Partager via

Problèmes connus avec les certificats dans BizTalk Server

  • Article

Cette section décrit les problèmes connus liés à la gestion des certificats numériques utilisés avec BizTalk Server.

Problèmes généraux liés aux certificats

L’absence de connectivité à la liste de révocation de certificats entraîne le rejet d’un certificat

Ce problème implique l’erreur suivante : « Une erreur d’authentification s’est produite. Le status de l’autorité de certification qui a émis le certificat utilisé pour signer le message est inconnu. » Cette erreur peut se produire même lorsque le certificat de signature est valide lorsqu’il est affiché sous MMC (à l’aide de l’utilisateur BizTalk Server) sur le BizTalk Server.

Cette condition peut se produire si la propriété « Vérifier la révocation de certificat » est activée sur le composant décodeur S/MIME dans le pipeline de réception. Lorsque cette propriété a la valeur true, BizTalk Server tente d’interroger la liste de révocation de certificats (CRL) pour voir si le certificat entrant a été révoqué. Peu importe si le certificat lui-même n’est pas révoqué. Si BizTalk Server ne peut pas interroger la liste de révocation de certificats correspondante en raison de problèmes de connectivité, elle n’accepte pas le certificat. Pour résoudre cette erreur, affichez les propriétés du certificat en double-cliquant sur le certificat que vous avez utilisé. Dans l’onglet Détails, vous verrez l’attribut « Point de distribution CRL » dans la liste des champs. Cet attribut doit contenir plusieurs URL qui pointent vers la liste de révocation de certificats sur votre serveur d’autorité de certification. Le serveur BizTalk doit pouvoir accéder à l’une de ces URL pour récupérer la liste de révocation de certificats. Dans le cas contraire, la vérification de la révocation échoue et l’erreur ci-dessus est publiée.

Le magasin de certificats Other Personnes n’est initialisé qu’après accès

Ce problème implique l’erreur suivante du magasin de certificats lorsque vous essayez d’ajouter ou de modifier des ports/emplacements d’envoi/de réception à l’aide de la console administrateur BizTalk Server à distance : « Impossible d’ouvrir le magasin de certificats ». et « Le système ne trouve pas le fichier spécifié. (Système) ».

Notes

Vous pouvez modifier ces artefacts à l’aide de la console d’administration si vous vous connectez directement au BizTalk Server.

Sur un ordinateur nouvellement installé, le magasin Autres certificats Personnes n’est initialisé que si vous y accédez une seule fois. Pendant la configuration du groupe, vous pouvez initialiser cet Autre Personnes magasin de certificats et, par conséquent, ne voyez pas cette erreur sur un ordinateur sur lequel la configuration de groupe a été effectuée.

BizTalk Server ne prend en charge qu’un seul certificat personnel pour chaque groupe BizTalk

Le certificat personnel utilisé par le groupe BizTalk est spécifié en définissant l’empreinte numérique du certificat personnel dans les propriétés du groupe BizTalk. Un groupe BizTalk peut représenter une entreprise, un service, un hub ou une autre unité commerciale.

Problèmes de certificat AS2

Le décodeur AS2 ne valide pas qu’un certificat est configuré sur l’hôte ou pour la partie de destination

Le décodeur AS2 déchiffre un message à condition que le certificat privé relatif à ce dernier soit configuré dans le magasin de certificats. En revanche, le décodeur AS2 ne valide pas le fait que le certificat de déchiffrement soit identique au certificat configuré sur l'hôte. Le message reçu peut être chiffré avec plusieurs certificats.

BizTalk Server ne parvient pas à déchiffrer un message enregistré au format filaire si le certificat n’est pas valide

Symptôme

BizTalk Server ne peut pas déchiffrer un message AS2 entrant enregistré au format câble dans la base de données de non-répudiation.

Cause possible

Le certificat requis pour déchiffrer le message a expiré ou été révoqué. La probabilité que cela se produise est supérieure si une certaine période s'est écoulée depuis l'enregistrement du message AS2 dans la base de données de non-répudiation. Si cela ce produit, il se peut que vous n'ayez pas d'accès immédiat à un certificat valide pour le message.

Résolution :

Acquérir un certificat valide pour le déchiffrement du message.

