Installazione di certificati per gli adapter WCF
Negli adapter WCF vengono utilizzati certificati digitali con infrastruttura a chiave pubblica (PKI) per la crittografia e la decrittografia di messaggi, per la firma e la verifica di messaggi (non ripudio) e per l'autenticazione dei client. In questo argomento vengono descritti vari scenari di utilizzo dei certificati e varie linee guida relative alle opzioni di configurazione per l'utilizzo dei certificati digitali con gli adapter WCF.
Scenari di utilizzo dei certificati per gli indirizzi di ricezione WCF
Nella tabella seguente viene illustrato come installare i certificati per gli indirizzi di ricezione WCF.
| Utilizzo dei certificati | Contesto utente | Percorso dell'archivio certificati | Tipo di certificato | Quando installare i certificati |
|---|---|---|---|---|
| Decrittografia e firma in base alle impostazioni di sicurezza dell'indirizzo di ricezione | Account utilizzato dall'istanza host associata al gestore di ricezione. | Accedere a ogni computer che esegue BizTalk Server che ospiterà le posizioni di ricezione come ogni account del servizio istanza host e importare il certificato di servizio nell'archivio Utente corrente \ Personale (My). | Certificato privato proprio | Specificare il valore per il certificato del servizio - Proprietà Identificazione personale nelle configurazioni seguenti: - La proprietà Modalità di sicurezza del percorso di ricezione WCF-BasicHttp è impostata su Message. - La proprietà tipo di credenziali client Transport del WCF-BasicHttp percorso di ricezione è impostata su Certificate per la modalità di sicurezza TransportCredentialOnly . - La proprietà tipo di credenziale del client Message del WCF-WSHttp percorso di ricezione è impostata su None, Certificate o UserName per la modalità di sicurezza Message . - La proprietà tipo di credenziali client Transport del WCF-NetTcp percorso di ricezione è impostata su None o Certificate per la modalità di sicurezza Trasporto . - La proprietà tipo di credenziale del client Message del WCF-NetTcp percorso di ricezione è impostata su None, UserName o Certificate per la modalità di sicurezza Messaggio . - La proprietà tipo di credenziale del client Message del percorso di ricezione WCF-NetTcp è impostata su Windows, UserName o Certificate per la modalità di sicurezza TransportWithMessageCredential . - La proprietà Modalità di sicurezza del WCF-NetMsmq è impostata su Message o Entrambi. |
| Autenticazione client | N/D | Accedere a ogni computer che esegue BizTalk Server che ospiterà le posizioni di ricezione come amministratori e importare la catena di certificati CA per i certificati X.509 client nell'archivio certificati Autorità di certificazione radice attendibili del computer in modo che i client possano essere autenticati in questa posizione di ricezione. | Catena di certificati CA per i certificati client X.509 | Installare la catena di certificati CA per i certificati client X.509 nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale nelle configurazioni seguenti: - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-BasicHttp percorso di ricezione è impostato su Certificate. - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-WSHttp percorso di ricezione è impostato su Certificate. - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-NetTcp percorso di ricezione è impostato su Certificate. - Il tipo di credenziale del client Message o la proprietà modalità di autenticazione MSMQ del percorso di ricezione WCF-NetMsmq è impostato su Certificate. |
Nota
Poiché gli adattatori di ricezione WCF standard usano la modalità ChainTrust per convalidare i certificati client, è necessario installare la catena di certificati CA per i certificati X.509 client. È possibile utilizzare gli adapter WCF-Custom o WCF-CustomIsolated per modificare questo comportamento predefinito.
Nota
Per gli adapter di ricezione WCF isolati, è necessario associare l'account utente a un'istanza dell'host isolata e ai corrispondenti pool di applicazioni. Per altre informazioni sugli host isolati bizTalk, vedere Abilitazione dei servizi Web.
Nota
Per le WCF-Custom e le WCF-CustomIsolated posizioni di ricezione, il contesto utente, il percorso dell'archivio certificati e il tipo di certificato per i certificati da installare varia tra le impostazioni dell'elemento del comportamento serviceCredentials e clientCredentials .
Nota
Se il percorso di ricezione usa l'elemento certificato per la proprietà Endpoint Identity , è necessario installare anche il certificato per l'identità del servizio pubblicata nell'archivio certificati specificato nella proprietà Endpoint Identity .
Nota
Invece di accedere al computer mediante l'account del servizio dell'istanza dell'host o l'account di amministratore, è possibile utilizzare in alternativa il comando Esegui come con gli account applicabili per eseguire la stessa azione.
Scenari di utilizzo dei certificati per le porte di trasmissione WCF
Nella tabella seguente viene illustrato come installare i certificati per le porte di trasmissione WCF.
| Utilizzo dei certificati | Contesto utente | Percorso dell'archivio certificati | Tipo di certificato | Quando installare i certificati |
|---|---|---|---|---|
| Autenticazione client | Account utilizzato dall'istanza dell'host associata alla porta di trasmissione | Accedere a ogni computer che esegue BizTalk Server che ospiterà le porte di invio come ogni account del servizio istanza host e importare il certificato client nell'archivio Utente corrente \ Personale . | Certificato privato proprio | Specificare il valore per il certificato client - Proprietà Identificazione personale nelle configurazioni seguenti: - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-BasicHttp porta di invio è impostata su Certificate. - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-WSHttp porta di invio è impostata su Certificate. - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-NetTcp porta di invio è impostata su Certificate. - Il tipo di credenziale del client Message o la proprietà modalità di autenticazione MSMQ della porta di invio WCF-NetMsmq è impostata su Certificate. |
| Servizio di autenticazione, verifica della firma e crittografia in base alle impostazioni di sicurezza della porta di trasmissione | N/D | Accedere a ogni computer che esegue BizTalk Server che ospiterà le porte di invio come amministratori e importare il certificato del servizio nell'archivio Computer locale \ Altre persone (AddressBook). La catena di certificati CA per i certificati di servizio deve inoltre essere installata nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale del computer. | - Certificato pubblico del servizio - Catena di certificati CA per il certificato del servizio |
Specificare il valore per il certificato del servizio - Proprietà Identificazione personale nelle configurazioni seguenti: - Il tipo di credenziale del client Message o la proprietà tipo di credenziali client Transport del WCF-BasicHttp porta di invio è impostata su Certificate. - La proprietà tipo di credenziale del client Message della porta di trasmissione WCF-WSHttp è impostata su None, UserName o Certificate quando l'opzione Negozia credenziali del servizio viene cancellata. - La modalità di sicurezza della porta di trasmissione WCF-NetMsmq è impostata su Message o Entrambi. |
| Servizio di autenticazione, verifica della firma e crittografia in base alle impostazioni di sicurezza della porta di trasmissione | N/D | Accedere a ogni computer che esegue BizTalk Server che ospiterà la porta di invio come amministratori e importare la catena di certificati CA per i certificati X.509 client nell'archivio certificati Autorità di certificazione radice attendibili del computer in modo che il servizio possa essere autenticato in questa porta di invio. | Catena di certificati CA per il certificato di servizio | Se non si specifica in modo esplicito il certificato del servizio per la proprietà Certificato servizio - Identificazione personale, installare la catena di certificati CA per il servizio X.509 certificati nell'archivio certificati Autorità di certificazione radice attendibili nelle configurazioni seguenti: - La modalità di sicurezza della porta di trasmissione WCF-BasicHttp è impostata su Transport o TransportWithMessageCredential. - La modalità di sicurezza della porta di trasmissione WCF-WSHttp è impostata su Transport o TransportWithMessageCredential. - La modalità di sicurezza della porta di trasmissione WCF-NetTcp è impostata su TransportWithMessageCredential. - La proprietà del tipo di credenziali client Transport della porta di trasmissione WCF-NetTcp è impostata su None o Certificate. - La proprietà tipo di credenziale del client Message della porta di trasmissione WCF-NetTcp è impostata su None, UserName o Certificate. |
Nota
Poiché gli adapter di invio WCF standard usano la modalità ChainTrust per convalidare i certificati del servizio, è necessario installare la catena di certificati CA per i certificati X.509 del servizio. È possibile utilizzare gli adapter WCF-Custom o WCF-CustomIsolated per modificare questo comportamento predefinito.
Nota
Per le WCF-Custom e le WCF-CustomIsolated porte di invio, il contesto utente, il percorso dell'archivio certificati e il tipo di certificato per i certificati da installare varia tra le impostazioni dell'elemento del comportamento serviceCredentials e clientCredentials .
Nota
Se la porta di invio usa l'elemento certificato per la proprietà Endpoint Identity , è necessario installare anche il certificato per l'identità del servizio prevista nell'archivio certificati specificato nella proprietà Endpoint Identity .
Nota
Invece di accedere al computer mediante l'account del servizio dell'istanza dell'host o l'account di amministratore, è possibile utilizzare in alternativa il comando Esegui come con gli account applicabili per eseguire la stessa azione.
Visualizzazione della console di gestione certificati
Per visualizzare l'interfaccia della console di gestione certificati per Computer locale e Utente corrente, eseguire le operazioni seguenti:
Fare clic su Start, scegliere Esegui, digitare MMC e fare clic su OK per aprire Microsoft Management Console.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in per visualizzare la finestra di dialogo Aggiungi/Rimuovi snap-in .
Fare clic su Aggiungi per visualizzare la finestra di dialogo Aggiungi snap-in autonomo .
Selezionare Certificati nell'elenco degli snap-in e quindi fare clic su Aggiungi.
Selezionare Account computer, fare clic su Avanti e quindi su Fine. Verrà aggiunta l'interfaccia della console di gestione certificati per Computer locale.
Assicurarsi che i certificati siano ancora selezionati dall'elenco di snap-in e quindi fare clic su Aggiungi di nuovo.
Selezionare Account utente personale e quindi fare clic su Fine. Verrà aggiunta l'interfaccia della console di gestione certificati per Utente corrente.
Nota
L'interfaccia della console di gestione certificati verrà visualizzata per l'account con il quale è stato eseguito l'accesso. Se è necessario importare certificati nell'archivio personale per un account del servizio, è consigliabile accedere prima con le credenziali dell'account del servizio.
Fare clic su Chiudi nella finestra di dialogo Snap-in autonomo .
Fare clic su OK nella finestra di dialogo Aggiungi/Rimuovi snap-in .