Risoluzione dei problemi relativi ai certificati
Microsoft BizTalk Server può usare certificati digitali dell'infrastruttura a chiave pubblica (PKI) a scopo di crittografia e decrittografia dei documenti, firma e verifica dei documenti (non ripudio) e per la risoluzione delle parti. Questo argomento descrive vari scenari di utilizzo della certificazione e opzioni di configurazione e fornisce alcune linee guida generali per l'uso di certificati digitali con BizTalk Server.
Scenari di utilizzo e opzioni di configurazione dei certificati
La maggior parte dei problemi che si verificano durante l'uso dei certificati con BizTalk Server è causata da una configurazione errata o incompleta. L'importazione, ad esempio, del certificato corretto nell'archivio certificati errato o del certificato errato nell'archivio corretto oppure la mancata immissione nella console di amministrazione BizTalk delle informazioni appropriate provocano errori di runtime durante l'utilizzo di certificati.
Usare la tabella seguente come riferimento per gli scenari di utilizzo dei certificati e le opzioni di configurazione disponibili in BizTalk Server:
| Utilizzo dei certificati | Contesto utente | Percorso archivio certificati | Tipo di certificato | Componente di pipeline utilizzato | Parametri di configurazione nella Console di amministrazione BizTalk |
|---|---|---|---|---|---|
| Crittografia (trasmissione) | Account utilizzato dall'istanza host associata al gestore di trasmissione. | Accedere a ogni computer che esegue BizTalk Server che ospiterà le pipeline del codificatore S/MIME e importare il certificato di crittografia nel computer locale \ Altro archivio Persone. | Certificato pubblico partner commerciale | Codificatore MIME/SMIME | - Specificare i valori per il certificato di crittografia Nome comunee Identificazione personale nella pagina Certificato della finestra di dialogo Proprietà porta di invio . - Specificare le opzioni di codifica della pipeline nella finestra di dialogo Configura pipeline . La finestra di dialogo Configura pipeline viene visualizzata facendo clic sul pulsante accanto all'elenco a discesa Invia pipeline nella pagina Generale della finestra di dialogo Proprietà porta di invio . |
| Decrittazione (ricezione) | Account utilizzato dall'istanza host associata al gestore di ricezione. | Accedere a ogni computer che esegue BizTalk Server che ospiterà pipeline di decodifica S/MIME come ogni account del servizio istanza host e importare il certificato di decrittografia nell'archivio utente corrente \ Personale. Nota: Affinché la decrittografia della pipeline abbia esito positivo in un computer IIS 7.0, assicurarsi che l'account per il pool di applicazioni IIS e l'account usato dall'istanza host associata al gestore di ricezione siano uguali e che questo account sia membro del <gruppo machineName>\IIS_WPG. Per altre informazioni sull'impostazione dell'identità del processo IIS per IIS 7.0, vedere Linee guida per la risoluzione dei problemi relativi alle autorizzazioni IIS. È necessario che questi processi vengano eseguiti con lo stesso account per fare in modo che venga caricato il profilo di account, il quale a sua volta carica le chiavi del Registro di sistema necessarie per eseguire la decrittografia nella pipeline. Per motivi di prestazioni, IIS 6.0 non carica il profilo dell'account quando si avvia il processo di w3wp.exe associato in modo che l'istanza host BizTalk Server sia configurata con lo stesso account in modo che BizTalk Server caricherà il profilo dell'account e le chiavi del Registro di sistema. | Certificato privato proprio | Decodificatore MIME/SMIME | - Specificare i valori per il certificato di decrittografia Nome comune e Identificazione personale nella pagina Certificati di ogni finestra di dialogo Proprietà host . - Specificare le opzioni di decodifica della pipeline nella finestra di dialogo Configura pipeline . La finestra di dialogo Configura pipeline viene visualizzata facendo clic sul pulsante accanto all'elenco a discesa Ricezione pipeline nella pagina Generale della finestra di dialogo Proprietà posizione ricezione . |
| Firma (trasmissione) | Account utilizzato dall'istanza host associata al gestore di trasmissione. | Accedere a ogni computer che esegue BizTalk Server che ospiterà le pipeline del codificatore S/MIME come ogni account del servizio istanza host e importare il certificato di firma nell'archivio utente corrente \ Personale. | Certificato privato proprio | Codificatore MIME/SMIME | - Specificare i valori per il certificato di firma Nome comunee Identificazione personale nella pagina Certificato della finestra di dialogo Proprietà gruppo BizTalk . Nota: È possibile specificare un solo certificato di firma per ogni gruppo di BizTalk Server. - Specificare le opzioni di codifica della pipeline nella finestra di dialogo Configura pipeline . La finestra di dialogo Configura pipeline viene visualizzata facendo clic sul pulsante accanto all'elenco a discesa Invia pipeline nella pagina Generale della finestra di dialogo Proprietà porta di invio . |
| Verifica della firma (ricezione) | Account utilizzato dall'istanza host associata al gestore di ricezione. | Accedere a ogni computer che esegue BizTalk Server che ospiterà pipeline di decodifica S/MIME e importare il certificato di firma nel computer locale \ Altro archivio Persone. | Certificato pubblico partner commerciale | Decodificatore MIME/SMIME | - Specificare i valori per il certificato di verifica Nome comune e Identificazione personale nella pagina Certificati di ogni finestra di dialogo Proprietà parti . - Specificare le opzioni di decodifica della pipeline nella finestra di dialogo Configura pipeline . La finestra di dialogo Configura pipeline viene visualizzata facendo clic sul pulsante accanto all'elenco a discesa Ricezione pipeline nella pagina Generale della finestra di dialogo Proprietà posizione ricezione . Nota: La configurazione dell'opzione Decodifica richiede che venga distribuita una pipeline con il componente decodificatore MIME/SMIME. |
