Configuration des certificats pour AS2
Pour sécuriser le transfert de données AS2 à l’aide du chiffrement et des signatures numériques, vous devez avoir installé les certificats appropriés, en plus de la configuration AS2 appropriée sur BizTalk Server. Cette rubrique décrit les certificats requis, leur configuration et leurs problèmes courants.
Prérequis
Vous devez ouvrir une session en tant que membre du groupe Administrateurs BizTalk Server.
Certificats requis pour le transport AS2
Pour sécuriser le transfert de données AS2, vous devez ajouter le certificat approprié au magasin de certificats approprié et associer les certificats aux artefacts BizTalk appropriés. Les certificats suivants sont utilisés pour sécuriser les messages AS2 :
| Utilisation des certificats | Type de certificat | Composant de pipeline | Contexte utilisateur | Magasin de certificats | Lieu de définition |
|---|---|---|---|---|---|
| Signature (sortie) | Propre clé privée (.pfx) | Encodeur AS2 | Compte utilisé par l'instance de l'hôte associée au gestionnaire d'envoi. | Magasin utilisateur\personnel actuel de chaque BizTalk Server qui héberge un pipeline d’encodeur AS2 comme chaque compte de service hôte instance | - Page Certificat de la boîte de dialogue Propriétés du groupe . Il s'agit du certificat de signature par défaut utilisé lors de l'envoi de documents signés. - Vous pouvez remplacer le paramètre de certificat par défaut et utiliser des certificats différents pour différentes parties. Pour ce faire, sélectionnez Remplacer le certificat de signature de groupe dans la page Certificat de signature de l’onglet Accord unidirectionnel de la boîte de dialogue Propriétés de l’accord, puis spécifiez un certificat de signature. Si cette propriété est définie, le message AS2 qui est résolu en contrat sera signé à l’aide du certificat fourni dans la page Certificat de signature et non par le certificat fourni dans le cadre des propriétés bizTalk Group. |
| Vérification de signature (entrée) | Clé publique du partenaire commercial (.cer) | Décodeur AS2 | Compte utilisé par l'instance de l'hôte associée au gestionnaire de réception. | Ordinateur local\Autre magasin Personnes de chaque BizTalk Server qui héberge un pipeline de décodeur AS2 en tant qu’hôte instance compte de service | Page certificat de la boîte de dialogue Propriétés de partie Remarque : Le certificat utilisé pour vérifier une signature pour une partie doit être unique à partir des certificats utilisés pour vérifier les signatures d’autres parties. |
| Chiffrement (sortie) | Clé publique du partenaire commercial (.cer) | Encodeur AS2 | Compte utilisé par l'instance de l'hôte associée au gestionnaire d'envoi. | Ordinateur local\Autre magasin Personnes de chaque BizTalk Server qui héberge un pipeline d’encodeur AS2 | Page Certificat de la boîte de dialogue Propriétés du port d’envoi |
| Déchiffrement (entrée) | Propre clé privée (.pfx) | Décodeur AS2 | Compte utilisé par l'instance de l'hôte associée au gestionnaire de réception. | Magasin utilisateur\personnel actuel de chaque BizTalk Server qui héberge un pipeline de décodeur AS2 en tant qu’hôte instance compte de service | Le Décodeur AS2 détermine le certificat en fonction des informations de certificat dans le message. Pour le décodeur MIME BizTalk, le certificat doit se trouver dans la page Certificat de l’hôte utilisé pour recevoir le message. Cela n'est pas nécessaire pour le Décodeur AS2. |
Certificat de signature des messages sortants
Les messages AS2 sortants sont signés à l'aide d'un certificat par défaut défini dans les propriétés du groupe BizTalk. Cependant, il peut arriver que les tiers recevant les messages veuillent que les messages soient signés avec un certificat privé qu'ils fournissent ou attendent un certificat différent à utiliser lors de la signature des messages sortants pour eux. Ce scénario de signature de messages sortants à l’aide d’autres certificats est activé si vous sélectionnez remplacer le certificat de signature de groupe dans la page Certificat de signature de l’onglet accord unidirectionnel de la boîte de dialogue Propriétés de l’accord et si vous spécifiez un certificat de signature. Si un certificat est spécifié dans le cadre de l'accord AS2 pour un tiers, ce certificat est utilisé pour la signature des messages sortants. Si aucun certificat n'est défini pour le tiers, le certificat par défaut spécifié dans les propriétés du groupe BizTalk est utilisé.
Ajout de certificats dans les magasins de certificats
Pour plus d’informations, consultez la section « Affichage de la console de gestion des certificats » de l’article Installation de certificats pour les adaptateurs WCF, ainsi que la rubrique Utilitaire de l’Assistant Certificat .
Important
Le magasin de certificats Personnels sera disponible pour le traitement des messages uniquement si le profil utilisateur est chargé pour l'utilisateur dont les informations d'identification sont associées à l'instance hôte. Le magasin Personnel est utilisé pour les certificats de signature et de déchiffrement (la clé propre privée de l'utilisateur). Le profil utilisateur est chargé par défaut pour l'instance hôte In-process ; toutefois, il n'est pas chargé par défaut pour l'instance hôte isolé. Vous pouvez faire en sorte qu'une application charge le profil utilisateur pour l'hôte isolé. Vous pouvez également contourner ce problème en utilisant le même nom de connexion pour l'instance hôte In-process et l'instance hôte isolé.
