我需要在 BizTalk Server 2006 R2 中创建一个 AS2 连接以与业务伙伴进行通信。我之前使用过 BizTalk AS2 配置,BizTalk 文档对如何配置所有内容都有很好的演练,但他们没有谈论如何获取/生成证书,我在那里没有太多经验。
生成密钥对的最佳方法是什么?我对该过程的基本理解是,您生成公钥和私钥(.pfx 文件?),安装它们,导出公钥证书(.cer?)并将其发送给合作伙伴。该证书不会用于 HTTPS,仅用于 AS2 连接,并且合作伙伴已声明它可以自签名(不需要受信任的 CA?)。我们以 .cer 文件的形式以安全的方式直接与合作伙伴交换公钥证书。MakeCert 是一个合适的工具吗?
我相信我们需要对加密和签名使用相同的密钥,因此根据文档,证书的密钥使用属性必须包括数字签名和数据加密或密钥加密。
谢谢!
您当然可以使用 MakeCert 生成的自签名密钥进行 AS2 安全和签名。根据正在实施的 AS2 的风格(总共有 12 个),您不需要同时进行加密和签名,但 AS2 的标准用法是使用或不使用 MDN 进行签名和加密通信,为此您通常会使用单个证书.
正如您所说,BizTalk 文档和 SDK 中有大量关于 AS2 的信息。但是,我认为值得指出这个 MSDN 页面http://msdn.microsoft.com/en-us/library/bb728096(BTS.20).aspx,因为它非常详细地介绍了证书的安装。配置非常特殊,如果您没有在正确的用户下的正确商店和 BizTalk 的正确部分(分配给各方、组和发送端口)中获得正确的证书,那么您可能会遇到麻烦。我发现在这部分配置中完全遵循文档是值得的。
要记住的一件重要事情是,您的 AS2 接收在 BizTalk 隔离主机下运行,因此接收证书需要在该存储中。
我还发现阅读AS2 RFC很有趣且很有帮助(认为没有必要) 。