| Risoluzione entità (ricezione) | Account utilizzato dall'istanza host associata al gestore di ricezione. | Accedere al computer BizTalk Server da cui viene configurata la risoluzione delle parti e importare il certificato nell'archivio Computer locale \ Altro Persone. | Certificato pubblico partner commerciale | Risoluzione entità | - Specificare i valori per il nome comune del certificato e l'identificazione personale nella pagina Certificati di ogni finestra di dialogo Proprietà host . - Specificare le opzioni ResolveParty nella finestra di dialogo Configura pipeline . La finestra di dialogo Configura pipeline viene visualizzata facendo clic sul pulsante accanto all'elenco a discesa Ricezione pipeline nella pagina Generale della finestra di dialogo Proprietà posizione ricezione . Nota: La configurazione di questa opzione richiede l'uso di una pipeline contenente il componente di risoluzione delle parti . La pipeline XMLReceive contiene il componente risoluzione parti . |
| HTTPS (trasmissione) | Account utilizzato dall'istanza host associata al gestore di trasmissione. | Per la comunicazione SSL non è necessario un certificato client. La decisione di renderlo necessario spetta all'amministratore del server Web di destinazione. Se il server Web di destinazione richiede un certificato client, eseguire la procedura seguente: - Ottenere il certificato pubblico dal partner commerciale. - Accedere a ogni computer che esegue BizTalk Server come account usato dall'istanza host associata al gestore di invio. - Importare il certificato nell'archivio Utente corrente \ Personale . Per informazioni su come ottenere un certificato usando le pagine Web di Servizi certificati di Windows Server 2008, vedere Richiedere un certificato sul Web. |
Certificato pubblico partner commerciale | ND | - Trasporto HTTP : impostare l'opzione identificazione personale del certificato client SSL nella scheda Autenticazione della finestra di dialogo Proprietà trasporto HTTP . La finestra di dialogo Proprietà trasporto HTTP viene visualizzata facendo clic sul pulsante Configura nella pagina Generale della finestra di dialogo Proprietà porta di invio . - Trasporto SOAP : impostare l'opzione Identificazione personale del certificato client nella scheda Generale della finestra di dialogo Proprietà trasporto SOAP . La finestra di dialogo Proprietà trasporto SOAP viene visualizzata facendo clic sul pulsante Configura nella pagina Generale della finestra di dialogo Proprietà porta di invio . |
Per visualizzare l'interfaccia della console di gestione certificati per Computer locale e Utente corrente
Fare clic su Start, scegliere Esegui, digitare MMC e fare clic su OK per aprire Microsoft Management Console.
Fare clic sul menu File e quindi su Aggiungi/Rimuovi snap-in per visualizzare la finestra di dialogo Aggiungi/Rimuovi snap-in .
Selezionare Certificati dall'elenco degli snap-in disponibili e fare clic su Aggiungi.
Selezionare Account computer, fare clic su Avanti e quindi su Fine. Verrà aggiunta l'interfaccia Console di gestione certificati per computer locale.
Assicurarsi che i certificati siano ancora selezionati dall'elenco di snap-in e quindi fare clic su Aggiungi di nuovo.
Selezionare Account utente personale e quindi fare clic su Fine. Verrà aggiunta l'interfaccia console di gestione certificati per l'utente corrente.
Nota
In questo modo viene visualizzata la Console di gestione certificati per l'account attualmente connesso come. Se è necessario importare certificati nell'archivio personale per un account del servizio, è consigliabile accedere prima con le credenziali dell'account del servizio.
Fare clic sul pulsante OK nella finestra di dialogo Aggiungi/Rimuovi snap-in .
Linee guida generali
Assicurarsi che il certificato importato venga usato per lo scopo previsto: a tale scopo, fare doppio clic sul certificato nell'interfaccia Console di gestione certificati e quindi fare clic sulla scheda Dettagli della finestra di dialogo Certificato . Fare quindi clic sull'opzione Tutti per l'elenco a discesa Mostra e quindi fare clic per selezionare i campi Utilizzo chiavi e/o Utilizzo chiave avanzata per verificare lo scopo previsto. Se BizTalk Server tenta di usare un certificato per un altro scopo previsto, si verificherà un errore di runtime.
Testare la connessione al sito Web di destinazione: se si usa SSL, assicurarsi di connettersi al sito Web di destinazione con Internet Explorer prima di tentare di connettersi al sito Web di destinazione con i trasporti HTTP o SOAP. Verificare che non vengano visualizzate finestre di dialogo in Internet Explorer quando ci si connette al sito Web di destinazione. BizTalk Server non ha alcun meccanismo per l'interfacciamento con qualsiasi finestra di dialogo che potrebbe essere visualizzata durante la connessione al sito Web di destinazione. Una finestra di dialogo può essere visualizzata da Internet Explorer se il nome del sito Web di destinazione non corrisponde al nome specificato per il sito Web nel certificato SSL o se l'autorità di certificazione radice per il certificato SSL non è nell'archivio autorità di certificazione radice attendibile appropriato.
Usare lo strumento di diagnostica SSL per analizzare i problemi di connessione SSL: Lo strumento diagnostica SSL è un componente facoltativo del Toolkit di diagnostica IIS. Per altre informazioni, vedere Strumenti di diagnostica IIS.
Verificare che il certificato sia valido. BizTalk Server non richiede se il certificato è scaduto. Al contrario, BizTalk Server sospende il messaggio.