Service Broker 使用错误的证书

看来您正在使用Dialog Level Security。这意味着您已经部署了远程服务绑定、用户和证书，成功交换了证书并授予SEND了对目标服务的权限。例如，如果您有一个 DB1 和一个 DB2，并且在 DB1 中有一个服务 S1，在 DB2 中有一个服务 S2，那么，要开始从 S1 到 S2 的安全对话，您还必须具有：

• 在拥有 S1 的用户所拥有的 DB1 中创建证书 C1，比方说 U1（通常是 dbo）
• 在拥有 S2 的用户所拥有的 DB2 中创建证书 C2，例如 U2（同样通常是 dbo，但这次是 DB2 的 dbo）
• 导出 C1 和 C2 的公钥
• 在 DB1 中创建一个用户，例如 U2'，它将代表 DB1 中的 S2 身份
• 导入 C2 公钥作为 DB1 中的证书 C2'，由 U2' 拥有
• 在 DB1 中创建一个将 S2 绑定到 U2' 的远程服务绑定对象。这样 BEGIN DIALOG 就会知道使用 C2 公钥来加密 S2 的消息
• 在 DB2 中创建一个用户 U1'，代表 U1 在 DB2 中的身份
• 将 DB2 中的 C1 公钥作为 U1' 拥有的证书 C1' 导入。因为来自 S1 的消息是用 C1 私钥（U1 拥有的）签名的，所以它们在 DB2 中将被识别为由 U1'（C1' 的所有者，相应的公钥）发送。
• 将服务 S2 上的 SEND 授予 U1'

同样，如果您说 S1 和 S2 之间的消息流动良好，那么上述所有步骤都已经正确完成（这不是一件小事！）。

如果我现在理解正确，你想添加一个新服务，比如 S3，它也位于 DB2 中，如果我理解正确的话，它还需要接受来自 S1 的消息。我将做一个简化假设，即 S3 与 S2 归同一用户所有（因为所有者通常是dbo，所以这个假设通常是正确的）。如果是这样，那么您已经交换了必要的用户/证书，您需要做的就是告诉 SSB 使用它们：

• 在 DB1 中，使用相同的用户 U2' 为服务 S3 创建一个新的远程服务绑定 RSB3。BEGIN DIALOG 将使用相同的证书 C2' 为 S3 和 S2 加密消息，但这没关系，因为 S3 和 S2 都属于同一用户
• 在 DB2 中，将服务 S3 的 SEND 权限授予用户 U1'。

应该是这样，现在 S1 可以与 S2 通话，也可以与 S3 通话。

此证书交换和用户所有权逻辑用于将用户从 DB1“映射”到 DB2，而不依赖于 Windows 域。这种映射是通过交换公钥证书然后遵循证书所有权来完成的：在 DB1 中，U1（即 S1 的所有者）拥有一个带有私钥 C1 的证书。同一个证书的公钥存在于 DB2 中并归 U1'（DB2 中的用户）所有。因此 U1“映射”到 U1'。每当 ssbdiagnose 抱怨无法“使用证书映射”用户时，这意味着此链在某处断开。

我的错误原因是寻找不同的证书，是因为我的一个证书到期日期与其他证书不同；因此，它忽略了我想要的证书并使用距离今天最远的日期的证书。

我修复了所有日期，这解决了上述错误。

但是，某些实例会起作用，而其他实例则不会。这次我收到类似“对象引用未设置到对象实例”的错误，以及 ssbdiagnose 中的其他 11 条消息。直到我按特定顺序配置每个服务代理实例后，这个问题才得以解决。我推测这与主密钥与源证书绑定有关。