Instalar certificados para los adaptadores de WCF
Los adaptadores de WCF pueden hacer uso de certificados digitales de infraestructura de clave pública (PKI) a efectos de cifrado y descifrado de mensajes, firma y comprobación de mensajes (sin repudio), así como para la autenticación de cliente. En este tema se describen varias opciones de configuración y de escenarios de uso de certificación para la utilización de certificados digitales con adaptadores de WCF.
Escenarios de uso de certificado para ubicaciones de recepción WCF
La siguiente tabla muestra cómo instalar los certificados para las ubicaciones de recepción WCF.
| Uso de certificado | Contexto de usuario | Ubicación del almacén de certificados | Tipo de certificado | Cuándo instalar los certificados |
|---|---|---|---|---|
| Descifrado y firma que dependen de la configuración de seguridad de la ubicación de recepción | Cuenta usada por la instancia de host asociada al controlador de recepción | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará las ubicaciones de recepción como cada cuenta de servicio de instancia de host e importe el certificado de servicio en el almacén Usuario actual \ Personal (Mi). | Certificado privado propio | Especifique el valor de la propiedad Service certificate - Thumbprint en las siguientes configuraciones: - La propiedad Modo de seguridad del WCF-BasicHttp ubicación de recepción se establece en Message. - La propiedad Tipo de credencial de cliente de transporte de la ubicación de recepción de WCF-BasicHttp se establece en Certificado para el modo de seguridad TransportCredentialOnly . - La propiedad Tipo de credencial de cliente de mensaje de la ubicación de recepción de WCF-WSHttp se establece en Ninguno, Certificado o UserName para el modo de seguridad del mensaje . - La propiedad Tipo de credencial de cliente de transporte de la ubicación de recepción de WCF-NetTcp se establece en Ninguno o Certificado para el modo de seguridad transporte . - La propiedad Tipo de credencial de cliente de mensaje de la ubicación de recepción de WCF-NetTcp se establece en Ninguno, NombreDeUsuario o Certificado para el modo de seguridad del mensaje . - La propiedad Tipo de credencial de cliente de mensaje de la ubicación de recepción de WCF-NetTcp se establece en Windows, UserName o Certificate para el modo de seguridad TransportWithMessageCredential . - La propiedad Modo de seguridad del WCF-NetMsmq se establece en Message o Both. |
| Autenticación de cliente | N/D | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará las ubicaciones de recepción como administradores e importe la cadena de certificados de ca para los certificados X.509 del cliente en el almacén de certificados de entidades de certificación raíz de confianza del equipo para que los clientes puedan autenticarse en esta ubicación de recepción. | La cadena de certificados de CA para los certificados X.509 de cliente | Instale la cadena de certificados de CA para los certificados X.509 de cliente en el almacén de certificado Entidades emisoras raíz de confianza en las siguientes configuraciones: - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte de la ubicación de recepción del WCF-BasicHttp se establece en Certificado. - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte de la ubicación de recepción del WCF-WSHttp se establece en Certificado. - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte de la ubicación de recepción del WCF-NetTcp se establece en Certificado. - La propiedad tipo de credencial de cliente de mensaje o modo de autenticación MSMQ de la ubicación de recepción de WCF-NetMsmq se establece en Certificado. |
Nota
Dado que los adaptadores de recepción de WCF estándar usan el modo ChainTrust para validar los certificados de cliente, debe instalar la cadena de certificados de CA para los certificados X.509 del cliente. Puede usar el WCF-Custom o los adaptadores de WCF-CustomIsolated para cambiar este comportamiento predeterminado.
Nota
Para los adaptadores de recepción WCF aislados, debe hacer coincidir la cuenta de usuario entre una instancia de host aislado y el grupo de aplicaciones correspondientes. Para obtener más información sobre los hosts aislados de BizTalk, consulte Habilitación de servicios web.
Nota
Para la WCF-Custom y WCF-CustomIsolated ubicaciones de recepción, el contexto de usuario, la ubicación del almacén de certificados y el tipo de certificado para los certificados que se van a instalar varía entre la configuración del elemento de comportamiento serviceCredentials y clientCredentials .
Nota
Si la ubicación de recepción usa el elemento de certificado para la propiedad Endpoint Identity , también debe instalar el certificado para la identidad de servicio publicada en el almacén de certificados especificado en la propiedad Endpoint Identity .
Nota
En lugar de iniciar sesión en el equipo mediante una cuenta de administrador o una cuenta de servicio de instancia de host, puede usar como alternativa el comando Ejecutar como con cuentas aplicables para realizar la misma acción.
