BizTalk 上 HTTPS 的 X509 证书错误

Question

我想通过 BizTalk server 2009 向 HTTPS 适配器发送请求。我的 BizTalk 适配器是动态的，它从数据库中获取配置详细信息，而不是直接在服务器上提及。

我已在浏览器中安装了 X509 证书并将其导入 MMC。

我的 BizTalk 出现以下错误

在发送端口“sndHL7”上使用 URI“https://xxxxxxxxx/imm/test (https://xxxxxxxxxxxxx/imm/test)”发送到适配器“HTTP”的消息被暂停。 错误详情：底层连接已关闭：无法为 SSL/TLS 安全通道建立信任关系

我搜索了这个错误，但每个地方我只得到以下响应：

错误：– 详细信息：“底层连接已关闭：无法为 SSL/TLS 安全通道建立信任关系。

解决方案：如果客户端证书配置不正确，通常会出现错误信息。您应该检查您是否已在托管 HTTP 适配器的 BizTalk 服务帐户下的证书存储中配置您的客户端证书。

我不知道如何在正确的证书存储中配置该证书。我有 3 个扩展名为 .cer、.cer 和 .pfx 的文件。扩展名为 .pfx 的文件需要密码才能在任何商店中安装。

另外，如何在 BizTalk 服务帐户下配置证书？在 MMC 中添加管理单元时是否应该选择“服务帐户”，然后从服务列表中选择 BizTalk 服务。

Answer 1

我不了解 biztalk，但如果您要出示证书，则需要相关的私钥。证书就像带照片的身份证。它很难伪造，但它仍然不能证明你的身份，除非你能把你的脸拿出来让别人与身份证进行比较。假设文件扩展名与文件的实际格式匹配，则 cer 文件是没有私钥的 DER、BER 或 PEM 编码证书。所以你需要 pfx 文件。因此，如果错误消息中建议的解决方案是正确的，您需要找到该密码并将 PFX 文件中的证书和私钥安装到存储中。

Answer 2

这两个 .cer 文件必须是根授权和服务器证书，并且您必须信任它们。因此您需要将它们放在您的本地机器信任的根证书存储中。 （使用 MMC）

现在 .pfx 文件将包含您将传入的客户端身份验证证书进行身份验证。将此证书导入本地机器，个人（或我的证书存储，如果使用命令行）检查私钥是否可导出。

现在允许 BizTalk 服务帐户访问此证书的私钥。

MMC 使用 add snap in 并添加本地机器。

在个人右键-AllTask​​s-管理私钥中选择客户端证书。现在将您的 BizTalk 服务帐户添加为用户并授予访问权限。

或者在命令行中使用 winhttpcertcfg 工具