Compartir a través de

Configurar certificados para AS2

  • Artículo

Para contribuir a la protección de transferencias de datos AS2 mediante el cifrado y las firmas digitales, se deben tener instalados los certificados adecuados, además de la configuración AS2 correspondiente en BizTalk Server. En este tema se describen los certificados necesarios, el modo de configurarlos y los problemas comunes que pueden plantear.

Requisitos previos

Debe haber iniciado sesión como miembro del grupo de administradores de BizTalk Server.

Certificados necesarios para el transporte AS2

Para contribuir a la protección de la transferencia de datos AS2, debe agregar el certificado adecuado al almacén de certificados correspondiente y asociar los certificados a los artefactos apropiados de BizTalk. Los siguientes certificados se usan para contribuir a la protección de los mensajes AS2:

Uso de certificados Tipo de certificado Componente de canalización Contexto de usuario Almacén de certificados Ubicación de definición
Firma (salida) Clave privada propia (.pfx) Codificador AS2 Cuenta usada por la instancia de host asociada al controlador de envío. Usuario actual\Almacén personal de cada BizTalk Server que hospeda una canalización de codificador AS2 como cada cuenta de servicio de instancia de host - Página Certificado del cuadro de diálogo Propiedades del grupo . Es el certificado de firmas predeterminado que se usa al enviar documentos firmados.
- Puede invalidar la configuración de certificado predeterminada y, en su lugar, usar certificados diferentes para diferentes partes. Para ello, seleccione Invalidar certificado de firma de grupo en la página Certificado de firma de la pestaña Contrato unidireccional del cuadro de diálogo Propiedades del contrato y especifique un certificado de firma. Si se establece esta propiedad, el mensaje AS2 que se resuelva en el contrato se firmará con el certificado proporcionado en la página Certificado de firma y no por el certificado proporcionado como parte de las propiedades del grupo de BizTalk.
Comprobación de firma (entrada) Clave pública de socio comercial (.cer) Descodificador AS2 Cuenta usada por la instancia de host asociada al controlador de recepción. Equipo local\Otro almacén de Personas de cada BizTalk Server que hospeda una canalización de descodificador AS2 como cada cuenta de servicio de instancia de host Página Certificado del cuadro de diálogo Propiedades de entidad Nota: El certificado usado para comprobar una firma de una entidad debe ser único de los certificados usados para comprobar las firmas de otras partes.
Cifrado (salida) Clave pública de socio comercial (.cer) Codificador AS2 Cuenta usada por la instancia de host asociada al controlador de envío. Equipo local\Otro almacén de Personas de cada BizTalk Server que hospeda una canalización de codificador AS2 Página Certificado del cuadro de diálogo Propiedades del puerto de envío
Descifrado (entrada) Clave privada propia (.pfx) Descodificador AS2 Cuenta usada por la instancia de host asociada al controlador de recepción. Usuario actual\Almacén personal de cada BizTalk Server que hospeda una canalización de descodificador AS2 como cada cuenta de servicio de instancia de host El descodificador AS2 determinará el certificado según la información del certificado presente en el mensaje.

Para el descodificador MIME de BizTalk, el certificado debe estar en la página Certificado del host utilizado para recibir el mensaje. Todo ello no resulta necesario para el descodificador AS2.

Firma de certificados para mensajes salientes

Los mensajes AS2 salientes se firman con un certificado predeterminado definido como parte de las propiedades del Grupo de BizTalk. Sin embargo, puede haber escenarios en los que la entidad que recibe los mensajes desee que éstos estén firmados con un certificado privado que ellos proporcionan o esperan que se use un certificado diferente al firmar mensajes salientes para ellos. Este escenario de firma de mensajes salientes con otros certificados está habilitado si selecciona invalidar certificado de firma de grupo en la página Certificado de firma de la pestaña Contrato unidireccional del cuadro de diálogo Propiedades del contrato y especifica un certificado de firma. Si se especifica un certificado como parte del acuerdo AS2 para una entidad, ese certificado se usa para firmar mensajes salientes. Si no se define ningún certificado para la entidad, se usa el certificado predeterminado especificado como parte de las propiedades del Grupo de BizTalk.

Agregar certificados a los almacenes de certificados

Para obtener más información, vea la sección "Mostrar la Consola de administración de certificados" de Instalar certificados para los adaptadores de WCF, así como el tema Utilidad del Asistente para certificados.

Importante

El almacén de certificados personales sólo estará disponible para el procesamiento de mensajes si el perfil del usuario está cargado para el usuario cuyas credenciales de inicio de sesión están asociadas a la instancia del host. El almacén personal se usa para los certificados de firma y descifrado (la clave privada propia del usuario). El perfil del usuario se carga de forma predeterminada para la instancia del host de tipo En curso; sin embargo, el perfil del usuario no se carga de forma predeterminada para la instancia del host aislado. Puede hacer que una aplicación cargue el perfil del usuario para el host aislado. Como alternativa, puede solucionar este problema usando el mismo inicio de sesión para la instancia del host de tipo En curso y la instancia del host aislado.

Generar certificados

Los certificados se pueden obtener de una Entidad de certificación (CA); sin embargo, los pasos para solicitar un certificado pueden variar entre las CA. Revise la información proporcionada en el sitio web de la Autoridad de certificación antes de enviar la solicitud de certificado.