Escenarios de uso de certificado para puertos de recepción WCF
La siguiente tabla muestra cómo instalar los certificados para los puertos de recepción WCF.
| Uso de certificado | Contexto de usuario | Ubicación del almacén de certificados | Tipo de certificado | Cuándo instalar los certificados |
|---|---|---|---|---|
| Autenticación de cliente | Cuenta usada por la instancia de host asociada al puerto de envío | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará los puertos de envío como cada cuenta de servicio de instancia de host e importe el certificado de cliente en el almacén Usuario actual \ Personal (Mi). | Certificado privado propio | Especifique el valor de la propiedad Certificado de cliente: huella digital en las siguientes configuraciones: - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte del puerto de envío de WCF-BasicHttp se establece en Certificado. - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte del puerto de envío de WCF-WSHttp se establece en Certificado. - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte del puerto de envío de WCF-NetTcp se establece en Certificado. - La propiedad tipo de credencial de cliente de mensaje o modo de autenticación MSMQ del puerto de envío de WCF-NetMsmq se establece en Certificado. |
| La autenticación de servicios, comprobación de firma y cifrado que dependen de la configuración de seguridad del puerto de envío. | N/D | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará los puertos de envío como administradores e importe el certificado de servicio en el almacén equipo local \ Otras personas (AddressBook). Deberá instalar también la cadena de certificados de CA para certificados de servicio en el almacén de certificados Entidades emisoras de certificados raíz de confianza del equipo. | - Certificado público de servicio : la cadena de certificados de entidad de certificación para el certificado de servicio. |
Especifique el valor de la propiedad Service certificate - Thumbprint en las siguientes configuraciones: - La propiedad Tipo de credencial de cliente de mensaje o Tipo de credencial de cliente de transporte del puerto de envío de WCF-BasicHttp se establece en Certificado. - La propiedad Tipo de credencial de cliente de mensaje del puerto de envío de WCF-WSHttp se establece en None, UserName o Certificate cuando se borra la opción Negotiate service credential (Negociar credenciales del servicio ). - El modo de seguridad del puerto de envío de WCF-NetMsmq se establece en Message o Both. |
| La autenticación de servicios, comprobación de firma y cifrado que dependen de la configuración de seguridad del puerto de envío. | N/D | Inicie sesión en cada equipo que ejecute BizTalk Server que hospedará el puerto de envío como administradores e importe la cadena de certificados de CA para los certificados X.509 del cliente en el almacén de certificados de entidades de certificación raíz de confianza del equipo para que el servicio se pueda autenticar en este puerto de envío. | La cadena de certificados de CA para el certificado de servicio | Si no especifica explícitamente el certificado de servicio para la propiedad Service certificate - Thumbprint , instale la cadena de certificados de ENTIDAD de certificación para los certificados X.509 del servicio en el almacén de certificados de entidades de certificación raíz de confianza en las siguientes configuraciones: - El modo de seguridad del puerto de envío de WCF-BasicHttp se establece en Transport o TransportWithMessageCredential. - El modo de seguridad del puerto de envío de WCF-WSHttp se establece en Transport o TransportWithMessageCredential. - El modo de seguridad del puerto de envío de WCF-NetTcp se establece en TransportWithMessageCredential. - La propiedad Tipo de credencial de cliente de transporte del puerto de envío de WCF-NetTcp se establece en Ninguno o Certificado. - La propiedad Tipo de credencial de cliente de mensaje del puerto de envío de WCF-NetTcp se establece en None, UserName o Certificate. |
Nota
Dado que los adaptadores de envío de WCF estándar usan el modo ChainTrust para validar los certificados de servicio, debe instalar la cadena de certificados de ENTIDAD de certificación para los certificados X.509 de servicio. Puede usar los adaptadores de WCF-Custom o de WCF-CustomIsolated para cambiar este comportamiento predeterminado.
Nota
Para la WCF-Custom y WCF-CustomIsolated puertos de envío, el contexto de usuario, la ubicación del almacén de certificados y el tipo de certificado para los certificados que se van a instalar varía entre la configuración del elemento de comportamiento serviceCredentials y clientCredentials .
Nota
Si el puerto de envío usa el elemento de certificado para la propiedad Endpoint Identity , también debe instalar el certificado para la identidad de servicio esperada en el almacén de certificados especificado en la propiedad Endpoint Identity .
Nota
En lugar de iniciar sesión en el equipo mediante una cuenta de administrador o una cuenta de servicio de instancia de host, puede usar como alternativa el comando Ejecutar como con cuentas aplicables para realizar la misma acción.
Mostrar la consola de administración de certificados
Para mostrar la interfaz de consola de administración de certificados para Equipo local y Usuario actual, realice los siguientes pasos:
Haga clic en Inicio, haga clic en Ejecutar, escriba MMC y haga clic en Aceptar para abrir Microsoft Management Console.
En el menú Archivo , haga clic en Agregar o quitar complemento para mostrar el cuadro de diálogo Agregar o quitar complemento .
Haga clic en Agregar para mostrar el cuadro de diálogo Agregar complemento independiente .
Seleccione Certificados en la lista de complementos y, a continuación, haga clic en Agregar.
Seleccione Cuenta de equipo, haga clic en Siguiente y, a continuación, en Finalizar. Esto agregará la interfaz de la consola de administración de certificados para Equipo local.
Asegúrese de que certificados todavía está seleccionado en la lista de complementos y, a continuación, haga clic en Agregar de nuevo.
Seleccione Mi cuenta de usuario y, a continuación, haga clic en Finalizar. Esto agregará la interfaz de la consola de administración de certificados para Usuario actual.
Nota
Esto muestra la consola de administración de certificados para la cuenta en la que ha iniciado sesión actualmente. Si es necesario importar certificados en el almacén Personal para una cuenta de servicio, primero debe iniciar sesión con las credenciales de la cuenta de servicio.
Haga clic en Cerrar en el cuadro de diálogo Complemento independiente .
Haga clic en Aceptar en el cuadro de diálogo Agregar o quitar complemento .