Solucionar problemas de certificados
Microsoft BizTalk Server puede usar certificados digitales de infraestructura de clave pública (PKI) para fines de cifrado y descifrado de documentos, firma de documentos y verificación (no rechazo) y para la resolución de partes. En este tema se describen varios escenarios de uso de certificación y opciones de configuración y se proporcionan algunas directrices generales para usar certificados digitales con BizTalk Server.
Opciones de configuración y de escenarios de uso de certificado
La mayoría de los problemas que se producen al usar certificados con BizTalk Server son el resultado de una configuración incorrecta o incompleta. Por ejemplo, la importación del certificado correcto en el almacén de certificados erróneo, el certificado incorrecto en el almacén correcto o error al especificar la información correspondiente en la consola de administración de BizTalk, harán que se produzcan errores en tiempo de ejecución al usar los certificados.
Use la tabla siguiente como referencia para los escenarios de uso de certificados y las opciones de configuración disponibles en BizTalk Server:
| Uso de certificados | Contexto de usuario | Ubicación del almacén de certificados | Tipo de certificado | Componente de canalización usado | Parámetros de configuración de la consola de administración de BizTalk Server |
|---|---|---|---|---|---|
| Cifrado (envío) | Cuenta usada por la instancia de host asociada al controlador de envío | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará canalizaciones del codificador S/MIME e importará el certificado de cifrado en el equipo local \ Otros Personas almacén. | Certificado público de socio comercial | Codificador de MIME/SMIME | - Especifique los valores para el nombre común y la huella digital del certificado de cifrado en la página Certificado del cuadro de diálogo Propiedades del puerto de envío. - Especifique las opciones de codificación de canalización en el cuadro de diálogo Configurar canalización . El cuadro de diálogo Configurar canalización se muestra haciendo clic en el botón situado junto a la lista desplegable Enviar canalización en la página General del cuadro de diálogo Propiedades del puerto de envío. |
| Descifrado (recepción) | Cuenta usada por la instancia de host asociada al controlador de recepción | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará canalizaciones de descodificador S/MIME como cada cuenta de servicio de instancia de host e importe el certificado de descifrado en el almacén usuario actual \ Personal. Nota: Para que el descifrado de canalización se realice correctamente en un equipo de IIS 7.0, asegúrese de que la cuenta del grupo de aplicaciones de IIS y la cuenta usada por la instancia de host asociada al controlador de recepción son iguales y que esta cuenta es miembro del <grupo machineName>\IIS_WPG. Para obtener más información sobre cómo establecer la identidad del proceso de IIS para IIS 7.0, vea Directrices para resolver problemas de permisos de IIS. Estos procesos se deben ejecutar en la misma cuenta para comprobar que se carga el perfil de cuenta que, a su vez, carga las claves de registro necesarias para llevar a cabo el descifrado en la canalización. Por motivos de rendimiento, IIS 6.0 no carga el perfil de cuenta al iniciar el proceso de w3wp.exe asociado, por lo que la instancia de host de BizTalk Server debe configurarse con la misma cuenta para que BizTalk Server cargue el perfil de cuenta y las claves del Registro. | Certificado privado propio | Descodificador de MIME/SMIME | : especifique valores para el nombre común y la huella digital del certificado de descifrado en la página Certificados de cada cuadro de diálogo Propiedades del host . - Especifique las opciones de descodificación de canalización en el cuadro de diálogo Configurar canalización . El cuadro de diálogo Configurar canalización se muestra haciendo clic en el botón situado junto a la lista desplegable Canalización de recepción en la página General del cuadro de diálogo Propiedades de ubicación de recepción. |
| Firma (envío) | Cuenta usada por la instancia de host asociada al controlador de envío | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará canalizaciones del codificador S/MIME como cada cuenta de servicio de instancia de host e importe el certificado de firma en el almacén Usuario actual \ Personal. | Certificado privado propio | Codificador de MIME/SMIME | - Especifique valores para el nombre común y la huella digital del certificado de firma en la página Certificado del cuadro de diálogo Propiedades del grupo de BizTalk . Nota: Solo se puede especificar un certificado de firma por cada grupo de BizTalk Server. - Especifique las opciones de codificación de canalización en el cuadro de diálogo Configurar canalización . El cuadro de diálogo Configurar canalización se muestra haciendo clic en el botón situado junto a la lista desplegable Enviar canalización en la página General del cuadro de diálogo Propiedades del puerto de envío. |
| Comprobación de firma (recepción) | Cuenta usada por la instancia de host asociada al controlador de recepción | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará canalizaciones de descodificador S/MIME e importará el certificado de firma en el equipo local \ Otros Personas almacén. | Certificado público de socio comercial | Descodificador de MIME/SMIME | : especifique valores para el certificado de verificación Nombre común e Huella digital en la página Certificados del cuadro de diálogo Propiedades de cada entidad . - Especifique las opciones de descodificación de canalización en el cuadro de diálogo Configurar canalización . El cuadro de diálogo Configurar canalización se muestra haciendo clic en el botón situado junto a la lista desplegable Canalización de recepción en la página General del cuadro de diálogo Propiedades de ubicación de recepción. Nota: La configuración de la opción Decode requiere que se implemente una canalización con el componente de descodificador MIME/SMIME. |
