - 在 [每個主機屬性] 對話方塊的 [憑證] 頁面上,指定解密憑證通用名稱和指紋的值。 - 在 [設定管線] 對話框中指定管線譯碼選項。 按一下 [接收位置屬性] 對話框的 [一般] 頁面上的 [接收管線] 下拉式清單旁的按鈕,即可顯示 [設定接收管線] 對話框。 |
| 簽章(發送) | 與傳送處理程式相關聯的主機實例所使用的帳戶 | 登入每部執行 BizTalk Server 並將裝載 S/MIME 編碼器管線的電腦,以每個主機實例服務帳戶身份登入,並將簽章憑證匯入 目前使用者 \ 個人 存放區。 | 持有私有憑證 | - 在 [BizTalk 群組屬性] 對話方塊的 [憑證] 頁面上,指定簽章憑證通用名稱和指紋的值。
注意: 每個 BizTalk Server 群組只能指定一個簽章憑證。 - 在 [設定管線] 對話框中指定管線編碼選項。 在 [傳送埠屬性] 對話方塊的 [一般] 頁面上,按一下 [傳送管線] 下拉式清單旁的按鈕,即可顯示 [設定管線對話方塊]。 |
| 簽章驗證(接收) | 與接收處理程式相關聯的主機實例所使用的帳戶 | 登入每部將承載 S/MIME 譯碼器管線的 BizTalk Server 電腦,並將簽章憑證匯入 本機電腦 \ 其他人 存放區。 | 貿易夥伴公開憑證 | - 在 [每一方屬性] 對話方塊的 [憑證] 頁面上,指定驗證憑證的通用名稱和指紋的值。 - 在 [設定管線] 對話框中指定管線譯碼選項。 按一下 [接收位置屬性] 對話框的 [一般] 頁面上的 [接收管線] 下拉式清單旁的按鈕,即可顯示 [設定接收管線] 對話框。 注意: 用於驗證一方簽章的憑證必須與用於驗證其他方簽章的憑證唯一且不同。 注意: [ 譯碼 ] 選項的設定需要部署具有MIME/SMIME 譯碼器元件的管線。 |
| 各方決議(通過) | 與接收處理程式相關聯的主機實例所使用的帳戶 | 登入 BizTalk Server 計算機以設定端點解析,並將憑證匯入 本機電腦 \ 其他人 存放區。 | 貿易夥伴公開憑證 | - 在 [每個主機屬性] 對話方塊的 [憑證] 頁面上,指定 [憑證通用名稱] 和 [指紋] 的值。 - 在 [設定管線] 對話框中指定 ResolveParty 選項。 按一下 [接收位置屬性] 對話框的 [一般] 頁面上的 [接收管線] 下拉式清單旁的按鈕,即可顯示 [設定接收管線] 對話框。 注意: 此選項的設定需要使用包含 當事方解析元件 的管線。 XMLReceive 管線包含代理解析元件。 |
| HTTPS (傳送) | 與傳送處理程式相關聯的主機實例所使用的帳戶 | SSL 通訊不需要用戶端憑證。 是否需要客戶端憑證由目標 Web 伺服器管理員決定。 如果目的地 Web 伺服器需要客戶端憑證,請遵循下列步驟: - 從貿易夥伴取得公開憑證。 - 以與傳送處理程式相關聯的主機實例所使用的帳戶登入執行 BizTalk Server 的每部電腦。 - 將憑證匯入 目前使用者 \ 個人 存放區。 如需將 IIS 設定為使用 SSL 的詳細資訊,請參閱知識庫文章 HOW TO:在 Windows Server 2003 的網頁伺服器上安裝匯入的憑證 (https://go.microsoft.com/fwlink/?LinkId=155162)。 如需如何使用 Windows Server 2003 憑證服務網頁取得憑證的資訊,請參閱 使用 Windows Server 2003 憑證服務網頁 (https://go.microsoft.com/fwlink/?LinkID=69975)。 注意: 若要使用憑證服務網頁從 Windows Server 2008 計算機取得憑證,請參閱 Microsoft 知識庫文章,922706位於 https://go.microsoft.com/fwlink/?LinkId=155317 (https://go.microsoft.com/fwlink/?LinkId=155317)。 |
貿易夥伴公開憑證 |
-
HTTP 傳輸 - 在 [HTTP 傳輸內容] 對話方塊的 [驗證] 索引標籤上設定 SSL 用戶端憑證指紋選項。 按兩下 [傳送埠屬性] 對話框的 [一般] 頁面上的 [設定] 按鈕,即可顯示 [HTTP 傳輸屬性] 對話框。 - SOAP 傳輸 - 在 [SOAP 傳輸內容] 對話方塊的 [一般] 索引標籤上設定 [用戶端憑證指紋] 選項。 按兩下 [傳送埠屬性] 對話框的 [一般] 頁面上的 [設定] 按鈕,即可顯示 [SOAP 傳輸屬性] 對話框。 |