Configurazione dei certificati per AS2
Per proteggere il trasferimento dei dati AS2 usando la crittografia e le firme digitali, è necessario aver installato i certificati appropriati, oltre alla configurazione AS2 appropriata in BizTalk Server. In questo argomento vengono illustrati i certificati necessari, come configurarli e i relativi problemi comuni.
Prerequisiti
È necessario eseguire l'accesso come membro del gruppo Amministratori BizTalk Server.
Certificati necessari per il trasporto AS2
Per agevolare la protezione del trasferimento di dati AS2, è necessario aggiungere il certificato appropriato all'archivio certificati appropriato e quindi associare i certificati agli elementi BizTalk appropriati. Per agevolare la protezione dei messaggi AS2 vengono utilizzati i certificati seguenti:
| Utilizzo dei certificati | Tipo di certificato | Componente pipeline | Contesto utente | Archivio certificati | Posizione di definizione |
|---|---|---|---|---|---|
| Firma (in uscita) | Chiave privata personale (file con estensione pfx) | Codificatore AS2 | Account utilizzato dall'istanza dell'host associata al gestore di trasmissione. | Utente corrente\Archivio personale di ogni BizTalk Server che ospita una pipeline del codificatore AS2 come account del servizio dell'istanza host | - Pagina Certificato della finestra di dialogo Proprietà gruppo . Questo è il certificato di firma predefinito utilizzato per l'invio di documenti firmati. - È possibile eseguire l'override dell'impostazione predefinita del certificato e usare invece certificati diversi per parti diverse. A tale scopo, selezionare Sostituisci certificato firma gruppo nella pagina Certificato firma della scheda Contratto unidirezionale della finestra di dialogo Proprietà contratto e specificare un certificato di firma. Se questa proprietà è impostata, qualsiasi messaggio AS2 viene risolto nel contratto verrà firmato usando il certificato fornito nella pagina Certificato firma e non dal certificato fornito come parte delle proprietà del gruppo BizTalk. |
| Verifica della firma (in arrivo) | Chiave pubblica del partner commerciale (file con estensione cer) | Decodificatore AS2 | Account utilizzato dall'istanza dell'host associata al gestore di ricezione. | Computer locale\Altro archivio Persone di ogni BizTalk Server che ospita una pipeline di decodificatore AS2 come account del servizio dell'istanza host | Pagina Certificato della finestra di dialogo Proprietà entitàNota: il certificato utilizzato per verificare una firma per un'entità deve essere univoco dai certificati usati per verificare le firme per altre parti. |
| Crittografia (in uscita) | Chiave pubblica del partner commerciale (file con estensione cer) | Codificatore AS2 | Account utilizzato dall'istanza dell'host associata al gestore di trasmissione. | Computer locale\Altro archivio Persone di ogni BizTalk Server che ospita una pipeline del codificatore AS2 | Pagina Certificato della finestra di dialogo Proprietà porta di trasmissione |
| Decrittazione (in arrivo) | Chiave privata personale (file con estensione pfx) | Decodificatore AS2 | Account utilizzato dall'istanza dell'host associata al gestore di ricezione. | Utente corrente\Archivio personale di ogni BizTalk Server che ospita una pipeline di decodificatore AS2 come account del servizio dell'istanza host | Il decodificatore AS2 consente di determinare il certificato in base alle informazioni del certificato nel messaggio. Per il decodificatore MIME BizTalk, il certificato deve trovarsi nella pagina Certificato dell'host usato per la ricezione del messaggio. Ciò non è necessario per il decodificatore AS2. |
Firma dei certificati per i messaggi in uscita
I messaggi AS2 in uscita vengono firmati utilizzando un certificato predefinito, definito come parte delle proprietà del gruppo BizTalk. Sono tuttavia possibili scenari in cui l'entità che riceve i messaggi desidera che i messaggi vengano firmati con un certificato privato da loro fornito o che prevedano l'utilizzo di un certificato diverso per la firma di messaggi in uscita per l'entità specifica. Questo scenario di firma dei messaggi in uscita con altri certificati è abilitato se si seleziona Il certificato di firma gruppo di override nella pagina Certificato firma della scheda Contratto unidirezionale della finestra di dialogo Proprietà contratto e specificare un certificato di firma. Se un certificato viene specificato come parte dell'accordo AS2 per un'entità, tale certificato verrà utilizzato per firmare i messaggi in uscita. Se non è stato definito alcun certificato per l'entità, verrà utilizzato il certificato predefinito specificato come parte delle proprietà del gruppo BizTalk.
Aggiunta di certificati per gli archivi certificati
Per altre informazioni, vedere la sezione "Visualizzazione della Console di gestione certificati" di Installazione di certificati per gli adapter WCF, nonché l'argomento Utilità creazione guidata certificati .
Importante
L'archivio certificati Personale è disponibile per l'elaborazione dei messaggi solo se il profilo utente è caricato per l'utente le cui credenziali di accesso sono associate all'istanza host. L'archivio Personale viene utilizzato per i certificati di firma e decrittazione (chiave privata dell'utente). Il profilo utente viene caricato per impostazione predefinita per l'istanza host di tipo In-process, ma non viene tuttavia caricato per impostazione predefinita per l'istanza host di tipo Isolato. È possibile fare in modo che il profilo utente per l'host di tipo Isolato venga caricato da un'applicazione. In alternativa, è possibile aggirare questo problema utilizzando lo stesso account di accesso per l'istanza host di tipo In-process e per quella di tipo Isolato.
Generazione di certificati
È possibile ottenere i certificati da una Autorità di certificazione. Le procedure per la richiesta di un certificato possono essere tuttavia diverse per le specifiche Autorità di certificazione. Prima di inviare richieste di certificato, esaminare le informazioni disponibili nel sito Web dell'Autorità di certificazione desiderata.
Importante
I certificati utilizzati per il trasporto AS2 devono disporre degli attributi richiesti per l'utilizzo desiderato. Per la firma e la verifica della firma, l'attributo Utilizzo chiavi del certificato deve essere Firma digitale. Per la crittografia e la decrittografia, l'attributo Utilizzo chiavi del certificato deve essere crittografia dati o crittografia della chiave. È possibile verificare l'attributo Utilizzo chiavi facendo doppio clic sul certificato, facendo clic sulla scheda Dettagli nella finestra di dialogo Certificato e selezionando il campo Utilizzo chiavi .
È inoltre possibile generare certificati in Windows Server 2008 utilizzando Servizi certificati. È tuttavia possibile che tali certificati vengano accettati dal partner solo a scopo di testing, poiché si tratta di certificati autofirmati, invece di certificati firmati da un'Autorità di certificazione pubblica.
Per configurare un certificato per la firma dei messaggi AS2 in uscita
Nella console di amministrazione di BizTalk Server fare clic con il pulsante destro del mouse sul nodo Gruppo BizTalk e quindi scegliere Proprietà.
Nell'albero della console della finestra di dialogo Proprietà gruppo fare clic su Certificato.
Nel riquadro Certificato fare clic su Sfoglia, trovare il certificato da usare per la firma e quindi fare clic su OK.
Nota
È sufficiente immettere l'identificazione personale anziché il nome comune del certificato. È possibile ottenere l'identificazione personale facendo doppio clic sul certificato nell'archivio certificati in MMC o nel file system, facendo clic sulla scheda Dettagli , facendo clic sul campo Identificazione personale e copiando l'identificazione personale.
Fare clic su OK.
Per configurare un certificato per la firma dei messaggi AS2 in uscita per un'entità specifica
Nella console di amministrazione di BizTalk Server fare clic sul nodo Entità. Dal riquadro Parti e profili di business , nella sezione Contratti fare clic con il pulsante destro del mouse sul contratto creato per lo scambio di messaggi con una parte specifica e scegliere Proprietà.
In una scheda contratto unidirezionale fare clic su Certificati firma.
Selezionare la casella di controllo Sostituisci certificato di firma del gruppo per usare il certificato fornito in questa pagina per firmare messaggi AS2 in uscita e MDN.
Fare clic su Sfoglia per visualizzare la finestra di dialogo Seleziona certificato, in cui si seleziona il certificato di firma da applicare ai messaggi trasmessi da questa parte.
Nella casella di testo Nome comune viene visualizzata una descrizione del certificato selezionato.
Nella casella di testo Identificazione personale viene visualizzata l'identificazione personale del certificato. L'identificazione personale del certificato presenta il formato HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH, dove H è una cifra esadecimale (un numero da 0 a 9 o una lettera da A a F).
Fare clic su Rimuovi certificato per rimuovere il certificato selezionato.
Fare clic su OK per convalidare le modifiche e quindi chiudere la finestra di dialogo.
Per configurare un certificato per la verifica della firma digitale dei messaggi AS2 in arrivo
Nella console di amministrazione di BizTalk Server aprire il nodo Gruppo BizTalk e quindi fare clic sul nodo Parti.
Nel riquadro Party and Business Profiles (Entità e profili aziendali ) fare clic con il pulsante destro del mouse sull'entità da cui ricevere i messaggi firmati e quindi scegliere Proprietà.
Nell'albero della console fare clic su Certificato.
Nel riquadro Certificato fare clic su Sfoglia, trovare il certificato da usare per verificare la firma digitale e quindi fare clic su OK.
Nota
È sufficiente immettere l'identificazione personale anziché il nome comune del certificato. È possibile ottenere l'identificazione personale facendo doppio clic sul certificato nell'archivio certificati in MMC o nel file system, facendo clic sulla scheda Dettagli , facendo clic sul campo Identificazione personale e copiando l'identificazione personale.
Fare clic su OK.
Per configurare un certificato per crittografare un messaggio AS2 in uscita
Nella console di amministrazione di BizTalk Server aprire il nodo Gruppo BizTalk, aprire il nodo Applicazioni e aprire il nodo dell'applicazione che contiene la porta di trasmissione in cui verrà inviato il messaggio crittografato.
Aprire il nodo Porte di trasmissione, fare clic con il pulsante destro del mouse sulla porta di trasmissione e quindi scegliere Proprietà.
Nell'albero della console fare clic su Certificato.
Nel riquadro Certificato fare clic su Sfoglia, trovare il certificato da usare per la crittografia e quindi fare clic su OK.
Nota
È sufficiente immettere l'identificazione personale anziché il nome comune del certificato. È possibile ottenere l'identificazione personale facendo doppio clic sul certificato nell'archivio certificati in MMC o nel file system, facendo clic sulla scheda Dettagli , facendo clic sul campo Identificazione personale e copiando l'identificazione personale.
Fare clic su OK.
Vedere anche
SicurezzaAS2 Configurazione della firma, compressione e crittografia nell'architettura della soluzione AS2 TransportAS2Installazione di certificati per gli adattatori WCF