BizTalk动手实验(十五)AS2消息安全传输
更多内容请查看:BizTalk动手实验系列目录
1 课程简介
本课程将配置AS2相关的安全传输配置,学员可以通过本课程熟悉相关的安全配置。
2 准备工作
为了模拟实际的B2B交互过程,本实验需要2台BizTalk Server 2010虚拟机(两两学员配合完成)。Contoso使用BizTalk为消息发送方,Fabrikam使用BizTalk为消息接收方。![clip_image002[4]](http://images0.cnblogs.com/blog/28375/201302/22151724-2adff6f45ab84ea7a6ee15df9de7b351.png "clip_image002[4]")
在进行本课程之前请先完成《AS2传输非EDI消息》!本课程将不再介绍相关程序相应端口的配置过程。
3 演示
3.1 申请证书
注:本实验的证书可能根据实际情况直接给予证书或申请的方式,如果直接给予证书,请忽略本节内容.
3.1.1 访问证书服务器,将证书服务器添加到本地安全站点中。点击请求一个证书。
![clip_image004[4]](http://images0.cnblogs.com/blog/28375/201302/22151726-a84b83aa8b154eb0b72fb9b4bfa4590b.png "clip_image004[4]")
3.1.2 在弹出的页面中选择高级
3.1.3 在证书标识中输入相关信息
![clip_image006[4]](http://images0.cnblogs.com/blog/28375/201302/22151729-12311d3426f447c9a45469a9b74de546.png "clip_image006[4]")
3.1.4 在Key Options中如下图所示进行选择
![clip_image007[4]](http://images0.cnblogs.com/blog/28375/201302/22151732-2b5b98b0f06b40d9838bcd0fc36b8be8.png "clip_image007[4]")
3.1.5 证书申请完毕,等待审核
![clip_image009[4]](http://images0.cnblogs.com/blog/28375/201302/22151734-11111f7bf7934d649cd82568b3b9e902.png "clip_image009[4]")
3.1.6 证书申请通过之后通过证书申请页面的View the status of a pending certificate request 链接查看证书。点击相应的证书进行安装
![clip_image011[4]](http://images0.cnblogs.com/blog/28375/201302/22151738-cb77dec87ad346e5b403d34e6d5a573f.png "clip_image011[4]")
3.2 安装根证书
点击安装安装CA证书,
![clip_image013[4]](http://images0.cnblogs.com/blog/28375/201302/22151740-13206f7f4473455a91ee674e2dffdb31.png "clip_image013[4]")
根据证书安装向导将CA证书安装到Trusted Root Certification Authorities.
![clip_image015[4]](http://images0.cnblogs.com/blog/28375/201302/22151743-b20f8652851045a19cd04c8d1ba3b7e5.png "clip_image015[4]")
3.2.1 完成CA证书安装之后,刷新页面,点击安装证书
![clip_image017[4]](http://images0.cnblogs.com/blog/28375/201302/22151747-3aa44b8055404add8e9ed1d121459aeb.png "clip_image017[4]")
3.2.2 在”运行”(Ctrl+R)命令行中输入mmc,分别添加当前账户和本地计算机账户的证书管理。
![clip_image019[4]](http://images0.cnblogs.com/blog/28375/201302/22151751-ea077a7c029f40ce8d1cb6aec2079461.png "clip_image019[4]")
3.2.3 确认CA证书在Trusted Root Certification Authorities节点下面。
![clip_image021[4]](http://images0.cnblogs.com/blog/28375/201302/22151756-e749e9c61e1641808ef29a9f27886a30.png "clip_image021[4]")
3.2.4 确认新申请的证书在当前用户下面
![clip_image023[4]](http://images0.cnblogs.com/blog/28375/201302/22151800-90e85d55538849c88f116ecea84f5138.png "clip_image023[4]")
3.2.5 右键个人证书,选择导出
![clip_image024[4]](http://images0.cnblogs.com/blog/28375/201302/22151802-64b229b3780c46a59195c00cab2df730.png "clip_image024[4]")
3.2.6 选择不导出私钥
![clip_image026[4]](http://images0.cnblogs.com/blog/28375/201302/22151804-dd9a3b3655c24f0b92c8c3ce3aabe217.png "clip_image026[4]")
3.2.7 格式选择DER
![clip_image028[4]](http://images0.cnblogs.com/blog/28375/201302/22151807-485becc5aeb04191b3cd018ccd89a249.png "clip_image028[4]")
3.2.8 选择输出文件位置保存。
3.2.9 参照3.1及3.2点配置另一台BizTalk服务器证书
3.2.10 交换两台服务器证书(公钥),并将对方的证书导入到本地服务器的其他账户下。
![clip_image030[4]](http://images0.cnblogs.com/blog/28375/201302/22151810-c05a6a9094cd40f29f15b0a4d65172a0.png "clip_image030[4]")
3.3 BizTalk绑定证书
3.3.1 配置好之后参照如下要求,绑定相应证书
|
