在 Biztalk 中为 WCF-BasicHttp 发送适配器使用 SSL 证书

Question

我有一个业务流程，它通过 SAP 公开的 soap 端点向 SAP 发送消息。 我正在使用 WCF-BasicHttp 发送适配器（进程中）。

正如您在下面看到的，早些时候 url 是 http，现在他们已经将他们的系统移动到云端，所以现在他们有 https 端点。

我想测试这个从 http->https 的变化，所以我将 url 修改为 https，填写基本身份验证的凭据。它在没有 SSL 证书的测试系统中工作正常，我需要确保它在转移到生产系统后不会引起任何问题。

我的问题是， 1/ 它在生产系统中是否也能像在没有 SSL 证书的测试中一样工作？ 2/ 或者我是否需要为 WCF-BasicHttp 适配器应用 SSL，如果是，我该怎么做？？

Answer 1

如果您要迁移到 https URL，SSL/TLS 握手必须使用证书。很多时候，特定端点使用的证书是由第三方受信任的根 CA 签名的，例如Trustwave、DigiCert 等和这些根 CA 证书在大多数系统上已经是可信的。在您的测试系统中，您的端点证书 Root CA 可能已经受信任，这就是您不需要安装证书的原因。为了检查这一点，您可以执行以下操作：

1. 在 chrome/IE
中的浏览器中浏览您的 https 服务 url
2. 寻找 Security/Lock 标志以找到它的证书。单击锁标志将打开证书。
3. 通过转到证书路径检查证书根。您应该在路径中看到一串证书。证书可以仅由根 CA 或先由中间 CA 签名，然后由根 CA 签名。例如

——Trustwave根 ---- Trustwave中介 ——服务证书

或者

——一些根 ——服务证书

4. 检查根 CA 是否在系统的受信任根存储中。中介证书（如果适用）在中介证书商店中。您可以通过在 Windows->运行 中使用 mmc 命令打开证书 mmc 管理单元并添加本地计算机的证书管理单元来检查这一点。
5. 如果根 CA 证书和中间证书不在您的系统存储中。 SSL/TLS 握手将无法成功完成，BizTalk 发送端口将无法工作。
6. 如果这些都安装好了，你应该就好了。否则在本地计算机商店安装这些证书。

验证端点证书在 BizTalk 系统上是否可信的另一种方法是使用发送主机为 运行 的服务帐户登录，然后在 IE 中浏览 URL。如果你没有得到任何 Cert 错误，并且 URL 打开如 wsdl URL，那么你就很好。如果您收到证书错误，这意味着端点证书不受信任，您需要如上所述安装证书。

一些参考： View Certificate Working with Certificates