Magasins de certificats utilisés par BizTalk Server
BizTalk Server utilise deux types de magasins de certificats : le magasin de certificats Autres personnes pour les clés publiques et le magasin de certificats Personnel pour chaque compte de service d'instance d'hôte pour la clé privée.
Magasin de certificats Autres personnes. Comme leur nom l'indique, les certificats de clé publique sont publics et accessibles par tout individu ayant accès à l'ordinateur sur lequel ils sont stockés. BizTalk Server utilise des certificats de clé publique pour chiffrer des messages destinés à des tiers spécifiques et pour vérifier les signatures numériques des messages entrants envoyés par des tiers spécifiques. Windows fournit le magasin de certificats Autres personnes pour stocker les certificats de clé publique utilisés sur l'ordinateur. Tous les utilisateurs peuvent lire et utiliser les certificats de ce magasin et les administrateurs Windows ont les autorisations pour maintenir ce magasin.
Notes
Vous devez enregistrer les certificats de clé publique sur le magasin de certificats Ordinateur local\Autres personnes de l'ordinateur local sur lequel se trouve une instance d'hôte BizTalk utilisée pour vérifier la signature ou chiffrer les messages envoyés à un partenaire distant.
La figure suivante montre le magasin de certificats Autres personnes utilisé par BizTalk Server pour les certificats de clé publique :
Magasin de certificats Personnel. BizTalk Server utilise des certificats de clé privée pour déchiffrer les messages entrants et signer les messages sortants. Chaque compte Windows configuré pour se connecter de manière interactive à un ordinateur possède un magasin de certificats personnels destinés au système d'exploitation. Il est le seul à pouvoir accéder à ce magasin. BizTalk Server utilise les magasins de certificats personnels pour chaque compte de service d'instance d'hôte afin d'accéder aux certificats de clé privée auxquels chaque compte de service a accès. Seuls les propriétaires du magasin de certificats peuvent accéder à et maintenir leurs magasins de certificats personnels. En d'autres termes, vous devez vous connecter à chaque ordinateur qui héberge des pipelines de décodage S/MIME comme chaque compte de service d'hôte, puis importer le certificat de déchiffrement dans le magasin de certificats personnel à l'aide du composant logiciel enfichable Certificats.
La figure suivante montre le magasin de certificats Personnel utilisé par BizTalk Server pour les certificats de clé privée :
Important
Les certificats de clé privée doivent être stockés dans le magasin de certificats Utilisateur actuel\Personnel pour chaque compte de service d'instance d'hôte sur chaque ordinateur disposant d'une instance d'hôte BizTalk en cours d'exécution qui requiert le certificat de déchiffrement ou de signature des messages sortants.
Notes
Une fois que vous avez ajouté le certificat avec la clé privée au magasin de certificats personnel des comptes de service qui signe les messages sortants, vous devez également spécifier ce certificat de signature dans la console Administration de BizTalk. Pour plus d’informations, consultez Comment configurer BizTalk Server pour l’envoi de messages signés.
Notes
Le magasin de certificats personnel est également appelé Mon magasin de certificats lorsqu'il est utilisé pour des opérations de programmation, telles que le script de l'importation et de l'exportation de certificats.
Le tableau suivant décrit les certificats que vous devez installer dans chaque magasin de certificats Windows.
Tableau 1 Certificats pour chaque magasin de certificats Windows
| Rôle du certificat | Type de certificat | Magasin de certificats |
|---|---|---|
| Signature | Clé privée personnelle | Magasin personnel pour chaque compte de service d’un instance hôte qui a un pipeline d’envoi avec un composant de pipeline d’encodeur MIME/SMIME configuré pour signer des messages (propriété Add Signing Cert To Message définie sur True). Pour plus d’informations, consultez Comment configurer BizTalk Server pour l’envoi de messages signés |
| Vérification de signature | Clé privée du partenaire | Magasin Autres personnes sur chaque ordinateur qui a une instance d'hôte avec un pipeline de réception doté d'un composant de pipeline Décodeur MIME/SMIME. Pour plus d’informations, consultez Comment configurer BizTalk Server pour la réception de messages signés. |
| Déchiffrement | Clé privée personnelle | Magasin Personnel pour chaque compte de service d'une instance d'hôte qui a un pipeline de réception doté d'un composant de pipeline Décodeur MIME/SMIME. Pour plus d’informations, consultez Comment configurer BizTalk Server pour la réception de messages chiffrés. |
| Chiffrement | Clé privée du partenaire | D’autres Personnes magasin sur chaque ordinateur doté d’un instance hôte doté d’un pipeline d’envoi avec un composant de pipeline MIME/SMIME Encoder configuré pour chiffrer les messages (Activer la propriété de chiffrement définie sur True). Pour plus d’informations, consultez Comment configurer BizTalk Server pour l’envoi de messages chiffrés. |
| Résolution des parties | Clé privée du partenaire | Magasin Autres personnes sur l'ordinateur d'administration à partir duquel vous configurez la résolution de tiers. Pour plus d’informations, consultez Utilisation de certificats pour la résolution de partie. |
La figure suivante présente les certificats nécessaires dans chaque magasin de certificats sur BizTalk Server dédié à la réception de messages.
La figure suivante présente les certificats nécessaires dans chaque magasin de certificats sur BizTalk Server dédié à l'envoi de messages.
Pour plus d'informations sur les magasins de certificats et le composant logiciel enfichable Certificats pour la console MMC (Microsoft Management Console), recherchez « console Certificats » dans l'aide de Windows.
Voir aussi
Certificats utilisés par BizTalk Server pour les messages signés
Certificats utilisés par BizTalk Server pour les messages chiffrés
Certificats de chiffrement et de signature
Implémentation de la sécurité des messages