Archivi certificati utilizzati da BizTalk Server
In BizTalk Server vengono utilizzati due tipi di archivio certificati, ovvero l'archivio certificati Altri utenti per le chiavi pubbliche e l'archivio certificati Personale per ogni account del servizio dell'istanza dell'host per la chiave privata.
Archivio certificati Altri utenti. I certificati di chiave pubblica, come implica il nome stesso, sono pubblici e accessibili da chiunque disponga dell'accesso al computer nel quale sono archiviati. In BizTalk Server vengono utilizzati certificati di chiave pubblica per crittografare messaggi destinati a entità specifiche e per verificare le firme digitali sui messaggi in arrivo provenienti da entità specifiche. In Windows è disponibile l'archivio certificati Altri utenti per l'archiviazione dei certificati di chiave pubblica utilizzati nel computer. Tutti gli utenti possono leggere e utilizzare i certificati in questo archivio per il quale gli amministratori di Windows dispongono delle autorizzazioni di gestione.
Nota
È necessario salvare i certificati di chiave pubblica nell'archivio certificati Computer locale\Altri utenti del computer locale in cui è presente un'istanza dell'host BizTalk utilizzata per verificare la firma o crittografare i messaggi inviati a un partner remoto.
Nella figura seguente è illustrato l'archivio certificati Altri utenti utilizzato da BizTalk Server per i certificati di chiave pubblica:
Archivio certificati Personale. In BizTalk Server vengono utilizzati certificati di chiave privata per decrittografare i messaggi in arrivo e firmare quelli in uscita. Ogni account di Windows abilitato per l'accesso interattivo su un computer dispone di un archivio certificati personale del sistema operativo a cui solo tale account può accedere. Per accedere ai certificati di chiave privata per cui ogni account del servizio dispone dell'accesso, in BizTalk Server vengono utilizzati gli archivi certificati personali per ognuno degli account del servizio delle istanze dell'host. Solo i proprietari dell'archivio certificati possono accedere e gestire i relativi archivi personali. In altre parole, è necessario effettuare l'accesso a ogni computer che ospiterà le pipeline di decodifica S/MIME con l'account del servizio di ogni host e importare il certificato di decrittografia nell'archivio certificati personale tramite lo Snap-in certificati.
Nella figura seguente è illustrato l'archivio certificati Personale utilizzato da BizTalk Server per i certificati di chiave privata:
Importante
I certificati di chiave privata devono essere archiviati nell'archivio certificati Utente corrente\Personale per ogni account del servizio dell'istanza dell'host in ogni computer in cui è in esecuzione un'istanza dell'host BizTalk che richiede il certificato per la decrittografia o per la firma dei messaggi in uscita.
Nota
Dopo aver aggiunto il certificato di chiave privata all'archivio certificati Personale degli account del servizio utilizzati per la firma dei messaggi in uscita, sarà inoltre necessario specificare tale certificato di firma nella Console di amministrazione BizTalk. Per altre informazioni, vedere Come configurare BizTalk Server per l'invio di messaggi firmati.
Nota
L'archivio certificati personale viene inoltre utilizzato per operazioni a livello di codice, ad esempio l'esecuzione di script per l'importazione e l'esportazione di certificati.
Nella tabella seguente vengono descritti i certificati che è necessario installare in ogni archivio certificati di Windows.
Tabella 1 Certificati per ogni archivio certificati di Windows
| Scopo del certificato | Tipo di certificato | Archivio certificati |
|---|---|---|
| per la firma | Chiave privata dell'utente | Archivio personale per ogni account del servizio di un'istanza host con una pipeline di invio con un componente della pipeline MIME/SMIME Codificatore configurato per firmare i messaggi (Aggiungere la proprietà Sign Cert To Message impostata su True). Per altre informazioni, vedere Come configurare BizTalk Server per l'invio di messaggi firmati |
| Verifica della firma | Chiave pubblica del partner | Archivio Altri utenti su ogni computer con un'istanza dell'host che dispone di una pipeline di ricezione con un componente della pipeline Decodificatore MIME/SMIME. Per altre informazioni, vedere Come configurare BizTalk Server per la ricezione di messaggi firmati. |
| Decrittografia | Chiave privata dell'utente | Archivio Personale per account del servizio di un'istanza dell'host che dispone di una pipeline di ricezione con un componente della pipeline Decodificatore MIME/SMIME. Per altre informazioni, vedere Come configurare BizTalk Server per la ricezione di messaggi crittografati. |
| Encrypting | Chiave pubblica del partner | Altri Persone archivio in ogni computer con un'istanza host con una pipeline di invio con un componente della pipeline MIME/SMIME Codificatore configurato per crittografare i messaggi (Abilitare la proprietà di crittografia impostata su True). Per altre informazioni, vedere Come configurare BizTalk Server per l'invio di messaggi crittografati. |
| Risoluzione entità | Chiave pubblica del partner | Archivio Altri utenti nel computer di amministrazione da cui si sta configurando la risoluzione dell'entità. Per altre informazioni, vedere Uso dei certificati per la risoluzione delle parti. |
Nella figura seguente vengono illustrati i certificati che saranno necessari in ogni archivio certificati su un computer con BizTalk Server dedicato alla ricezione dei messaggi.
Nella figura seguente vengono illustrati i certificati che saranno necessari in ogni archivio certificati su un computer con BizTalk Server dedicato all'invio dei messaggi.
Per ulteriori informazioni sugli archivi certificati e sullo Snap-in certificato per Microsoft Management Console (MMC), cercare la voce relativa alla console certificati nella Guida di Windows.
Vedere anche
Certificati usati da BizTalk Server per i messaggi firmati
Certificati usati da BizTalk Server per i messaggi crittografati
Crittografia e firma dei certificati
Implementazione della protezione dei messaggi