Problemas conocidos relacionados con los certificados de BizTalk Server
En esta sección se describen los problemas conocidos con la administración de certificados digitales usados con BizTalk Server.
Problemas generales de certificados
La falta de conectividad con la lista de revocación de certificados hará que se rechace un certificado.
Este problema implica el siguiente error: "Error de autenticación. El estado de la entidad de certificación (CA) que emitió el certificado usado para firmar el mensaje es desconocido". Este error puede producirse incluso cuando el certificado de firma es válido cuando se ve en MMC (mediante el usuario BizTalk Server) en el BizTalk Server.
Esta condición puede producirse si la propiedad "Comprobar revocación de certificados" está habilitada en el componente de descodificador S/MIME de la canalización de recepción. Cuando esta propiedad se establece en true, BizTalk Server intentará consultar la lista de revocación de certificados (CRL) para ver si se ha revocado el certificado entrante. No importa si el propio certificado no se revoca. Si BizTalk Server no puede consultar la CRL correspondiente debido a problemas de conectividad, no aceptará el certificado. Para solucionar este error, muestre las propiedades del certificado haciendo doble clic en el certificado que usó. En su pestaña Detalles, verá el atributo "Punto de distribución CRL" en la lista de campos. Debe haber varias direcciones URL en este atributo que apunten a la CRL en el servidor de CA. El servidor de BizTalk debe poder acceder a cualquiera de estas direcciones URL para recuperar la CRL. De lo contrario, se producirá un error en la comprobación de revocación y se publicará el error anterior.
El otro almacén de certificados de Personas no se inicializa hasta que se accede a él.
Este problema implica el siguiente error de almacén de certificados al intentar agregar o modificar puertos o ubicaciones de envío o recepción mediante la consola de administrador de BizTalk Server de forma remota: "No se pudo abrir el almacén de certificados". y "El sistema no encuentra el archivo especificado. (Sistema)".
Nota
Puede modificar estos artefactos mediante la consola de administración si inicia sesión directamente en el BizTalk Server.
En un equipo recién instalado, el almacén de certificados Other Personas no se inicializa a menos que acceda a él una vez. Durante la configuración del grupo, puede inicializar este Almacén de certificados other Personas y, como resultado, no ve este error en un equipo en el que se ha realizado la configuración del grupo.
BizTalk Server solo admite un certificado personal para cada grupo de BizTalk
El certificado personal que usa el grupo de BizTalk se especifica estableciendo la huella digital del certificado personal en las propiedades del grupo de BizTalk. Un grupo de BizTalk puede representar una empresa, un departamento, un centro de conectividad u otra unidad de negocio.
Problemas de certificado AS2
El descodificador AS2 no validará que un certificado esté configurado en el host o para la entidad de destino.
El descodificador AS2 descifrará un mensaje siempre que el certificado privado de dicho mensaje esté configurado en el almacén de certificados. Sin embargo, el descodificador AS2 no validará que el certificado de descifrado sea el mismo que el certificado configurado en el host. El mensaje recibido se puede cifrar con más de un certificado.
BizTalk Server no podrá descifrar un mensaje guardado en formato de conexión si el certificado no es válido.
Síntoma
BizTalk Server no puede descifrar un mensaje AS2 entrante que se haya guardado con formato en la base de datos sin repudio.
Causa posible
El certificado necesario para descifrar el mensaje ha caducado o se ha revocado. Hay más probabilidades de que esto ocurra si ha transcurrido cierto período de tiempo desde que se guardó el mensaje AS2 en la base de datos sin repudio. Si esto ocurre, es posible que no disponga de acceso inmediato a un certificado válido para el mensaje.
Resolución
Adquiera un certificado válido para descifrar el mensaje.
Si no se puede descifrar un mensaje AS2, el problema puede corregirse al volver a importar el certificado.
Síntoma
El descodificador AS2 encuentra una excepción cuando intenta descifrar un mensaje AS2, lo que produce el siguiente error:
"The AS2 Decoder encountered an exception during processing. Details of the message and exception are as follows:
AS2-From:"PARTNER" AS2-To:"HOME" MessageID:"<137706.1178060412333@servername>"
MessageType: "unknown" Exception:"An error occurred when decrypting an AS2 message."