Importante

Los certificados usados para el transporte AS2 deben tener los atributos necesarios para su uso previsto. Para la firma y la comprobación de firmas, el atributo Uso de clave del certificado debe ser Firma digital. Para el cifrado y el descifrado, el atributo Uso de claves del certificado debe ser Cifrado de datos o Cifrado de claves. Para comprobar el atributo Uso de claves, haga doble clic en el certificado, haga clic en la pestaña Detalles del cuadro de diálogo Certificado y active el campo Uso de claves.

Puede generar certificados en Windows Server 2008 usando Servicios de servidor de certificados; sin embargo, es posible que el socio solo acepte estos certificados para las pruebas ya que su firma es automática en lugar de estar firmados por una CA pública.

Procedimiento para configurar un certificado para firmar mensajes AS2 salientes

  1. En la consola de administración de BizTalk Server, haga clic con el botón derecho en el nodo Grupo de BizTalk y, a continuación, haga clic en Propiedades.

  2. En el árbol de consola del cuadro de diálogo Propiedades del grupo , haga clic en Certificado.

  3. En el panel Certificado , haga clic en Examinar, busque el certificado que desea usar para firmar y, a continuación, haga clic en Aceptar.

    Nota

    En lugar de escribir el nombre común del certificado, se puede especificar sólo la huella digital. Puede obtener la huella digital haciendo doble clic en el certificado en el almacén de certificados en MMC o en el sistema de archivos, haciendo clic en la pestaña Detalles , haciendo clic en el campo Huella digital y copiando la huella digital.

  4. Haga clic en OK.

Procedimiento para configurar un certificado para la firma de mensajes AS2 salientes para una entidad específica

  1. En la consola de administración de BizTalk Server, haga clic en el nodo Partes. En el panel Partes y perfiles de negocio , en la sección Contratos , haga clic con el botón derecho en el contrato que se crea para intercambiar mensajes con una entidad específica y haga clic en Propiedades.

  2. En una pestaña de contrato unidireccional, haga clic en Certificados de firma.

  3. Active la casilla Invalidar certificado de firma de grupo para usar el certificado proporcionado en esta página para firmar mensajes AS2 salientes y MDN.

  4. Haga clic en Examinar para mostrar el cuadro de diálogo Seleccionar certificado , donde se selecciona el certificado de firma que se va a aplicar a los mensajes transmitidos por esta entidad.

  5. El cuadro de texto Nombre común muestra una descripción del certificado seleccionado.

  6. El cuadro de texto Huella digital muestra la huella digital del certificado. La huella digital del certificado tiene el formato HHHH HHHH HHHH HHHH HHHH HHHH HHHH HHHH, donde H es un dígito hexadecimal (un número comprendido entre 0 y 9 o una letra de A a F).

  7. Haga clic en Quitar certificado para quitar el certificado seleccionado.

  8. Haga clic en Aceptar para validar los cambios y, a continuación, cierre el cuadro de diálogo.

Para configurar un certificado para la verificación de la firma digital de mensajes AS2 entrantes

  1. En la consola de administración de BizTalk Server, abra el nodo Grupo de BizTalk y, a continuación, haga clic en el nodo Partes.

  2. En el panel Partes y perfiles de negocio , haga clic con el botón derecho en la entidad desde la que va a recibir mensajes firmados y, a continuación, haga clic en Propiedades.

  3. En el árbol de consola, haga clic en Certificado.

  4. En el panel Certificado , haga clic en Examinar, busque el certificado que desea usar para comprobar la firma digital y, a continuación, haga clic en Aceptar.

    Nota

    En lugar de escribir el nombre común del certificado, se puede especificar sólo la huella digital. Puede obtener la huella digital haciendo doble clic en el certificado en el almacén de certificados en MMC o en el sistema de archivos, haciendo clic en la pestaña Detalles , haciendo clic en el campo Huella digital y copiando la huella digital.

  5. Haga clic en OK.

Para configurar un certificado para el cifrado de mensajes AS2 salientes

  1. En la consola de administración de BizTalk Server, abra el nodo Grupo de BizTalk, abra el nodo Aplicaciones y abra el nodo de la aplicación que contiene el puerto de envío en el que se enviará el mensaje cifrado.

  2. Abra el nodo Puertos de envío, haga clic con el botón derecho en el puerto de envío y, a continuación, haga clic en Propiedades.

  3. En el árbol de consola, haga clic en Certificado.

  4. En el panel Certificado , haga clic en Examinar, busque el certificado que desea usar para el cifrado y, a continuación, haga clic en Aceptar.

    Nota

    En lugar de escribir el nombre común del certificado, se puede especificar sólo la huella digital. Puede obtener la huella digital haciendo doble clic en el certificado en el almacén de certificados en MMC o en el sistema de archivos, haciendo clic en la pestaña Detalles , haciendo clic en el campo Huella digital y copiando la huella digital.

  5. Haga clic en OK.

Consulte también

Seguridad AS2Configuración de la firma, compresión y cifrado en laarquitectura de la solución AS2 transporte AS2Instalación de certificados para los adaptadores de WCF