Condividi tramite

Problemi noti di certificati in BizTalk Server

  • Articolo

Questa sezione descrive i problemi noti relativi alla gestione dei certificati digitali usati con BizTalk Server.

Problemi generali relativi ai certificati

La mancanza di connettività all'elenco di revoche di certificati causerà il rifiuto di un certificato

Questo problema comporta l'errore seguente: "Si è verificato un errore di autenticazione. Lo stato dell'autorità di certificazione (CA) che ha emesso il certificato usato per firmare il messaggio è sconosciuto". Questo errore può verificarsi anche quando il certificato di firma è valido quando visualizzato in MMC (usando l'utente BizTalk Server) nel BizTalk Server.

Questa condizione può verificarsi se la proprietà "Controlla revoca certificati" è abilitata nel componente decodificatore S/MIME nella pipeline di ricezione. Quando questa proprietà è impostata su true, BizTalk Server tenterà di eseguire una query sull'elenco di revoche di certificati (CRL) per verificare se il certificato in ingresso è stato revocato. Non importa se il certificato stesso non viene revocato. Se BizTalk Server non è in grado di eseguire query sul CRL corrispondente a causa di problemi di connettività, non accetterà il certificato. Per risolvere questo errore, visualizzare le proprietà del certificato facendo doppio clic sul certificato usato. Nella scheda Dettagli verrà visualizzato l'attributo "Punto di distribuzione CRL" nell'elenco dei campi. In questo attributo devono essere presenti diversi URL che puntano al CRL nel server DELLA CA. Il server BizTalk deve essere in grado di accedere a uno di questi URL per recuperare il CRL. In caso contrario, il controllo della revoca avrà esito negativo e verrà pubblicato l'errore precedente.

L'archivio certificati Altro Persone non viene inizializzato fino a quando non si accede

Questo problema comporta l'errore seguente dell'archivio certificati quando si tenta di aggiungere o modificare porte/percorsi di invio/ricezione usando la console di amministrazione di BizTalk Server in remoto: "Impossibile aprire l'archivio certificati". e "Impossibile trovare il file specificato. (Sistema)".

Nota

È possibile modificare questi artefatti usando la console di amministrazione se si accede direttamente al BizTalk Server.

In un computer appena installato, l'archivio certificati Other Persone non viene inizializzato a meno che non si acceda una sola volta. Durante la configurazione del gruppo, è possibile inizializzare l'archivio certificati Other Persone e di conseguenza non viene visualizzato questo errore in un computer in cui è stata eseguita la configurazione del gruppo.

BizTalk Server supporta un solo certificato personale per ogni gruppo BizTalk

Il certificato personale utilizzato dal gruppo BizTalk viene specificato impostando l'identificazione personale del certificato personale nelle proprietà del gruppo BizTalk. Un gruppo BizTalk può rappresentare un'azienda, un reparto, un hub o un'altra business unit.

Problemi relativi ai certificati AS2

Il decodificatore AS2 non convaliderà che un certificato sia configurato nell'host o per l'entità di destinazione

Il decodificatore AS2 permette di decrittografare un messaggio solo se il relativo certificato privato è configurato nell'archivio certificati. Tuttavia, non consente di verificare che il certificato di decrittografia sia identico a quello configurato nell'host. Il messaggio ricevuto può essere crittografato con più certificati.

BizTalk Server non sarà possibile decrittografare un messaggio salvato in formato wire se il certificato non è valido

Sintomo

BizTalk Server non permette di decrittografare un messaggio AS2 in ingresso salvato in formato wire nel database di non ripudio.

Possibile causa

Il certificato richiesto per decrittografare il messaggio è scaduto o è stato revocato. Questa situazione si verifica in genere se è trascorso un determinato periodo di tempo dal salvataggio del messaggio AS2 nel database di non ripudio. In questo caso, è possibile che non si disponga di accesso immediato a un certificato valido per il messaggio.

Risoluzione

Acquisire un certificato valido per la decrittografia del messaggio.

Se non è possibile decrittografare un messaggio AS2, è possibile risolvere il problema importando nuovamente il certificato

Sintomo

Il decodificatore AS2 rileva un'eccezione quando tenta di decrittografare un messaggio AS2, che genera l'errore seguente:

"The AS2 Decoder encountered an exception during processing. Details of the message and exception are as follows:
   AS2-From:"PARTNER" AS2-To:"HOME" MessageID:"<137706.1178060412333@servername>"
   MessageType: "unknown" Exception:"An error occurred when decrypting an AS2 message."
System.ArgumentNullException: Value cannot be null.
Parameter name: PayloadContentType
at Microsoft.BizTalk.Edi.Reporting.Common.Utilities.ValidateArgument(Object o,
String parameterName, Boolean isEmptyStringValidationRequired)
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.ValidateParameters()
at Microsoft.BizTalk.EdiInt.Reporting.AS2MessageActivity.Create()"

Possibile causa

Il certificato usato per decrittografare il messaggio AS2 deve essere ricaricato nell'archivio personale.

Risoluzione

Eliminare il certificato esistente dall'archivio personale e quindi importare nuovamente il certificato nell'archivio personale usando l'Importazione guidata certificati. A tale scopo, fare clic con il pulsante destro del mouse sulla cartella Certificatonell'archivio personale, scegliere Tutte le attività e quindi fare clic su Importa.

Usare lo stesso accesso per l'istanza host in-process e l'istanza host isolata per assicurarsi che l'archivio personale venga riconosciuto

L'archivio certificati Personale è disponibile per l'elaborazione dei messaggi solo se il profilo utente è caricato per l'utente le cui credenziali di accesso sono associate all'istanza host. L'archivio Personale viene utilizzato per i certificati di firma e decrittazione (chiave privata dell'utente). Il profilo utente viene caricato per impostazione predefinita per l'istanza host di tipo In-process, ma non viene tuttavia caricato per impostazione predefinita per l'istanza host di tipo Isolato. È possibile fare in modo che il profilo utente per l'host di tipo Isolato venga caricato da un'applicazione. In alternativa, è possibile aggirare questo problema utilizzando lo stesso account di accesso per l'istanza host di tipo In-process e per quella di tipo Isolato.

Per caricare il profilo utente è possibile creare un servizio vuoto anziché configurare un'applicazione per tale scopo. Per altre informazioni sulla creazione di un servizio vuoto, vedere Procedura: Creare servizi Windows (https://go.microsoft.com/fwlink/?LinkId=155149) nella Guida di Visual Studio.

Dopo aver creato il servizio vuoto per caricare il profilo, procedere come segue:

  1. Fare clic su Start e quindi su Esegui per aprire la finestra di dialogo Esegui .

  2. Nella finestra di dialogo Esegui digitare service.msc e premere INVIO per aprire lo snap-in MMC Servizi .

  3. Aprire la finestra di dialogo Proprietà per il servizio creato. Fare clic con il pulsante destro del mouse sul servizio e scegliere Proprietà.

  4. Fare clic sulla scheda Accesso , selezionare Questo account e quindi immettere il nome di accesso usato per l'istanza host isolata.

  5. Fare clic su OK.

  6. Avviare manualmente il servizio per caricare il profilo utente per l'utente di accesso.

L'attributo Key Usage di un certificato deve corrispondere all'utilizzo del certificato

I certificati utilizzati per il trasporto AS2 devono disporre degli attributi richiesti per l'utilizzo desiderato. Per la firma e la verifica della firma, l'attributo Utilizzo chiave del certificato deve essere impostato su Firma digitale. Per la crittografia e la decrittografia, l'attributo Utilizzo chiave del certificato deve essere impostato su Crittografia dati o Crittografia chiave. È possibile verificare l'attributo Utilizzo chiavi facendo doppio clic sul certificato, facendo clic sulla scheda Dettagli nella finestra di dialogo Certificato e selezionando il campo Utilizzo chiavi .

L'elenco di risoluzione dei certificati verrà verificato per un MDN in uscita se la proprietà AS2-To non è impostata per l'entità

Nell'accordo predefinito per un MDN in uscita, viene eseguita la verifica dell'elenco di risoluzione dei certificati. Se non si desidera che questa verifica venga eseguita, controllare che sia impostata la proprietà dell'entità AS2-To corretta in modo che l'entità ricevente possa essere risolta e che sia possibile determinare le proprietà dell'entità. In questo caso, l'accordo predefinito che richiede la verifica dell'elenco di risoluzione dei certificati non verrà utilizzato. Sarà inoltre necessario disabilitare la proprietà Controlla elenco di revoche certificati nella pagina Generale delle proprietà dell'entità AS2.