证书用途 |
证书类型 |
管道组件 |
用户上下文 |
证书存储区 |
定义位置 |
|
签名(出站) |
自己的私钥 (.pfx) |
AS2 编码器 |
与发送处理程序相关联的主机实例使用的帐户。 |
每台承载 AS2 编码器管道的 BizTalk Server 上针对每个主机实例服务帐户的“当前用户\个人”存储区 |
• “组属性”对话框的“证书”页。发送已签名的文档时使用的默认签名证书。 • 可以覆盖默认证书设置,而为不同的参与方使用不同的证书。您可以通过选择“协议属性”对话框单向协议选项卡的“证书签名”页中的“覆盖组签名证书”,实现操作,然后指定签名证书。如果已设置此属性,使用“签名证书”页中提供的证书,而不是提供为 BizTalk 组属性一部分的证书签名解决协议的 AS2 消息。 |
|
加密(出站) |
贸易合作伙伴的公钥 (.cer) |
AS2 编码器 |
与发送处理程序相关联的主机实例使用的帐户。 |
每台承载 AS2 编码器管道的 BizTalk Server 上的“本地计算机\其他人”存储区 |
“发送端口属性”对话框的“证书”页 |
|
解密(入站) |
自己的私钥 (.pfx) |
AS2 解码器 |
与接收处理程序关联的主机实例使用的帐户。 |
每台承载 AS2 解码器管道的 BizTalk Server 上针对每个主机实例服务帐户的“当前用户\个人”存储区 |
AS2 解码器将根据消息中的证书信息确定证书。 对于 BizTalk MIME 解码器,证书必须在用于接收消息的主机的“证书”页上。对于 AS2 解码器,则不一定是这样。 |
3.3.2 用于签名的 证书(自己的公钥)【服务器组进行配置】
![clip_image032[4]](http://images0.cnblogs.com/blog/28375/201302/22151817-99b072894c1f4ba18f5ca55de7029685.png "clip_image032[4]")
3.3.3 用于发送加密消息的证书(对方的公钥)【发送端口进行配置】
![clip_image034[4]](http://images0.cnblogs.com/blog/28375/201302/22151819-174b6a88d3394fc7bad6b58759dd3689.png "clip_image034[4]")
3.3.4 解密入站消息的证书配置在接收主机上(自己的么钥)【接收主机】
![clip_image036[4]](http://images0.cnblogs.com/blog/28375/201302/22151820-d2fc37fe2e7043589bd8dfc42e044480.png "clip_image036[4]")
3.4 配置AS2协议
3.4.1 在发送服务器Contoso -> AS2协议的Contoso->Fabrikam页中进行配置,其他选项页及服务器不需要配置。
3.4.2 在Validation下配置输出消息签名、压缩、验证等配置
![clip_image038[4]](http://images0.cnblogs.com/blog/28375/201302/22151824-8f7ac94331f14b83a0ca1bb953b3efad.png "clip_image038[4]")
3.4.3 在Acknowledgements(MDNs)下配置返回MDN的配置
![clip_image040[4]](http://images0.cnblogs.com/blog/28375/201302/22151828-6e78fb43e8db443d9cb9511bddc47c45.png "clip_image040[4]")
3.5 测试
注:本测试是基于《AS2传输非EDI消息》成功完成的基础上进行的,如未完成之前的测试请先完成。
3.5.1 Validation中只选中”Message Should be signed” ,保存,重启实例,发送文件测试。
![clip_image042[4]](http://images0.cnblogs.com/blog/28375/201302/22151831-4060520db50a4520af36472d71aa97b3.png "clip_image042[4]")
通过TcpTrace的跟踪我们可以看到相应的标记
![clip_image044[4]](http://images0.cnblogs.com/blog/28375/201302/22151834-92172273761043028303fc549e9aab8b.png "clip_image044[4]")
3.5.2 再选中”Message should be encrypted”,保存,重启实例,发送文件测试。
![clip_image046[4]](http://images0.cnblogs.com/blog/28375/201302/22151837-55743b9c58a44a279caab6c9f722cd3f.png "clip_image046[4]")
AS2报头为
![clip_image048[4]](http://images0.cnblogs.com/blog/28375/201302/22151839-2afbaf02b56c4e11a3f8ee1903a768db.png "clip_image048[4]")
3.5.3 再选中“Validation setting for inbound messages”, 保存,重启实例,发送文件测试。
![clip_image050[4]](http://images0.cnblogs.com/blog/28375/201302/22151842-acee2fc9fa6748d88f0508fdac034434.png "clip_image050[4]")
AS2报头为
![clip_image052[4]](http://images0.cnblogs.com/blog/28375/201302/22151844-b1bad8d22a5047c7a096276daa9bc269.png "clip_image052[4]")
3.5.4 同理在Acknowledgements(MDNs)中配置不同的签名算法
![clip_image054[4]](http://images0.cnblogs.com/blog/28375/201302/22151845-b6f48c07278a4b0ea333897c448819e9.png "clip_image054[4]")
返回的消息也会不同
![clip_image055[4]](http://images0.cnblogs.com/blog/28375/201302/22151848-6455216297b5475bba1504e5a4c8eb6d.png "clip_image055[4]")
posted on 2013-02-22 15:19 Gary Zhang 阅读(1059) 评论(0) 编辑 收藏 举报
