Résolution des problèmes de certificats
Microsoft BizTalk Server peut utiliser des certificats numériques d’infrastructure à clé publique (PKI) à des fins de chiffrement et de déchiffrement de documents, de signature et de vérification des documents (non répudiation) et pour la résolution des parties. Cette rubrique décrit différents scénarios d’utilisation de la certification et options de configuration, et fournit des instructions générales pour l’utilisation de certificats numériques avec BizTalk Server.
Scénarios d'utilisation de certificats et options de configuration
La plupart des problèmes qui se produisent lors de l’utilisation de certificats avec BizTalk Server sont le résultat d’une configuration incorrecte ou incomplète. Par exemple, importer le certificat correct dans le magasin incorrect, le certificat incorrect dans le magasin correct, ou ne pas entrer les informations appropriées dans la console Administration de BizTalk génère des erreurs d'exécution lors de l'utilisation des certificats.
Utilisez le tableau suivant comme référence pour les scénarios d’utilisation des certificats et les options de configuration disponibles dans BizTalk Server :
| Utilisation du certificat | Contexte utilisateur | Emplacement du magasin de certificats | Type de certificat | Composant de pipeline utilisé | Configuration des paramètres dans la console Administration de BizTalk Server |
|---|---|---|---|---|---|
| Chiffrement (envoi) | Compte utilisé par l'instance d'hôte associée au gestionnaire d'envoi | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines d’encodeur S/MIME et importez le certificat de chiffrement dans le magasin Ordinateur local \ Autre Personnes. | Certificat public de partenaire commercial | Encodeur MIME/SMIME | - Spécifiez des valeurs pour le nom commun et l’empreinte numérique du certificat de chiffrement dans la page Certificat de la boîte de dialogue Propriétés du port d’envoi . - Spécifiez les options d’encodage du pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Envoyer le pipeline dans la page Général de la boîte de dialogue Propriétés du port d’envoi. |
| Déchiffrement (réception) | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines de décodeur S/MIME comme chaque compte de service instance hôte, puis importez le certificat de déchiffrement dans le magasin Utilisateur actuel \ Personnel. Note: Pour que le déchiffrement du pipeline réussisse sur un ordinateur IIS 7.0, assurez-vous que le compte du pool d’applications IIS et le compte utilisé par le instance hôte associé au gestionnaire de réception sont identiques et que ce compte est membre du <groupe machineName>\IIS_WPG. Pour plus d’informations sur la définition de l’identité de processus IIS pour IIS 7.0, consultez Instructions pour la résolution des problèmes d’autorisations IIS. Ces processus doivent s'exécuter sous le même compte afin de garantir que le profil de compte est chargé, et qu'à son tour, il charge les clés de registre requises pour effectuer le déchiffrement dans le pipeline. Pour des raisons de performances, IIS 6.0 ne charge pas le profil de compte lors du démarrage du processus de w3wp.exe associé, de sorte que le instance hôte BizTalk Server doit être configuré avec le même compte afin que BizTalk Server charge le profil de compte et les clés de Registre. | Propre certificat privé | Décodeur MIME/SMIME | - Spécifiez des valeurs pour le nom commun et l’empreinte numérique du certificat de déchiffrement dans la page Certificats de chaque boîte de dialogue Propriétés de l’hôte . - Spécifiez les options de décodage du pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Recevoir le pipeline dans la page Général de la boîte de dialogue Propriétés de l’emplacement de réception. |
| Signature (envoi) | Compte utilisé par l'instance d'hôte associée au gestionnaire d'envoi | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines d’encodeur S/MIME en tant que compte de service instance hôte, puis importez le certificat de signature dans le magasin Utilisateur actuel \ Personnel. | Propre certificat privé | Encodeur MIME/SMIME | - Spécifiez les valeurs du nom commun et de l’empreinte numérique du certificat de signature dans la page Certificat de la boîte de dialogue Propriétés du groupe BizTalk . Note: Un seul certificat de signature peut être spécifié par BizTalk Server groupe. - Spécifiez les options d’encodage du pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Envoyer le pipeline dans la page Général de la boîte de dialogue Propriétés du port d’envoi. |
| Vérification des signatures (réception) | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines de décodeur S/MIME et importez le certificat de signature dans le magasin Ordinateur local \ Autre Personnes. | Certificat public de partenaire commercial | Décodeur MIME/SMIME | - Spécifiez des valeurs pour le nom commun et l’empreinte numérique du certificat de vérification dans la page Certificats de la boîte de dialogue Propriétés de chaque partie . - Spécifiez les options de décodage du pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Recevoir le pipeline dans la page Général de la boîte de dialogue Propriétés de l’emplacement de réception. Note: La configuration de l’option Décoder nécessite qu’un pipeline avec le composant décodeur MIME/SMIME soit déployé. |