Si un message AS2 ne peut pas être déchiffré, le problème peut être résolu en réimportant le certificat

Symptôme

Le décodeur AS2 rencontre une exception lorsqu’il tente de déchiffrer un message AS2, lève l’erreur suivante :

"The AS2 Decoder encountered an exception during processing. Details of the message and exception are as follows:
   AS2-From:"PARTNER" AS2-To:"HOME" MessageID:"<137706.1178060412333@servername>"
   MessageType: "unknown" Exception:"An error occurred when decrypting an AS2 message."
System.ArgumentNullException: Value cannot be null.
Parameter name: PayloadContentType
at Microsoft.BizTalk.Edi.Reporting.Common.Utilities.ValidateArgument(Object o,
String parameterName, Boolean isEmptyStringValidationRequired)
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.ValidateParameters()
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.Create()"

Cause possible

Le certificat utilisé pour déchiffrer le message AS2 doit être rechargé dans le Magasin personnel.

Résolution :

Supprimez le certificat existant du Magasin personnel, puis réimportez le certificat dans le Magasin personnel à l’aide de l’Assistant Importation de certificat. Pour ce faire, cliquez avec le bouton droit sur le dossier Certificat sous le Magasin personnel, pointez sur Toutes les tâches, puis cliquez sur Importer.

Utilisez la même ouverture de session pour le instance hôte in-process et l’hôte isolé instance pour vous assurer que le magasin personnel est reconnu

Le magasin de certificats Personnels sera disponible pour le traitement des messages uniquement si le profil utilisateur est chargé pour l'utilisateur dont les informations d'identification sont associées à l'instance hôte. Le magasin Personnel est utilisé pour les certificats de signature et de déchiffrement (la clé propre privée de l'utilisateur). Le profil utilisateur est chargé par défaut pour l'instance hôte In-process ; toutefois, il n'est pas chargé par défaut pour l'instance hôte isolé. Vous pouvez faire en sorte qu'une application charge le profil utilisateur pour l'hôte isolé. Vous pouvez également contourner ce problème en utilisant le même nom de connexion pour l'instance hôte In-process et l'instance hôte isolé.

Plutôt que de faire charger le profil utilisateur par une application, vous pouvez créer un service vide pour charger le profil. Pour plus d’informations sur la création d’un service vide, consultez Guide pratique pour créer des services Windows (https://go.microsoft.com/fwlink/?LinkId=155149) dans l’aide de Visual Studio.

Après avoir créé le service vide pour charger le profil, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter pour ouvrir la boîte de dialogue Exécuter .

  2. Dans la boîte de dialogue Exécuter , tapez service.msc et appuyez sur ENTRÉE pour ouvrir le composant logiciel enfichable MMC Services .

  3. Ouvrez la boîte de dialogue Propriétés pour le service que vous avez créé. Cliquez avec le bouton droit sur le service, puis sélectionnez Propriétés.

  4. Cliquez sur l’onglet Ouverture de session, sélectionnez Ce compte, puis entrez le nom de connexion utilisé pour l’hôte isolé instance.

  5. Cliquez sur OK.

  6. Démarrez manuellement le service pour charger le profil utilisateur de cet utilisateur d’ouverture de session.

L'attribut Utilisation de la clé d'un certificat doit correspondre à l'utilisation du certificat

Les certificats utilisés pour le transport AS2 doivent avoir les attributs requis pour l'utilisation prévue. Pour la signature et la vérification de la signature, l'attribut Utilisation de la clé du certificat doit être Signature numérique. Pour le chiffrement et le déchiffrement, l'attribut Utilisation de la clé du certificat doit être Chiffrement des données ou Chiffrement de la clé. Vous pouvez vérifier l’attribut Utilisation de la clé en double-cliquant sur le certificat, en cliquant sur l’onglet Détails dans la boîte de dialogue Certificat et en cochant le champ Utilisation de la clé .

La liste de résolution des certificats est vérifiée pour un MDN sortant si la propriété AS2-To n'est pas définie pour le tiers

Dans l'accord par défaut pour un MDN sortant, la vérification de la liste de résolution des certificats est effectuée. Si vous ne voulez pas que cette vérification ait lieu, vérifiez que la propriété AS2-To correcte est définie, de façon à ce que le tiers qui reçoit puisse être résolu et les propriétés du tiers déterminées. Si c'est le cas, l'accord par défaut qui invite à vérifier la liste de résolution des certificats n'est pas utilisé. Vous devez également désactiver la propriété Vérifier la liste de révocation des certificats de la page Général des propriétés de tiers AS2.