Solucionar problemas de certificados

 

Microsoft BizTalk Server puede hacer uso de certificados digitales de infraestructura de clave pública (PKI) a efectos de cifrado y descifrado de documentos, firma y comprobación de documento (no rechazo), así como para la resolución de entidades. En este tema se describen varias opciones de configuración y de escenarios de uso de certificación, además de proporcionar algunas instrucciones generales para el uso de certificados digitales con BizTalk Server.

La mayoría de los problemas que se producen durante el uso de certificados con BizTalk Server son el resultado de una configuración incorrecta o incompleta. Por ejemplo, la importación del certificado correcto en el almacén de certificados erróneo, el certificado incorrecto en el almacén correcto o error al especificar la información correspondiente en la consola de administración de BizTalk, harán que se produzcan errores en tiempo de ejecución al usar los certificados.

Use la siguiente tabla como referencia para las opciones de configuración y de escenarios de uso de certificados disponibles en BizTalk Server:

Uso de certificadosContexto de usuarioUbicación de almacén de certificadosTipo de certificadoComponente de canalización usadoParámetros de configuración de la consola de administración de BizTalk Server
Cifrado (envío)Cuenta usada por la instancia de host asociada al controlador de envíoInicie sesión en cada equipo que ejecuta BizTalk Server que alojarán las canalizaciones de codificador de S/MIME e importe el certificado de cifrado en el ordenador \ otras personas almacenar.Certificado público de socio comercialCodificador de MIME/SMIME-Especifique valores para el certificado de cifrado nombre común y huella digital en el certificado página de la Propiedades de puerto de envío cuadro de diálogo.
-Especifique canalización Encode Opciones en el Configurar canalización cuadro de diálogo. El Configurar canalización se muestra el cuadro de diálogo haciendo clic en el botón junto a la canalización de envío lista desplegable situada en la General página de la Propiedades de puerto de envío cuadro de diálogo.
Descifrado (recepción)Cuenta usada por la instancia de host asociada al controlador de recepciónInicie sesión en cada equipo que ejecuta BizTalk Server que se alojarán las canalizaciones de descodificador de S/MIME como cada cuenta de servicio de la instancia de host e importe el certificado de descifrado para el usuario actual \ Personal almacenar. Nota: para que el descifrado de canalización se complete correctamente en un equipo con IIS 7.0, asegúrese de que la cuenta para el grupo de aplicaciones de IIS y la cuenta utilizada por la instancia de host asociada con el controlador de recepción son los mismos y que esta cuenta es miembro de la < machineName>grupo \IIS_WPG. Para obtener más información acerca de cómo establecer la identidad de proceso IIS para IIS 7.0, vea directrices para resolver problemas de permisos de IIS. Estos procesos se deben ejecutar en la misma cuenta para comprobar que se carga el perfil de cuenta que, a su vez, carga las claves de registro necesarias para llevar a cabo el descifrado en la canalización. Por motivos de rendimiento, IIS 6.0 no carga el perfil de cuenta al iniciar el proceso w3wp.exe asociado, de modo que la instancia de host de BizTalk Server debe configurarse con la misma cuenta, para que BizTalk Server cargue el perfil de cuenta y las claves de Registro.Certificado privado propioDescodificador de MIME/SMIME-Especifique valores para el certificado de descifrado nombre común y huella digital en el certificados página de cada Propiedades de Host cuadro de diálogo.
-Especifique canalización Decode Opciones en el Configurar canalización cuadro de diálogo. El Configurar canalización se muestra el cuadro de diálogo haciendo clic en el botón junto a la canalización de recepción lista desplegable situada en la General página de la Propiedades de la ubicación de recepción cuadro de diálogo.
Firma (envío)Cuenta usada por la instancia de host asociada al controlador de envíoInicie sesión en cada equipo que ejecuta BizTalk Server que se alojarán las canalizaciones de codificador de S/MIME como cada cuenta de servicio de la instancia de host e importe el certificado de firma para el usuario actual \ Personal almacenar.Certificado privado propioCodificador de MIME/SMIME-Especifique valores para el certificado de firma nombre común y huella digital en el certificado página de la Propiedades del grupo de BizTalk cuadro de diálogo. Nota: se puede especificar sólo un certificado de firma por cada BizTalk Server grupo.
-Especifique canalización Encode Opciones en el Configurar canalización cuadro de diálogo. El Configurar canalización se muestra el cuadro de diálogo haciendo clic en el botón junto a la canalización de envío lista desplegable situada en la General página de la Propiedades de puerto de envío cuadro de diálogo.
Comprobación de firma (recepción)Cuenta usada por la instancia de host asociada al controlador de recepciónInicie sesión en cada equipo que ejecuta BizTalk Server que alojarán las canalizaciones de descodificador de S/MIME e importe el certificado de firma para el ordenador \ otras personas almacenar.Certificado público de socio comercialDescodificador de MIME/SMIME-Especifique valores para el certificado de verificación nombre común y huella digital en el certificados página de cada Propiedades de la entidad cuadro de diálogo.
-Especifique canalización Decode Opciones en el Configurar canalización cuadro de diálogo. El Configurar canalización se muestra el cuadro de diálogo haciendo clic en el botón junto a la canalización de recepción lista desplegable situada en la General página de la Propiedades de la ubicación de recepción cuadro de diálogo. Nota: configuración de la Decode opción requiere que se implemente una canalización con el componente de descodificador MIME/SMIME.
Resolución de entidades (recepción)Cuenta usada por la instancia de host asociada al controlador de recepciónInicie sesión en la BizTalk Server equipo de la entidad que se está configurando la resolución e importe el certificado en el ordenador \ otras personas almacenar.Certificado público de socio comercialResolución de entidades-Especifique valores para el certificado nombre común y huella digital en el certificados página de cada Propiedades de Host cuadro de diálogo.
-Especifique ResolveParty Opciones en el Configurar canalización cuadro de diálogo. El Configurar canalización se muestra el cuadro de diálogo haciendo clic en el botón junto a la canalización de recepción lista desplegable situada en la General página de la Propiedades de la ubicación de recepción cuadro de diálogo. Nota: configuración de esta opción requiere el uso de una canalización que contiene el la resolución de entidades componente. El XMLReceive canalización contiene el la resolución de entidades componente.
HTTPS (envío)Cuenta usada por la instancia de host asociada al controlador de envíoLa comunicación SSL no necesita un certificado de cliente. En caso de que sea necesario un certificado de cliente, será a discreción del administrador de servidor Web de destino. Si el servidor Web de destino necesita un certificado de cliente, realice los siguientes pasos:

