为BizTalk AS2连接创建密钥对

Question

我需要在BizTalk Server2006 R2中创建AS2连接以与业务伙伴通信。我以前使用过BizTalk AS2配置，BizTalk文档对如何配置所有内容都有很好的演练，但它们并没有讨论如何获取/生成证书，而且我在这方面也没有太多经验。

生成密钥对的最佳方法是什么？我对这个过程的基本理解是:生成公钥和私钥(.pfx文件？)，安装它们，导出公钥证书(.cer?)并将其发送给合伙人。证书将不用于HTTPS，仅用于AS2连接，并且合作伙伴已声明它可以自签名(不需要信任的CA?)。我们以.cer文件的形式以安全的方式直接与合作伙伴交换公钥证书。MakeCert是一个合适的工具吗？

我认为我们需要使用相同的密钥进行加密和签名，因此根据文档，证书的密钥使用属性必须包括数字签名和数据加密或密钥加密。

谢谢!

Answer 1

您当然可以为AS2安全性和签名使用MakeCert生成的自签名密钥。根据所实现的AS2的不同(总共有12种)，您不需要同时进行加密和签名，但AS2的标准用法是签名和加密通信，使用或不使用MDN，为此，您通常会使用单个证书。

正如您所说，在BizTalk文档和软件开发工具包中有大量关于AS2的信息。我认为有必要指出这个MSDN页面http://msdn.microsoft.com/en-us/library/bb728096(BTS.20).aspx，因为它非常详细地介绍了证书的安装。配置非常特殊，如果您没有在正确的存储、正确的用户和BizTalk的正确部分(分配给参与方、组和发送端口)中获得正确的证书，那么您可能会遇到麻烦。我发现在这部分配置中遵循文档是值得的。

要记住的一件重要事情是，您的AS2接收在BizTalk IsolatedHost下运行，因此接收的证书需要在该存储中。

我还发现阅读AS2 RFC很有趣，也很有帮助(虽然没必要)。