Configuration de certificats pour les messages MIME ou SMIME
Pour sécuriser le transfert de données sur BizTalk Server, vous devez associer les certificats installés dans les magasins de certificats aux artefacts BizTalk appropriés. Cela s’applique aux messages encodés en MIME/SMIME. Elle s’applique également au transport AS2, qui transporte les messages MIME/SMIME.
Utilisez le tableau suivant comme référence pour les scénarios d’utilisation des certificats et les options de configuration disponibles dans BizTalk Server. Des procédures détaillées sont fournies dans les rubriques répertoriées dans l’en-tête « Dans cette section » à la fin de cette rubrique.
| Utilisation des certificats | Contexte utilisateur | Emplacement du magasin de certificats | Type de certificat | Configuration des paramètres dans la console Administration de BizTalk |
|---|---|---|---|---|
| Chiffrement (envoi) | Compte utilisé par l'instance d'hôte associée au gestionnaire d'envoi | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera les pipelines d’encodeur S/MIME et importez le certificat de chiffrement dans le magasin Ordinateur local \ Autre Personnes. | Certificat public de partenaire commercial | - Spécifiez des valeurs pour le nom commun et l’empreinte numérique du certificat de chiffrement dans la page Certificat de la boîte de dialogue Propriétés du port d’envoi . - Spécifiez les options d’encodage du pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Envoyer le pipeline dans la page Général de la boîte de dialogue Propriétés du port d’envoi. |
| Déchiffrement (réception) | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines de décodeur S/MIME en tant que chaque compte de service hôte instance, puis importez le certificat de déchiffrement dans le magasin Utilisateur actuel \ Personnel. Note: Pour que le déchiffrement du pipeline réussisse sur les ordinateurs exécutant IIS 6.0 ou version ultérieure, assurez-vous que le compte du pool d’applications IIS et le compte utilisé par le instance hôte associé au gestionnaire de réception sont identiques et que ce compte est membre du < groupe machineName>\IIS_WPG. Pour plus d’informations sur la définition de l’identité de processus IIS pour IIS, consultez Instructions pour résoudre les problèmes d’autorisations IIS (https://go.microsoft.com/fwlink/?LinkId=155161) dans BizTalk Server aide. Ces processus doivent s'exécuter sous le même compte afin de garantir que le profil de compte est chargé, et qu'à son tour, il charge les clés de registre requises pour effectuer le déchiffrement dans le pipeline. Pour des raisons de performances, IIS ne charge pas le profil de compte lors du démarrage du processus de w3wp.exe associé, de sorte que le instance hôte BizTalk Server doit être configuré avec le même compte afin que BizTalk Server charge le profil de compte et les clés de Registre. | Propre certificat privé | - Spécifiez des valeurs pour le nom commun et l’empreinte du certificat de déchiffrement dans la page Certificats de chaque boîte de dialogue Propriétés de l’hôte . - Spécifiez les options de décodage de pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Recevoir le pipeline dans la page Général de la boîte de dialogue Propriétés de l’emplacement de réception. |
| Signature (envoi) | Compte utilisé par l'instance d'hôte associée au gestionnaire d'envoi | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines d’encodeur S/MIME en tant que chaque compte de service hôte instance, puis importez le certificat de signature dans le magasin Utilisateur actuel \ Personnel. | Propre certificat privé | - Spécifiez des valeurs pour le nom commun et l’empreintedu certificat de signature dans la page Certificat de la boîte de dialogue Propriétés du groupe BizTalk.
Note: Un seul certificat de signature peut être spécifié par BizTalk Server groupe. - Spécifiez les options d’encodage du pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Envoyer le pipeline dans la page Général de la boîte de dialogue Propriétés du port d’envoi. |
| Vérification des signatures (réception) | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à chaque ordinateur exécutant BizTalk Server qui hébergera des pipelines de décodeur S/MIME et importez le certificat de signature dans l’ordinateur local \ Autre magasin Personnes. | Certificat public de partenaire commercial | - Spécifiez des valeurs pour le nom commun et l’empreinte du certificat de vérification dans la page Certificats de la boîte de dialogue Propriétés de chaque partie . - Spécifiez les options de décodage de pipeline dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Recevoir le pipeline dans la page Général de la boîte de dialogue Propriétés de l’emplacement de réception. Note: Le certificat utilisé pour vérifier une signature pour une partie doit être unique des certificats utilisés pour vérifier les signatures d’autres parties. Note: La configuration de l’option Décoder nécessite le déploiement d’un pipeline avec le composant décodeur MIME/SMIME. |
| Résolution du tiers (réception) | Compte utilisé par l'instance d'hôte associée au gestionnaire de réception | Connectez-vous à l’ordinateur BizTalk Server à partir duquel la résolution de partie est configurée et importez le certificat dans le magasin Ordinateur local \ Autre Personnes. | Certificat public de partenaire commercial | - Spécifiez des valeurs pour le nom commun et l’empreinte numérique du certificat dans la page Certificats de chaque boîte de dialogue Propriétés de l’hôte . - Spécifiez les options ResolveParty dans la boîte de dialogue Configurer le pipeline . La boîte de dialogue Configurer le pipeline s’affiche en cliquant sur le bouton en regard de la liste déroulante Recevoir le pipeline dans la page Général de la boîte de dialogue Propriétés de l’emplacement de réception. Note: La configuration de cette option nécessite l’utilisation d’un pipeline qui contient le composant résolution de partie . Le pipeline XMLReceive contient le composant résolution de partie . |
| HTTPS (envoi) | Compte utilisé par l'instance d'hôte associée au gestionnaire d'envoi | Les communications SSL ne requièrent pas de certificat client. La nécessité ou non d'un certificat de ce type est à la discrétion de l'administrateur du serveur Web de destination. Si le serveur Web de destination requiert un certificat client, procédez comme suit : - Obtenir le certificat public auprès du partenaire commercial. - Connectez-vous à chaque ordinateur exécutant BizTalk Server en tant que compte utilisé par le instance hôte associé au gestionnaire d’envoi. - Importez le certificat dans le magasin Utilisateur actuel \ Personnel . Pour plus d’informations sur la configuration d’IIS pour utiliser SSL, consultez l’article de la Base de connaissances GUIDE PRATIQUE : Installer des certificats importés sur un serveur web dans Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=155162). Pour plus d’informations sur l’obtention d’un certificat à l’aide des pages Web des services de certificats Windows Server 2003, consultez Utiliser les pages web des services de certificats Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkID=69975). Note: Pour utiliser la page Web des services de certificats afin d’obtenir des certificats à partir d’un ordinateur Windows Server 2008, consultez l’article de la Base de connaissances Microsoft 922706 à l’adresse https://go.microsoft.com/fwlink/?LinkId=155317 (https://go.microsoft.com/fwlink/?LinkId=155317). |
Certificat public de partenaire commercial |
-
Transport HTTP : définissez l’option d’empreinte numérique du certificat client SSL sous l’onglet Authentification de la boîte de dialogue Propriétés du transport HTTP . La boîte de dialogue Propriétés du transport HTTP s’affiche en cliquant sur le bouton Configurer de la page Général de la boîte de dialogue Propriétés du port d’envoi . - Transport SOAP : définissez l’option Empreinte numérique du certificat client sous l’onglet Général de la boîte de dialogue Propriétés du transport SOAP . La boîte de dialogue Propriétés du transport SOAP s’affiche en cliquant sur le bouton Configurer dans la page Général de la boîte de dialogue Propriétés du port d’envoi . |
Dans cette section
Comment configurer BizTalk Server pour recevoir des messages MIME ou SMIME chiffrés
Comment configurer BizTalk Server pour envoyer des messages MIME ou SMIME chiffrés
Comment configurer BizTalk Server pour recevoir des messages MIME ou SMIME signés
Comment configurer BizTalk Server pour envoyer des messages MIME ou SMIME signés