Génération de certificats
Les certificats peuvent être obtenus auprès d'une autorité de certification mais les étapes de demande d'un certificat peuvent varier selon les autorités de certification. Passez en revue les informations fournies sur le site Web de l'autorité de certification d'avant d'envoyer des demandes de certificat.
Important
Les certificats utilisés pour le transport AS2 doivent avoir les attributs requis pour l'utilisation prévue. Pour la signature et la vérification de la signature, l’attribut Utilisation de la clé du certificat doit être Signature numérique. Pour le chiffrement et le déchiffrement, l’attribut Utilisation de la clé du certificat doit être Chiffrement de données ou Chiffrement de clé. Vous pouvez vérifier l’attribut Utilisation de la clé en double-cliquant sur le certificat, en cliquant sur l’onglet Détails dans la boîte de dialogue Certificat et en cochant le champ Utilisation de la clé .
Vous pouvez également générer des certificats dans Windows Server 2008 à l'aide des Services de certificats mais votre partenaire risque d'accepter ces certificats pour des raisons de test uniquement car ils sont auto-signés et non signés par une autorité de certification publique.
Pour configurer un certificat pour signer des messages AS2 sortants
Dans la console Administration BizTalk Server, cliquez avec le bouton droit sur le nœud BizTalk Group, puis cliquez sur Propriétés.
Dans l’arborescence de la console de la boîte de dialogue Propriétés du groupe , cliquez sur Certificat.
Dans le volet Certificat , cliquez sur Parcourir, recherchez le certificat que vous souhaitez utiliser pour la signature, puis cliquez sur OK.
Notes
Au lieu d'entrer le nom commun du certificat, vous pouvez saisir simplement l'empreinte. Vous pouvez obtenir l’empreinte numérique en double-cliquant sur le certificat dans le magasin de certificats dans MMC ou dans le système de fichiers, en cliquant sur l’onglet Détails , en cliquant sur le champ Empreinte numérique et en copiant l’empreinte numérique.
Cliquez sur OK.
Pour configurer un certificat pour la signature des messages AS2 sortants pour un tiers spécifique
Dans la console Administration BizTalk Server, cliquez sur le nœud Parties. Dans le volet Parties et profils d’entreprise , dans la section Contrats , cliquez avec le bouton droit sur l’accord créé pour l’échange de messages avec une partie spécifique, puis cliquez sur Propriétés.
Dans un onglet contrat unidirectionnel, cliquez sur Certificats de signature.
Sélectionnez la zone Remplacer le certificat de signature de groupe case activée pour utiliser le certificat fourni dans cette page pour la signature des messages AS2 sortants et MDN.
Cliquez sur Parcourir pour afficher la boîte de dialogue Sélectionner un certificat , dans laquelle vous sélectionnez le certificat de signature à appliquer aux messages transmis par cette partie.
La zone de texte Nom commun affiche une description du certificat sélectionné.
La zone de texte Empreinte affiche l’empreinte numérique du certificat. Le format de l'empreinte de certificat est HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH, où H est une valeur hexadécimale (nombre de 0 à 9 ou lettre de A à F).
Cliquez sur Supprimer le certificat pour supprimer le certificat sélectionné.
Cliquez sur OK pour valider les modifications, puis fermez la boîte de dialogue.
Pour configurer un certificat pour vérifier la signature numérique de messages AS2 entrants
Dans la console Administration BizTalk Server, ouvrez le nœud BizTalk Group, puis cliquez sur le nœud Parties.
Dans le volet Parties et profils d’entreprise , cliquez avec le bouton droit sur la partie à partir de laquelle vous recevrez des messages signés, puis cliquez sur Propriétés.
Dans l’arborescence de la console, cliquez sur Certificat.
Dans le volet Certificat , cliquez sur Parcourir, recherchez le certificat que vous souhaitez utiliser pour vérifier la signature numérique, puis cliquez sur OK.
Notes
Au lieu d'entrer le nom commun du certificat, vous pouvez saisir simplement l'empreinte. Vous pouvez obtenir l’empreinte numérique en double-cliquant sur le certificat dans le magasin de certificats dans MMC ou dans le système de fichiers, en cliquant sur l’onglet Détails , en cliquant sur le champ Empreinte numérique et en copiant l’empreinte numérique.
Cliquez sur OK.
Pour configurer un certificat pour le chiffrement de messages AS2 sortants
Dans la console Administration BizTalk Server, ouvrez le nœud BizTalk Group, ouvrez le nœud Applications, puis ouvrez le nœud de l’application qui contient le port d’envoi sur lequel vous allez envoyer le message chiffré.
Ouvrez le nœud Ports d’envoi , cliquez avec le bouton droit sur le port d’envoi, puis cliquez sur Propriétés.
Dans l’arborescence de la console, cliquez sur Certificat.
Dans le volet Certificat , cliquez sur Parcourir, recherchez le certificat que vous souhaitez utiliser pour le chiffrement, puis cliquez sur OK.
Notes
Au lieu d'entrer le nom commun du certificat, vous pouvez saisir simplement l'empreinte. Vous pouvez obtenir l’empreinte numérique en double-cliquant sur le certificat dans le magasin de certificats dans MMC ou dans le système de fichiers, en cliquant sur l’onglet Détails , en cliquant sur le champ Empreinte numérique et en copiant l’empreinte numérique.
Cliquez sur OK.
Voir aussi
Sécurité AS2Configuration de la signature, de la compression et du chiffrement dans l’architecturede solution AS2 transport AS2Installation de certificats pour les adaptateurs WCF