Installation de certificats pour les adaptateurs WCF
Les adaptateurs WCF font appel à des certificats numériques d'infrastructure à clé publique (PKI) pour le chiffrement et le déchiffrement de messages, pour la signature et la vérification (non-répudiation) de messages, ainsi que pour l'authentification du client. Cette rubrique présente divers scénarios d'utilisation des certificats ainsi que des instructions sur les options de configuration en matière d'utilisation des certificats numériques avec les adaptateurs WCF.
Scénarios d'utilisation des certificats pour les emplacements de réception WCF
Le tableau suivant illustre l'installation des certificats pour les emplacements de réception WCF.
| Utilisation des certificats | Contexte utilisateur | Emplacement du magasin de certificats | Type de certificat | Moment d'installation des certificats |
|---|---|---|---|---|
| Déchiffrement et signature en fonction des paramètres de sécurité de l'emplacement de réception. | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera les emplacements de réception en tant que chaque compte de service hôte instance, puis importez le certificat de service dans le magasin Utilisateur actuel \ Personnel (Mon). | Propre certificat privé | Spécifiez la valeur de la propriété Certificat de service - Empreinte numérique dans les configurations suivantes : - La propriété Mode de sécurité de l’emplacement de réception WCF-BasicHttp est définie sur Message. - La propriété type d’informations d’identification du client de transport de l’emplacement de réception WCF-BasicHttp est définie sur Certificat pour le mode de sécurité TransportCredentialOnly . - La propriété type d’informations d’identification du client Message de l’emplacement de réception WCF-WSHttp est définie sur None, Certificate ou UserName pour le mode de sécurité Message . - La propriété Type d’informations d’identification du client de transport de l’emplacement de réception WCF-NetTcp est définie sur Aucun ou Certificat pour le mode de sécurité transport . - La propriété de type d’informations d’identification du client Message de l’emplacement de réception WCF-NetTcp est définie sur None, UserName ou Certificate pour le mode de sécurité Message . - La propriété type d’informations d’identification du client Message de l’emplacement de réception WCF-NetTcp est définie sur Windows, UserName ou Certificate pour le mode de sécurité TransportWithMessageCredential . - La propriété Mode de sécurité du WCF-NetMsmq est définie sur Message ou les deux. |
| Authentification du client | N/A | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera les emplacements de réception en tant qu’administrateurs, puis importez la chaîne de certificats d’autorité de certification pour les certificats X.509 du client dans le magasin de certificats autorités de certification racines de confiance de l’ordinateur afin que les clients puissent être authentifiés à cet emplacement de réception. | Chaîne de certificats de l'autorité de certification des certificats X.509 du client | Installez la chaîne de certificats de l'autorité de certification X.509 du client dans le magasin de certificats des autorités de certification racines de confiance dans les configurations suivantes : - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport de l’emplacement de réception WCF-BasicHttp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport de l’emplacement de réception WCF-WSHttp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport de l’emplacement de réception WCF-NetTcp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message ou mode d’authentification MSMQ de l’emplacement de réception WCF-NetMsmq est définie sur Certificat. |
Notes
Étant donné que les adaptateurs de réception WCF standard utilisent le mode ChainTrust pour valider les certificats clients, vous devez installer la chaîne de certificats d’autorité de certification pour les certificats X.509 clients. Vous pouvez utiliser les adaptateurs WCF-Custom ou WCF-CustomIsolated pour gérer ce comportement par défaut.
Notes
Pour les adaptateurs de réception WCF isolés, vous devez faire correspondre le compte d'utilisateur avec une instance d'hôte isolée et le pool d'applications correspondant. Pour plus d’informations sur les hôtes isolés BizTalk, consultez Activation des services web.
Notes
Pour les emplacements WCF-Custom et WCF-CustomIsolated recevoir, le contexte utilisateur, l’emplacement du magasin de certificats et le type de certificat pour les certificats à installer varient entre les paramètres d’élément de comportement serviceCredentials et clientCredentials .
Notes
Si l’emplacement de réception utilise l’élément certificate pour la propriété Endpoint Identity , vous devez également installer le certificat pour l’identité de service publiée dans le magasin de certificats spécifié dans la propriété Endpoint Identity .
Notes
Plutôt que de vous connecter à l'ordinateur à l'aide du compte de service ou du compte d'administrateur de l'instance d'hôte, vous pouvez faire appel à la commande Exécuter en tant que, avec les comptes appropriés.
