Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa sezione descrive i problemi noti relativi alla gestione dei certificati digitali usati con BizTalk Server.
Problemi generali relativi ai certificati
La mancanza di connettività all'elenco di revoche di certificati causerà il rifiuto di un certificato
Questo problema comporta l'errore seguente: "Si è verificato un errore di autenticazione. Lo stato dell'autorità di certificazione (CA) che ha emesso il certificato usato per firmare il messaggio è sconosciuto". Questo errore può verificarsi anche quando il certificato di firma è valido quando viene visualizzato in MMC (usando l'utente di BizTalk Server) in BizTalk Server.
Questa condizione può verificarsi se la proprietà "Controlla revoca certificati" è abilitata nel componente decodificatore S/MIME nella pipeline di ricezione. Quando questa proprietà è impostata su true, BizTalk Server tenterà di eseguire una query sull'elenco di revoche di certificati (CRL) per verificare se il certificato in ingresso è stato revocato. Non importa se il certificato stesso non viene revocato. Se BizTalk Server non è in grado di eseguire query sul CRL corrispondente a causa di problemi di connettività, non accetterà il certificato. Per risolvere questo errore, visualizzare le proprietà del certificato facendo doppio clic sul certificato usato. Nella scheda Dettagli verrà visualizzato l'attributo "Punto di distribuzione CRL" nell'elenco dei campi. In questo attributo devono essere presenti diversi URL che puntano al CRL nel server CA. Il server BizTalk deve essere in grado di accedere a uno di questi URL per recuperare il CRL. In caso contrario, il controllo della revoca avrà esito negativo e verrà pubblicato l'errore precedente.
L'archivio certificati Altri utenti non viene inizializzato fino a quando non viene effettuato l'accesso
Questo problema comporta l'errore seguente dell'archivio certificati quando si tenta di aggiungere o modificare porte/posizioni di invio/ricezione tramite la console di amministrazione di BizTalk Server in remoto: "Impossibile aprire l'archivio certificati". e "Impossibile trovare il file specificato. (Sistema)".
Annotazioni
È possibile modificare questi artefatti usando la console di amministrazione se si accede direttamente a BizTalk Server.
In un computer appena installato, l'archivio Certificati Altri Utenti non viene inizializzato a meno che non si acceda almeno una volta. Durante la configurazione del gruppo, è possibile inizializzare l'archivio certificati Altri utenti e di conseguenza non viene visualizzato questo errore in un computer in cui è stata eseguita la configurazione del gruppo.
BizTalk Server supporta un solo certificato personale per ogni gruppo BizTalk
Il certificato personale utilizzato dal gruppo BizTalk è specificato impostando l'impronta digitale del certificato nelle proprietà del gruppo BizTalk. Un gruppo BizTalk può rappresentare un'azienda, un reparto, un hub o un'altra business unit.
Problemi relativi al certificato AS2
Il decodificatore AS2 non convaliderà che un certificato sia configurato nell'host o per l'entità di destinazione
Il decodificatore AS2 decrittograferà un messaggio purché il certificato privato per tale messaggio sia configurato nell'archivio certificati. Tuttavia, il decodificatore AS2 non convaliderà che il certificato di decrittografia sia uguale al certificato configurato nell'host. Il messaggio ricevuto può essere crittografato con più certificati.
BizTalk Server non sarà in grado di decrittografare un messaggio salvato in formato wire se il certificato non è valido
Sintomo
BizTalk Server non è in grado di decrittografare un messaggio AS2 in ingresso salvato in formato wire nel database non ripudio.
Causa possibile
Il certificato necessario per decrittografare il messaggio è scaduto o è stato revocato. È più probabile che ciò si verifichi se è trascorso un determinato periodo di tempo dopo che il messaggio AS2 è stato salvato nel database non ripudio. In questo caso, è possibile che non si abbia accesso immediato a un certificato valido per il messaggio.
Risoluzione
Acquisire un certificato valido per decrittografare il messaggio.
Se non è possibile decrittografare un messaggio AS2, il problema potrebbe essere risolto reimportando il certificato
Sintomo
Il decodificatore AS2 rileva un'eccezione quando tenta di decrittografare un messaggio AS2, generando l'errore seguente:
"The AS2 Decoder encountered an exception during processing. Details of the message and exception are as follows:
AS2-From:"PARTNER" AS2-To:"HOME" MessageID:"<137706.1178060412333@servername>"
MessageType: "unknown" Exception:"An error occurred when decrypting an AS2 message."
System.ArgumentNullException: Value cannot be null.
Parameter name: PayloadContentType
at Microsoft.BizTalk.Edi.Reporting.Common.Utilities.ValidateArgument(Object o,
String parameterName, Boolean isEmptyStringValidationRequired)
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.ValidateParameters()
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.Create()"
Causa possibile
Il certificato usato per decrittografare il messaggio AS2 deve essere ricaricato nell'archivio personale.
Risoluzione
Eliminare il certificato esistente dall'archivio personale e quindi importare nuovamente il certificato nell'archivio personale usando l'Importazione guidata certificati. A tale scopo, fare clic con il pulsante destro del mouse sulla cartella Certificato in Archivio personale, scegliere Tutte le attività e quindi fare clic su Importa.
Usare lo stesso login per l'istanza host in-process e l'istanza host isolata per garantire che l'archivio personale sia riconosciuto
L'archivio certificati personale sarà disponibile per l'elaborazione dei messaggi solo se il profilo utente viene caricato per l'utente le cui credenziali di accesso sono associate all'istanza host. L'archivio personale viene usato per firmare e decrittografare i certificati (chiave privata dell'utente). Il profilo utente viene caricato per impostazione predefinita per l'istanza host in-process; Tuttavia, il profilo utente non viene caricato per impostazione predefinita per l'istanza host isolata. È possibile che un'applicazione carichi il profilo utente per l'host isolato. In alternativa, è possibile risolvere questo problema utilizzando lo stesso login per l'istanza host in-process e per l'istanza host isolata.
Anziché caricare un'applicazione, è possibile creare un servizio vuoto per caricare il profilo. Per altre informazioni sulla creazione di un servizio vuoto, vedere Procedura: Creare servizi Windows (https://go.microsoft.com/fwlink/?LinkId=155149) nella Guida di Visual Studio.
Dopo aver creato il servizio vuoto per caricare il profilo, procedere come segue:
Fare clic su Start e quindi su Esegui per aprire la finestra di dialogo Esegui .
Nella finestra di dialogo Esegui digitare service.msc e premere INVIO per aprire lo snap-in SERVIZI MMC.
Aprire la finestra di dialogo Proprietà per il servizio creato. Fare clic con il pulsante destro del mouse sul servizio e scegliere Proprietà.
Fare clic sulla scheda Accesso , selezionare Questo account e quindi immettere il nome di accesso usato per l'istanza dell'host isolato.
Fare clic su OK.
Avviare manualmente il servizio per caricare il profilo utente per l'utente di accesso.
L'attributo Utilizzo chiavi di un certificato deve corrispondere all'uso del certificato
I certificati usati per il trasporto AS2 devono avere gli attributi necessari per l'uso previsto. Per la firma e la verifica della firma, l'attributo Utilizzo chiavi del certificato deve essere Firma digitale. Per la crittografia e la decrittografia, l'attributo Utilizzo chiavi del certificato deve essere crittografia dati o crittografia della chiave. È possibile verificare l'attributo Utilizzo chiavi facendo doppio clic sul certificato, facendo clic sulla scheda Dettagli nella finestra di dialogo Certificato e selezionando il campo Utilizzo chiavi .
L'elenco di risoluzione dei certificati verrà verificato per un MDN in uscita se la proprietà AS2-To non è impostata per la parte
Nel contratto predefinito per un MDN in uscita, viene eseguita la verifica dell'elenco di risoluzione dei certificati. Se non si desidera eseguire questa verifica, verificare che sia impostata la proprietà di AS2-To entità corretta, in modo che la parte ricevente possa essere risolta e che le proprietà dell'entità possano essere determinate. In tal caso, non verrà usato il contratto predefinito che richiede la verifica dell'elenco di risoluzione dei certificati. Sarà anche necessario disabilitare la proprietà Controllo dell'elenco di revoca certificazioni nella pagina Generale delle proprietà del gruppo AS2.