: Obtenga el certificado público del socio comercial.
-Log en cada equipo que ejecuta BizTalk Server como la cuenta utilizada por la instancia de host asociada con el controlador de envío.
-Importe el certificado en la usuario actual \ Personal almacenar.

Para obtener información sobre cómo obtener un certificado mediante las páginas Web de servicios de Certificate Server de Windows Server 2008, consulte Solicitar un certificado Over the Web.
Certificado público de socio comercialN/D- Transporte HTTP : Configure la huella digital de certificado de cliente SSL opción el autenticación pestaña de la Propiedades de transporte HTTP cuadro de diálogo. El Propiedades de transporte HTTP se muestra el cuadro de diálogo, haga clic en el configurar situado en la General página de la Propiedades de puerto de envío cuadro de diálogo.
- Transporte SOAP : Configure la huella digital del certificado de cliente opción el General pestaña de la Propiedades de transporte SOAP cuadro de diálogo. El Propiedades de transporte SOAP se muestra el cuadro de diálogo, haga clic en el configurar situado en la General página de la Propiedades de puerto de envío cuadro de diálogo.

Para mostrar la interfaz de la consola de administración de certificados de Equipo local y Usuario actual

  1. Haga clic en iniciar, haga clic en ejecutar, tipo MMC, y haga clic en Aceptar para abrir el Microsoft Management Console.

  2. Haga clic en el archivo menú y, a continuación, haga clic en Agregar o quitar complemento para mostrar el Agregar o quitar complemento cuadro de diálogo.

  3. Seleccione certificados en la lista de complementos disponibles y haga clic en Agregar.

  4. Seleccione cuenta de equipo, haga clic en siguiente, y, a continuación, haga clic en Finalizar. Esto agregará la consola de administración de certificados interfaz para equipo Local.

  5. Asegúrese de que certificados sigue seleccionado en la lista de complementos y, a continuación, haga clic en Agregar nuevo.

  6. Seleccione Mi cuenta de usuario y, a continuación, haga clic en Finalizar. Esto agregará la consola de administración de certificados interfaz para usuario actual.

    System_CAPS_ICON_note.jpg Nota

    Esto muestra el consola de administración de certificados para la cuenta que han iniciado sesión como. Si es necesario importar certificados en el almacén Personal para una cuenta de servicio, primero debe iniciar sesión con las credenciales de la cuenta de servicio.

  7. Haga clic en el Aceptar situado en el Agregar o quitar complemento cuadro de diálogo.

  • Asegúrese de que el certificado importado se usa para el propósito planteado: para ello, haga doble clic en el certificado en el consola de administración de certificados interfaz y, a continuación, haga clic en el detalles pestaña de la certificado cuadro de diálogo. A continuación, haga clic en la todos los opción el Mostrar lista desplegable y, a continuación, haga clic para seleccionar la EKU o uso mejorado de clave campos para comprobar el fin previsto. Si BizTalk Server trata de usar un certificado con un fin distinto al previsto, se producirá un error en tiempo de ejecución.

  • Pruebe la conexión al sitio Web de destino: si está usando SSL, asegúrese de que puede conectarse al sitio Web de destino con Internet Explorer antes de intentar conectarse al sitio Web de destino con los transportes HTTP o SOAP. Compruebe que ningún cuadro de diálogo se muestran en el Explorador de Internet cuando se conecta al sitio Web de destino. BizTalk Server no tiene ningún mecanismo para interactuar con los cuadros de diálogo que pueden aparecer al conectarse al sitio web de destino. Un cuadro de diálogo puede mostrarse de Internet Explorer si el nombre del sitio web de destino no coincide con el nombre especificado para el sitio web en el certificado SSL o si la entidad de certificación de raíz para el certificado SSL no está en la correspondiente entidades de certificación raíz de confianza almacenar.

  • Use la herramienta de diagnóstico de SSL para analizar problemas de conexión de SSL: herramienta el diagnóstico de SSL es un componente opcional del Kit de herramientas de diagnóstico de IIS. Descargar el Kit de herramientas de diagnóstico IIS de Herramientas de diagnóstico de los servicios de Internet Information Server.

  • Asegúrese de que el certificado es válido. BizTalk Server no le informará si el certificado ha expirado. En lugar de ello, BizTalk Server suspenderá el mensaje.

Cifrado y certificados de firma

Adiciones de comunidad

AGREGAR
Mostrar: