Bekannte Probleme mit der AS2-Sicherheit
In diesem Thema werden bekannte Probleme mit der Sicherheit von BizTalk Server AS2-Lösungen beschrieben.
Vom AS2-Decoder wird nicht überprüft, ob ein Zertifikat auf dem Host oder für die Zielpartei konfiguriert ist.
Eine Nachricht wird vom AS2-Decoder entschlüsselt, sofern das private Zertifikat für diese Nachricht im Zertifikatspeicher konfiguriert ist. Vom AS2-Decoder wird jedoch nicht überprüft, ob das Entschlüsselungszertifikat dem auf dem Host konfigurierten Zertifikat entspricht. Die empfangene Nachricht kann mit mehreren Zertifikaten verschlüsselt werden.
Das Speichern von AS2-Nachrichten im Sendeformat kann zu einem Sicherheitsproblem führen
Wenn Sie keine Zertifikate verwenden, wird davon abgeraten, AS2-Nachrichten in der Nichtabstreitbarkeits-Datenbank im Sendeformat zu speichern. Dies könnte zu Sicherheitsproblemen führen.
Nachrichten oder MDNs, die in der Nichtabstreitbarkeits-Datenbank gespeichert werden sollen, müssen signiert sein.
Soll Nichtabstreitbarkeit beim Empfang sichergestellt sein, müssen Sie die Authentifizierung und Integrität der entsprechenden Nachricht einrichten. Dazu wird die Verwendung einer digitalen Signatur für die Nachricht empfohlen. Wenn Sie AS2-Parteieigenschaften konfigurieren, um Nachrichten oder MDNs in der Nichtabstreitbarkeits-Datenbank zu speichern, sollten Sie daher die AS2-Eigenschaften für das Signieren der zu speichernden Nachrichten oder MDNs konfigurieren.
In BizTalk Server kann eine im Sendeformat gespeicherte Nachricht nicht entschlüsselt werden, wenn das Zertifikat ungültig ist.
Symptom
BizTalk Server kann eine eingehende AS2-Nachricht, die in der Nichtabstreitbarkeits-Datenbank im Sendeformat gespeichert wurde, nicht entschlüsseln.
Mögliche Ursache
Das zum Entschlüsseln der Nachricht erforderliche Zertifikat ist abgelaufen oder wurde gesperrt. Die Wahrscheinlichkeit, dass dies zutrifft, erhöht sich, wenn seit dem letzten Speichern der AS2-Nachricht in der Nichtabstreitbarkeits-Datenbank bereits eine bestimmte Zeit verstrichen ist. In diesem Fall können Sie möglicherweise nicht sofort auf ein für die Nachricht gültiges Zertifikat zugreifen.
Lösung
Rufen Sie ein gültiges Zertifikat zum Entschlüsseln der Nachricht ab.
Der innere Umschlag einer signierten AS2-Nachricht darf nach dem Berechnen der Signatur nicht geändert werden.
Beim Signieren einer AS2-Nachricht wird die Signatur basierend auf den inneren Umschlagheadern und der Nutzlast berechnet. Wird der innere Umschlag nach dem Berechnen der Signatur geändert, wird die Signatur beschädigt. Die Begrenzungsheader bzw. alle Elemente außerhalb der Begrenzungsheader können geändert werden, aber alle Elemente innerhalb der Begrenzungsheader dürfen nicht geändert werden.
Verwenden derselben Anmeldeinformationen für die In-Process-Hostinstanz und für die isolierte Hostinstanz, um sicherzustellen, dass der persönliche Speicher erkannt wird.
Der persönliche Zertifikatspeicher ist nur für die Nachrichtenverarbeitung verfügbar, wenn das Benutzerprofil für den Benutzer geladen wird, dessen Anmeldeinformationen der Hostinstanz zugeordnet sind. Der persönliche Speicher wird für Signatur- und Entschlüsselungszertifikate verwendet (der private Schlüssel des Benutzers). Das Benutzerprofil wird standardmäßig für die gerade verarbeitete Hostinstanz geladen. Das Benutzerprofil wird jedoch nicht standardmäßig für die isolierte Hostinstanz geladen. Sie können das Benutzerprofil für den isolierten Host durch eine Anwendung laden lassen. Alternativ können Sie dieses Problem umgehen, indem Sie dieselben Anmeldedaten für die gerade verarbeitete Hostinstanz und die isolierte Hostinstanz verwenden.
Statt zu veranlassen, dass das Benutzerprofil von einer Anwendung geladen wird, können Sie auch einen leeren Dienst erstellen, um das Profil zu laden. Informationen zum Erstellen eines leeren Diensts finden Sie unter Vorgehensweise: Erstellen von Windows-Diensten. Nachdem Sie den Dienst erstellt haben, öffnen Sie das Dialogfeld Computerverwaltung, öffnen Sie das Dialogfeld Eigenschaften für den Dienst, klicken Sie auf die Registerkarte Anmelden, wählen Sie Dieses Konto aus, geben Sie den Anmeldenamen ein, der für den isolierten Host instance verwendet wird, und klicken Sie dann auf OK. Anschließend können Sie den Dienst manuell starten, um das Benutzerprofil für diese Benutzeranmeldung zu laden.
Das Attribut "Schlüsselverwendung" eines Zertifikats muss der Zertifikatverwendung entsprechen
Die für den AS2-Transport verwendeten Zertifikate müssen über die erforderlichen Attribute für die gewünschte Verwendung verfügen. Für Signiervorgänge und für die Signaturüberprüfung muss das Attribut Schlüsselverwendung des Zertifikats Digitale Signatur lauten. Für die Ver- und Entschlüsselung muss das Attribut Schlüsselverwendung des Zertifikats entweder Datenverschlüsselung oder Schlüsselverschlüsselung lauten. Sie können das Attribut Schlüsselverwendung überprüfen. Doppelklicken Sie hierzu auf das Zertifikat, klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Details, und prüfen Sie dann das Feld Schlüsselverwendung.
Die Liste zum Auflösen von Zertifikaten wird für eine ausgehende MDN überprüft, wenn die Eigenschaft "AS2-To" für die Partei nicht festgelegt ist.
Die Überprüfung der Liste zum Auflösen von Zertifikaten wird in der Standardvereinbarung für eine ausgehende MDN ausgeführt. Wenn diese Überprüfung nicht ausgeführt werden soll, müssen Sie sicherstellen, dass die richtige "AS2-To"-Parteieigenschaft festgelegt ist, damit die empfangende Partei aufgelöst werden kann und die Parteieigenschaften ermittelt werden können. In diesem Fall wird die Standardvereinbarung, mit der die Überprüfung der Liste zum Auflösen von Zertifikaten ausgeführt wird, nicht verwendet. Außerdem müssen Sie in den AS2-Parteieigenschaften auf der Seite "Allgemein" die Eigenschaft "Zertifikatsperrliste überprüfen" deaktivieren.