| Résolution du tiers (réception) | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à l’ordinateur BizTalk Server à partir duquel la résolution de partie est configurée et importez le certificat dans le magasin Ordinateur local \ Autre Personnes. | Certificat public de partenaire commercial | Résolution de partie | - Spécifiez des valeurs pour le nom commun et l’empreinte numérique du certificat dans la page Certificats de chaque boîte de dialogue Propriétés de l’hôte . - Spécifiez les options ResolveParty dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Recevoir le pipeline dans la page Général de la boîte de dialogue Propriétés de l’emplacement de réception. Note: La configuration de cette option nécessite l’utilisation d’un pipeline qui contient le composant de résolution de partie . Le pipeline XMLReceive contient le composant résolution de partie . |
| HTTPS (envoi) | Compte utilisé par l'instance d'hôte associée au gestionnaire d'envoi | Les communications SSL ne requièrent pas de certificat client. La nécessité ou non d'un certificat de ce type est à la discrétion de l'administrateur du serveur Web de destination. Si le serveur Web de destination requiert un certificat client, procédez comme suit : - Obtenez le certificat public auprès du partenaire commercial. - Connectez-vous à chaque ordinateur exécutant BizTalk Server en tant que compte utilisé par le instance hôte associé au gestionnaire d’envoi. - Importez le certificat dans le magasin Utilisateur actuel \ Personnel . Pour plus d’informations sur l’obtention d’un certificat à l’aide des pages Web des services de certificats Windows Server 2008, consultez Demander un certificat sur le web. |
Certificat public de partenaire commercial | N/D | - Transport HTTP : définissez l’option d’empreinte numérique du certificat client SSL sous l’onglet Authentification de la boîte de dialogue Propriétés du transport HTTP . La boîte de dialogue Propriétés du transport HTTP s’affiche en cliquant sur le bouton Configurer dans la page Général de la boîte de dialogue Propriétés du port d’envoi . - Transport SOAP : définissez l’option Empreinte numérique du certificat client sous l’onglet Général de la boîte de dialogue Propriétés du transport SOAP . La boîte de dialogue Propriétés du transport SOAP s’affiche en cliquant sur le bouton Configurer dans la page Général de la boîte de dialogue Propriétés du port d’envoi . |
Pour afficher l'interface de la console de gestion des certificats pour Ordinateur local et Utilisateur actuel
Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK pour ouvrir la console de gestion Microsoft.
Cliquez sur le menu Fichier , puis sur Ajouter/Supprimer un composant logiciel enfichable pour afficher la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable .
Sélectionnez Certificats dans la liste des composants logiciels enfichables disponibles, puis cliquez sur Ajouter.
Sélectionnez Compte d’ordinateur, cliquez sur Suivant, puis sur Terminer. Cette opération ajoute l’interface de la console de gestion des certificats pour l’ordinateur local.
Vérifiez que Certificats est toujours sélectionné dans la liste des composants logiciels enfichables, puis cliquez à nouveau sur Ajouter .
Sélectionnez Mon compte d’utilisateur , puis cliquez sur Terminer. Cela ajoute l’interface de la console de gestion des certificats pour l’utilisateur actuel.
Notes
Cela affiche la console de gestion des certificats pour le compte sous lequel vous êtes actuellement connecté. Pour importer des certificats dans le magasin Personnel d'un compte de service, vous devez d'abord ouvrir une session avec les informations d'identification de ce compte.
Cliquez sur le bouton OK de la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable .
Instructions générales
Vérifiez que le certificat importé est utilisé dans le but prévu : pour ce faire, double-cliquez sur le certificat dans l’interface de la console de gestion des certificats , puis cliquez sur l’onglet Détails de la boîte de dialogue Certificat . Cliquez ensuite sur l’option Tout de la liste déroulante Afficher , puis cliquez sur pour sélectionner les champs Utilisation de la clé et/ou Utilisation de la clé améliorée pour vérifier l’objectif prévu. Si BizTalk Server tente d’utiliser un certificat à d’autres fins que celles prévues, une erreur d’exécution se produit.
Testez votre connexion au site Web cible : si vous utilisez SSL, vérifiez que vous pouvez vous connecter au site Web cible avec internet Explorer avant de tenter de vous connecter au site Web cible avec les transports HTTP ou SOAP. Vérifiez qu’aucune boîte de dialogue n’est affichée dans Internet Explorer lorsque vous vous connectez au site Web cible. BizTalk Server n’a aucun mécanisme d’interfaçage avec les boîtes de dialogue qui peuvent être affichées lors de la connexion au site web cible. Une boîte de dialogue peut être affichée par Internet Explorer si le nom du site web cible ne correspond pas au nom spécifié pour le site web dans le certificat SSL ou si l’autorité de certification racine pour le certificat SSL ne se trouve pas dans le magasin autorités de certification racines de confiance approprié.
Utilisez l’outil Diagnostics SSL pour analyser les problèmes de connexion SSL : L’outil Diagnostics SSL est un composant facultatif du Kit de ressources diagnostics IIS. Pour plus d’informations, consultez Outils de diagnostic IIS.
Vérifiez que le certificat est valide. BizTalk Server ne vous demande pas si le certificat a expiré. Au lieu de cela, BizTalk Server suspend le message.