| Resolución de entidades (recepción) | Cuenta usada por la instancia de host asociada al controlador de recepción | Inicie sesión en el equipo BizTalk Server desde el que se configura la resolución de entidad e importe el certificado en el equipo local \ Otros Personas almacén. | Certificado público de socio comercial | Resolución de partes | : especifique valores para el nombre común y la huella digital del certificado en la página Certificados de cada cuadro de diálogo Propiedades de host . - Especifique las opciones ResolveParty en el cuadro de diálogo Configurar canalización . El cuadro de diálogo Configurar canalización se muestra haciendo clic en el botón situado junto a la lista desplegable Canalización de recepción en la página General del cuadro de diálogo Propiedades de ubicación de recepción. Nota: La configuración de esta opción requiere el uso de una canalización que contenga el componente de resolución de entidad . La canalización XMLReceive contiene el componente de resolución party . |
| HTTPS (envío) | Cuenta usada por la instancia de host asociada al controlador de envío | La comunicación SSL no necesita un certificado de cliente. En caso de que sea necesario un certificado de cliente, será a discreción del administrador de servidor Web de destino. Si el servidor Web de destino necesita un certificado de cliente, realice los siguientes pasos: - Obtener el certificado público del socio comercial. - Inicie sesión en cada equipo que ejecuta BizTalk Server como la cuenta usada por la instancia de host asociada al controlador de envío. - Importe el certificado en el almacén Usuario actual \ Personal . Para obtener información sobre cómo obtener un certificado mediante páginas web de Servicios de certificados de Windows Server 2008, vea Solicitar un certificado a través de la Web. |
Certificado público de socio comercial | N/D | - Transporte HTTP : establezca la opción huella digital del certificado de cliente SSL en la pestaña Autenticación del cuadro de diálogo Propiedades de transporte HTTP . Para mostrar el cuadro de diálogo Propiedades de transporte HTTP , haga clic en el botón Configurar de la página General del cuadro de diálogo Propiedades del puerto de envío. - Transporte SOAP : establezca la opción Huella digital del certificado de cliente en la pestaña General del cuadro de diálogo Propiedades de transporte SOAP . Para mostrar el cuadro de diálogo Propiedades de transporte SOAP , haga clic en el botón Configurar de la página General del cuadro de diálogo Propiedades del puerto de envío. |
Para mostrar la interfaz de la consola de administración de certificados de Equipo local y Usuario actual
Haga clic en Inicio, haga clic en Ejecutar, escriba MMC y haga clic en Aceptar para abrir Microsoft Management Console.
Haga clic en el menú Archivo y, a continuación, haga clic en Agregar o quitar complemento para mostrar el cuadro de diálogo Agregar o quitar complemento .
Seleccione Certificados en la lista de complementos disponibles y haga clic en Agregar.
Seleccione Cuenta de equipo, haga clic en Siguiente y, a continuación, en Finalizar. Esto agregará la interfaz de la consola de administración de certificados para Equipo local.
Asegúrese de que los certificados todavía están seleccionados en la lista de complementos y, a continuación, haga clic en Agregar de nuevo.
Seleccione Mi cuenta de usuario y haga clic en Finalizar. Esto agregará la interfaz de la Consola de administración de certificados para el usuario actual.
Nota
Esto muestra la Consola de administración de certificados para la cuenta en la que ha iniciado sesión actualmente. Si es necesario importar certificados en el almacén Personal para una cuenta de servicio, primero debe iniciar sesión con las credenciales de la cuenta de servicio.
Haga clic en el botón Aceptar del cuadro de diálogo Agregar o quitar complemento .
Directrices generales
Asegúrese de que el certificado importado se usa para su finalidad prevista: para ello, haga doble clic en el certificado en la interfaz de la Consola de administración de certificados y, a continuación, haga clic en la pestaña Detalles del cuadro de diálogo Certificado . A continuación, haga clic en la opción Todo de la lista desplegable Mostrar y, a continuación, haga clic para seleccionar los campos Uso de claves o Uso mejorado de claves para comprobar el propósito previsto. Si BizTalk Server intentos de usar un certificado para no ser su propósito previsto, se producirá un error en tiempo de ejecución.
Pruebe la conexión al sitio web de destino: si usa SSL, asegúrese de que puede conectarse al sitio web de destino con Internet Explorer antes de intentar conectarse al sitio web de destino con los transportes HTTP o SOAP. Compruebe que no se muestran cuadros de diálogo en Internet Explorer al conectarse al sitio web de destino. BizTalk Server no tiene ningún mecanismo para interactuar con ningún cuadro de diálogo que se pueda mostrar al conectarse al sitio web de destino. Internet Explorer puede mostrar un cuadro de diálogo si el nombre del sitio web de destino no coincide con el nombre especificado para el sitio web en el certificado SSL o si la entidad de certificación raíz del certificado SSL no está en el almacén de entidades de certificación raíz de confianza correspondientes.
Use la herramienta diagnóstico ssl para analizar problemas de conexión SSL: La herramienta Diagnósticos SSL es un componente opcional del Kit de herramientas de diagnóstico de IIS. Para obtener más información, consulte Herramientas de diagnóstico de IIS.
Asegúrese de que el certificado es válido. BizTalk Server no le pregunta si el certificado ha expirado. En su lugar, BizTalk Server suspenderá el mensaje.