Scénarios d'utilisation des certificats pour les ports d'envoi WCF
Le tableau suivant illustre l'installation des certificats pour les ports d'envoi WCF.
| Utilisation des certificats | Contexte utilisateur | Emplacement du magasin de certificats | Type de certificat | Moment d'installation des certificats |
|---|---|---|---|---|
| Authentification du client | Compte utilisé par l'instance d'hôte associée au port d'envoi | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera les ports d’envoi comme chaque compte de service instance hôte, puis importez le certificat client dans le magasin Utilisateur actuel \ Personnel (Mon). | Propre certificat privé | Spécifiez la valeur de la propriété Certificat client - Empreinte numérique dans les configurations suivantes : - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport du port d’envoi WCF-BasicHttp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport du port d’envoi WCF-WSHttp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport du port d’envoi WCF-NetTcp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message ou mode d’authentification MSMQ du port d’envoi WCF-NetMsmq est définie sur Certificat. |
| Authentification du service, vérification de signature et chiffrement selon les paramètres de sécurité du port d'envoi | N/A | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera les ports d’envoi en tant qu’administrateurs, puis importez le certificat de service dans le magasin Ordinateur local \ Autres personnes (AddressBook). Vous devez également installer la chaîne de certificats de l'autorité de certification des certificats de service dans le magasin de certificats des autorités de certification racines de confiance de l'ordinateur. | - Certificat public de service - Chaîne de certificats d’autorité de certification pour le certificat de service |
Spécifiez la valeur de la propriété Certificat de service - Empreinte numérique dans les configurations suivantes : - La propriété Type d’informations d’identification du client Message ou Type d’informations d’identification du client de transport du port d’envoi WCF-BasicHttp est définie sur Certificat. - La propriété Type d’informations d’identification du client Message du port d’envoi WCF-WSHttp est définie sur None, UserName ou Certificate lorsque l’option Négocier les informations d’identification du service est désactivée. - Le mode de sécurité du port d’envoi WCF-NetMsmq est défini sur Message ou les deux. |
| Authentification du service, vérification de signature et chiffrement selon les paramètres de sécurité du port d'envoi | N/A | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera le port d’envoi en tant qu’administrateurs et importez la chaîne de certificats d’autorité de certification pour les certificats X.509 clients dans le magasin de certificats autorités de certification racines de confiance de l’ordinateur afin que le service puisse être authentifié sur ce port d’envoi. | Chaîne de certificats de l'autorité de certification du certificat de service | Si vous ne spécifiez pas explicitement le certificat de service pour la propriété Certificat de service - Empreinte numérique, installez la chaîne de certificats d’autorité de certification pour les certificats X.509 de service dans le magasin de certificats autorités de certification racines de confiance dans les configurations suivantes : - Le mode de sécurité du port d’envoi WCF-BasicHttp est défini sur Transport ou TransportWithMessageCredential. - Le mode de sécurité du port d’envoi WCF-WSHttp est défini sur Transport ou TransportWithMessageCredential. - Le mode de sécurité du port d’envoi WCF-NetTcp est défini sur TransportWithMessageCredential. - La propriété type d’informations d’identification du client de transport du port d’envoi WCF-NetTcp est définie sur Aucun ou Certificat. - La propriété type d’informations d’identification du client Message du port d’envoi WCF-NetTcp est définie sur None, UserName ou Certificate. |
Notes
Étant donné que les adaptateurs d’envoi WCF standard utilisent le mode ChainTrust pour valider les certificats de service, vous devez installer la chaîne de certificats d’autorité de certification pour les certificats X.509 du service. Pour modifier le comportement par défaut, vous pouvez utiliser l'adaptateur WCF-Custom ou WCF-CustomIsolated.
Notes
Pour les ports d’envoi WCF-Custom et WCF-CustomIsolated, le contexte utilisateur, l’emplacement du magasin de certificats et le type de certificat pour les certificats à installer varient entre les paramètres d’élément de comportement serviceCredentials et clientCredentials .
Notes
Si le port d’envoi utilise l’élément de certificat pour la propriété Endpoint Identity , vous devez également installer le certificat pour l’identité de service attendue dans le magasin de certificats spécifié dans la propriété Endpoint Identity .
Notes
Plutôt que de vous connecter à l'ordinateur à l'aide du compte de service ou du compte d'administrateur de l'instance d'hôte, vous pouvez faire appel à la commande Exécuter en tant que, avec les comptes appropriés.
Affichage de la console de gestion des certificats
Pour afficher l'interface de la console de gestion des certificats pour Ordinateur local et Utilisateur actuel, procédez comme suit :
Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK pour ouvrir la console de gestion Microsoft.
Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable pour afficher la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable .
Cliquez sur Ajouter pour afficher la boîte de dialogue Ajouter un composant logiciel enfichable autonome .
Sélectionnez Certificats dans la liste des composants logiciels enfichables, puis cliquez sur Ajouter.
Sélectionnez Compte d’ordinateur, cliquez sur Suivant, puis sur Terminer. L'interface de la console de gestion des certificats est alors ajoutée pour Ordinateur local.
Vérifiez que Certificats est toujours sélectionné dans la liste des composants logiciels enfichables, puis cliquez à nouveau sur Ajouter .
Sélectionnez Mon compte d’utilisateur, puis cliquez sur Terminer. L'interface de la console de gestion des certificats est alors ajoutée pour Utilisateur actuel.
Notes
La console de gestion des certificats s'affiche pour le compte avec lequel vous êtes actuellement connecté. Pour importer des certificats dans le magasin Personnel d'un compte de service, vous devez d'abord ouvrir une session avec les informations d'identification de ce compte.
Cliquez sur Fermer dans la boîte de dialogue Composant logiciel enfichable autonome .
Cliquez sur OK dans la boîte de dialogue Ajouter/supprimer un composant logiciel enfichable .