System.ArgumentNullException: Value cannot be null.
Parameter name: PayloadContentType
at Microsoft.BizTalk.Edi.Reporting.Common.Utilities.ValidateArgument(Object o,
String parameterName, Boolean isEmptyStringValidationRequired)
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.ValidateParameters()
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.Create()"
Causa posible
Hay que volver a cargar el certificado usado para descifrar el mensaje AS2 en el almacén personal.
Resolución
Elimine el certificado existente del almacén personal y, a continuación, vuelva a importar el certificado en el almacén personal mediante el Asistente para importación de certificados. Para ello, haga clic con el botón derecho en la carpeta Certificado en el Almacén personal, apunte a Todas las tareas y, a continuación, haga clic en Importar.
Use el mismo inicio de sesión para la instancia de host en proceso y la instancia de host aislada para asegurarse de que se reconozca el almacén personal.
El almacén de certificados personales sólo estará disponible para el procesamiento de mensajes si el perfil del usuario está cargado para el usuario cuyas credenciales de inicio de sesión están asociadas a la instancia del host. El almacén personal se usa para los certificados de firma y descifrado (la clave privada propia del usuario). El perfil del usuario se carga de forma predeterminada para la instancia del host de tipo En curso; sin embargo, el perfil del usuario no se carga de forma predeterminada para la instancia del host aislado. Puede hacer que una aplicación cargue el perfil del usuario para el host aislado. Como alternativa, puede solucionar este problema usando el mismo inicio de sesión para la instancia del host de tipo En curso y la instancia del host aislado.
En lugar de que una aplicación cargue el perfil de usuario, puede crear un servicio vacío para cargar el perfil. Para obtener más información acerca de cómo crear un servicio vacío, vea How to: Create Windows Services (https://go.microsoft.com/fwlink/?LinkId=155149) in Visual Studio Help.
Después de crear el servicio vacío para cargar el perfil, continúe de la siguiente manera:
Haga clic en Inicioy, a continuación, haga clic en Ejecutar para abrir el cuadro de diálogo Ejecutar .
En el cuadro de diálogo Ejecutar , escriba service.msc y presione ENTRAR para abrir el complemento MMC de servicios .
Abra el cuadro de diálogo Propiedades del servicio que creó. Haga clic con el botón derecho en el servicio y seleccione Propiedades.
Haga clic en la pestaña Iniciar sesión , seleccione Esta cuenta y escriba el nombre de inicio de sesión usado para la instancia de host aislada.
Haga clic en OK.
Inicie manualmente el servicio para cargar el perfil de usuario para ese usuario de inicio de sesión.
El atributo Uso de la clave de un certificado debe coincidir con el uso del certificado.
Los certificados usados para el transporte AS2 deben tener los atributos necesarios para su uso previsto. Para la firma y verificación de la firma, el atributo Uso de la clave del certificado debe ser Firma digital. Para el cifrado y descrifrado, el atributo Uso de la clave del certificado debe ser Cifrado de datos o Cifrado de clave. Para comprobar el atributo Uso de claves, haga doble clic en el certificado, haga clic en la pestaña Detalles del cuadro de diálogo Certificado y active el campo Uso de claves.
La lista de resolución de certificados se comprobará para un MDN saliente si la propiedad AS2-To no está configurada para la entidad.
En el acuerdo predeterminado para un MDN saliente, se realiza la verificación de la lista de resolución de certificados. Si no desea que se realice esta verificación, compruebe que está establecida la propiedad AS2-To correcta, de forma que la entidad de recepción pueda resolverse y las propiedades de la entidad puedan determinarse. En ese caso, no se usará el acuerdo predeterminado que solicita la verificación de la lista de resolución de certificados. También deberá deshabilitar la propiedad Comprobar lista de revocaciones de certificados de la página General de las propiedades de entidad AS2.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de