Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describen los problemas conocidos con la seguridad de las soluciones as2 de BizTalk Server.
El descodificador AS2 no validará que un certificado está configurado en el host o para la entidad de destino
El descodificador AS2 descifrará un mensaje siempre que el certificado privado de ese mensaje esté configurado en el almacén de certificados. Sin embargo, el descodificador AS2 no validará que el certificado de descifrado sea el mismo que el certificado configurado en el host. El mensaje recibido se puede cifrar con más de un certificado.
El almacenamiento de mensajes AS2 en formato de transmisión puede provocar un problema de seguridad
Cuando no se usan certificados, no se recomienda almacenar mensajes AS2 en formato de transmisión en la base de datos de recibos de no repudio (NRR). Si lo hace, podría provocar un problema de seguridad.
Se deben firmar los mensajes o los MDN que se van a almacenar en la base de datos NRR.
Para garantizar el no repudio de la recepción, debe establecer la autenticación y la integridad del mensaje aplicable. La forma recomendada de hacerlo es mediante una firma digital en el mensaje. Como resultado, si configura propiedades de entidad AS2 para almacenar mensajes o MDN en la base de datos de no rechazo, debe configurar las propiedades AS2 para firmar los mensajes o MDN que va a almacenar.
BizTalk Server no podrá descifrar un mensaje que se ha guardado en formato de transmisión si el certificado no es válido.
Síntoma
BizTalk Server no puede descifrar un mensaje AS2 entrante que se guardó en formato de transmisión en la base de datos de no repudio.
Causa posible
El certificado necesario para descifrar el mensaje ha expirado o se ha revocado. Esto es más probable que ocurra si ha transcurrido un determinado período de tiempo desde que se guardó el mensaje AS2 en la base de datos de no rechazo. Si esto ocurre, es posible que no tenga acceso inmediato a un certificado válido para el mensaje.
Resolución
Adquiera un certificado válido para descifrar el mensaje.
El sobre interno de un mensaje AS2 firmado no debe cambiarse después de que se haya calculado la firma.
Cuando se firma un mensaje AS2, la firma se calcula en función de los encabezados de la envoltura interna y la carga útil. Si se cambia el sobre interno después de calcular la firma, se dañará la firma. Los encabezados de límite, o cualquier cosa fuera de los encabezados de límite, se pueden cambiar, pero no se debe cambiar nada dentro de los encabezados de límite.
Use el mismo inicio de sesión para la instancia de host en proceso y la instancia de host aislada para garantizar que se reconozca el almacén Personal.
El almacén de certificados personal estará disponible para el procesamiento de mensajes solo si el perfil de usuario se carga para el usuario cuyas credenciales de inicio de sesión están asociadas a la instancia de host. El almacén Personal se usa para firmar y descifrar certificados (la propia clave privada del usuario). El perfil de usuario se carga de forma predeterminada para la instancia de host en proceso; sin embargo, el perfil de usuario no se carga de forma predeterminada para la instancia de host aislada. Puede hacer que una aplicación cargue el perfil de usuario para el host aislado. Como alternativa, puede solucionar este problema mediante el mismo inicio de sesión para la instancia de host en proceso y la instancia de host aislada.
En lugar de que una aplicación cargue el perfil de usuario, puede crear un servicio vacío para cargar el perfil. Para obtener información sobre cómo crear un servicio vacío, vea How to: Create Windows Services. Después de crear el servicio, abra el cuadro de diálogo Administración de equipos, abra el cuadro de diálogo Propiedades del servicio, haga clic en la pestaña Iniciar sesión , seleccione Esta cuenta, escriba el nombre de inicio de sesión usado para la instancia de host aislada y, a continuación, haga clic en Aceptar. A continuación, puede iniciar manualmente el servicio para cargar el perfil de usuario para ese usuario de inicio de sesión.
El atributo Uso de clave de un certificado debe coincidir con el uso del certificado.
Los certificados usados para el transporte AS2 deben tener los atributos necesarios para su uso previsto. Para la firma y la comprobación de firmas, el atributo Uso de claves del certificado debe ser Firma digital. Para el cifrado y el descifrado, el atributo Uso de claves del certificado debe ser Cifrado de datos o Cifrado de claves. Para comprobar el atributo Uso de claves, haga doble clic en el certificado, haga clic en la pestaña Detalles del cuadro de diálogo Certificado y active el campo Uso de claves.
La lista de resolución de certificados se comprobará para un MDN saliente si la propiedad AS2-To no está establecida para la parte.
En el contrato predeterminado para un MDN saliente, se realiza la comprobación de la lista de resolución de certificados. Si no desea que se realice esta comprobación, compruebe que está establecida correctamente la propiedad de entidad de AS2-To, de modo que se pueda resolver la entidad receptora y se puedan determinar las propiedades de la entidad. Si es así, no se usará el contrato predeterminado que solicita la comprobación de la lista de resolución de certificados. También deberá deshabilitar la propiedad Comprobar lista de revocación de certificados en la página General de las propiedades de parte AS2.