Certificati utilizzati da BizTalk Server per i messaggi firmati
BizTalk Server supporta la firma dei messaggi in uscita e la verifica della firma per i messaggi Secure Multipurpose Internet Mail Extensions (S/MIME) in ingresso. BizTalk Server utilizza le versioni 2 e 3 di S/MIME per firmare i messaggi in uscita e per convalidare la firma dei messaggi in ingresso. Analogamente, è possibile configurare BizTalk Server per la firma e la crittografia dei messaggi inviati ai partner.
BizTalk Server supporta gli algoritmi di firma MD5 e SHA-1 per la verifica delle firme digitali. BizTalk Server utilizza l'algoritmo di firma SHA-1 per firmare i messaggi in uscita.
I sistemi di scambio di chiave supportati da BizTalk Server per le chiavi di firma sono gli algoritmi Rivest-Shamir-Adleman (RSA) e Digital Signature Standard (DSS). BizTalk Server non supporta il sistema di scambio Advanced Encryption Standard (AES) per le chiavi di firma.
Il certificato di firma supportato da BizTalk Server è x.509 versione 3.
Nella figura seguente viene illustrato il flusso messaggi quando BizTalk Server riceve un messaggio con firma digitale e facoltativamente utilizza la firma per risolvere l'identità del partner in un'entità dell'ambiente BizTalk Server.
Il flusso messaggi quando BizTalk Server riceve un messaggio con firma digitale è il seguente:
Un partner invia un messaggio a BizTalk Server. Il partner firma il messaggio con il certificato di chiave privata.
Il gestore di ricezione di BizTalk Server appropriato riceve il messaggio.
Durante l'esecuzione della pipeline di ricezione, il componente della pipeline Decodificatore MIME/SMIME verifica la firma digitale utilizzando la chiave pubblica del partner.
Se il componente di risoluzione entità è configurato, il certificato di chiave pubblica del partner viene utilizzato per identificare l'entità nel sistema BizTalk Server durante l'esecuzione della pipeline di ricezione.
Vengono eseguite ulteriori operazioni di elaborazione.
Nella figura seguente viene illustrato il flusso messaggi quando BizTalk Server invia un messaggio con firma digitale.
Il flusso messaggi quando BizTalk Server invia un messaggio con firma digitale a un partner è il seguente:
Il gestore di trasmissione di BizTalk Server appropriato invia un messaggio al partner.
Durante l'esecuzione della pipeline di trasmissione, il componente della pipeline Codificatore MIME/SMIME firma il messaggio utilizzando la chiave privata di BizTalk Server.
Il partner riceve il messaggio da BizTalk Server Il partner utilizza la chiave pubblica di BizTalk Server per verificare la firma digitale.
BizTalk Server verifica la validità dei certificati associati ai messaggi firmati in ingresso convalidando la catena di attendibilità dell'Autorità di certificazione (CA) per il certificato e verificando che il certificato non sia scaduto. Il processo di convalida della catena di attendibilità dell'Autorità di certificazione (CA) comporta l'analisi della catena di certificati presente sui certificati fino a raggiungere un'Autorità di certificazione radice. In questo modo si convalida che il certificato utilizzato per firmare un messaggio provenga effettivamente dall'entità identificata. Questo processo di convalida si verifica in fase di esecuzione per ogni singolo messaggio firmato.
È inoltre possibile per BizTalk Server verificare che l'Autorità di certificazione non abbia revocato il certificato utilizzato per firmare o crittografare il messaggio. A tale scopo, è necessario scaricare l'elenco di revoche di certificati (CRL) dell'Autorità di certificazione e installarlo mediante Esplora risorse. Per altre informazioni su come convalidare un certificato, vedere Come configurare il componente della pipeline del decodificatore MIME-SMIME.
Vedere anche
Certificati usati da BizTalk Server per i messaggi crittografati
Archivi certificati usati da BizTalk Server
Crittografia e firma dei certificati
Invio e ricezione di messaggi firmati