BizTalk 2010 发送 FTPS - 何时需要客户端证书哈希“指纹”?

【问题标题】:BizTalk 2010 Send FTPS - when is client certificate hash "thumbprint" needed?BizTalk 2010 发送 FTPS - 何时需要客户端证书哈希“指纹”?
【发布时间】:2015-03-03 14:46:56
【问题描述】:

基于这个post,目前还不清楚是否需要证书。我从那篇文章中得到的最重要的一句话是:

“我联系了 MS BizTalk 支持,他们要求我不要使用 证书,只需在没有证书的情况下通过 SSL 使用 FTP。我们也 将 ftp 防火墙模式更改为被动,并将存储分配为 no。”

还咨询了这个post。 如果 FileZilla 客户端可以在没有本地证书的情况下连接并向客户/供应商发送文件,那么为什么 BizTalk 需要一个 FTP SendPort 中的文件?

其次,如果不需要它,你会在什么情况下在 FTP SendPort 上使用它。

据我了解,该证书是与 BizTalk 主机帐户在 BizTalk 机器上的个人存储相关的一些证书,而不是我们正在与之通信的客户/供应商的指纹。

对于BT2013,这是MSDN的神秘定义:

指定必须使用的客户端证书的 SHA1 哈希值 安全套接字层 (SSL) 协商。

根据这个哈希值,客户端证书是从 BizTalk 主机下的用户帐户的个人存储 实例正在运行。

本声明并未就何时需要或期望提供指导。 这是主题上的other good blog,但也暗示需要证书,这与早期链接中的 Microsoft 支持相矛盾。

【问题讨论】:

  • 注意:另一个教训是,每次对 SendPort 进行更改时,都必须重新启动 BizTalk 的 FTP 主机实例。我在某处读到的理论是“传输之间的 ftp 连接没有关闭。”

标签: ftp ssl-certificate biztalk biztalk-2010 ftps


【解决方案1】:

当 FTPS 服务器需要使用客户端证书进行身份验证时,您需要使用客户端证书。当服务器不需要时,您不会使用它(这是一种更常见的方式)。

FileZilla 根本不支持客户端证书。如果您能够连接 FileZilla,则您的 FTPS 服务器不需要使用客户端证书进行身份验证。因此,您只需将 BizTalk 中的相应字段留空即可。

【讨论】:

  • 也许发现了一个例外——你同意我同事的这个说法吗?为了让 Biztalk 接受自签名证书,我们需要将证书加载到受信任的证书存储中,否则当 Biztalk 获得 SSL 证书时它无法验证它。
  • 是的,你的同事是对的。您需要将自签名 SSL 证书的公钥添加到您的受信任证书存储中(对于运行主机的用户)。
  • 但是在那种情况下,即使我们将证书添加到存储中,我们是否需要我们的证书的指纹?我们的一个附带问题是自签名证书与降低解析速度的站点名称不匹配。
  • 抱歉,有一处混淆。当我说证书时,我实际上指的是我们的证书,其指纹已输入到 SendPort 的 BizTalk 的“客户端证书哈希”字段中。我认为现在 Martin 和 @Dijkgraaf 都指的是客户证书,我们尚未在本地证书存储中安装该证书。
  • @NealWalters 是的,在这种情况下,您没有使用客户端证书进行身份验证。只需 FTP 服务器上的 SSL 证书即可对流量进行加密。因此,只有当 SSL 证书在 FTP 服务器上自签名时,您才需要在这种情况下将其添加到您的证书存储中。
猜你喜欢
  • 1970-01-01
  • 2013-06-06
  • 1970-01-01
  • 2018-08-11
  • 2012-10-01
  • 2011-05-04
  • 2018-12-08
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode