Certificados que BizTalk Server usa para mensajes firmados
BizTalk Server admite la firma de mensajes de salida y la comprobación de firmas de mensajes de entrada en formato de extensiones seguras multipropósito al correo de Internet (Secure Multipurpose Internet Mail Extensions, S/MIME). BizTalk Server usa S/MIME versiones 2 y 3 para firmar mensajes de salida y validar la firma de mensajes de entrada. De forma parecida, se puede configurar BizTalk Server para que firme y a continuación cifre los mensajes que envía a sus socios.
BizTalk Server admite los algoritmos de firma SHA-1 y MD5 para la comprobación de firmas digitales. BizTalk Server usa el algoritmo de firma SHA-1 para firmar mensajes de salida.
Los sistemas de intercambio de claves admitidos por BizTalk Server para claves de firma son los algoritmos Rivest-Shamir-Adleman (RSA) y el Estándar de firma digital (Digital Signature Standard, DSS). BizTalk Server no admite el sistema de intercambio Estándar de cifrado avanzado (Advanced Encryption Standard, AES) para claves de firma.
El certificado de firma admitido por BizTalk Server es x.509 versión 3.
La siguiente ilustración muestra el flujo de mensajes generado cuando BizTalk Server recibe un mensaje firmado digitalmente y, opcionalmente, usa la firma para resolver la identidad del socio como una entidad del entorno de BizTalk Server.
Este es el flujo de mensajes generado cuando BizTalk Server recibe un mensaje firmado digitalmente:
Un socio envía un mensaje a BizTalk Server. El socio firma el mensaje con su certificado de clave privada.
El mensaje es recibido por el controlador de recepción correspondiente de BizTalk Server.
Durante la ejecución de la canalización de recepción, el componente de canalización Descodificador de MIME/SMIME comprueba la firma digital mediante la clave pública del socio.
Si el componente de resolución de entidades está configurado, se usa el certificado de clave pública del socio para identificar la entidad en el sistema de BizTalk Server durante la ejecución del componente de resolución de entidades de la canalización de recepción.
Se produce un procesamiento adicional.
La siguiente ilustración muestra el flujo de mensajes generado cuando BizTalk Server envía un mensaje firmado digitalmente.
Este es el flujo de mensajes generado cuando BizTalk Server envía un mensaje firmado digitalmente a un socio:
El mensaje es enviado al socio por el controlador de envío correspondiente de BizTalk Server.
Durante la ejecución de la canalización de envío el componente de canalización Descodificador de MIME/SMIME comprueba la firma digital mediante la clave pública del socio.
El socio recibe el mensaje de BizTalk Server. El socio usa la clave pública de BizTalk Server para comprobar la firma digital.
Para comprobar la validez de los certificados asociados con los mensajes firmados de entrada, BizTalk Server valida la cadena de confianza de la entidad de certificación para el certificado en cuestión y comprueba que éste no ha expirado El proceso de validación de la cadena de confianza de la entidad de certificación conlleva recorrer dicha cadena hasta alcanzar una entidad de certificación raíz. De esta forma, se valida que el certificado usado para firmar un mensaje procede realmente de la entidad identificada. Esta validación se produce en tiempo de ejecución para cada uno de los mensajes firmados.
Además, BizTalk Server puede comprobar que la entidad de certificación no ha revocado el certificado usado para firmar o cifrar el mensaje. Para ello, debe descargar la lista de revocación de certificados (CRL) desde la entidad de certificación e instalarla mediante el Explorador de Windows. Para obtener más información sobre cómo validar un certificado, vea Cómo configurar el componente de canalización de descodificador MIME-SMIME.
Consulte también
Certificados que e usan en BizTalk Server para los mensajes cifrados
Almacenes de certificados que se usan en BizTalk Server
Certificados de cifrado y de firma
Envío y recepción de mensajes firmados