Informationen zu bewährten Methoden für die Verwaltung von Zertifikaten

  • Artikel

Dieser Abschnitt enthält bewährte Methoden für die Verwaltung von Zertifikaten in Ihrer BizTalk Server Umgebung.

  • Durchführen einer Gefahrenanalyse für Ihre Umgebung

    Mithilfe einer Gefahrenanalyse können Sie ermitteln, ob mithilfe von Signatur- und Verschlüsselungszertifikaten Sicherheitsrisiken minimiert werden können.

  • Erstellen eines Plans für Zertifikate für öffentliche Schlüssel mit Partnern

    Erstellen Sie einen Plan für das Senden und Empfangen von Zertifikaten für öffentliche Schlüssel mit Partnern. Wenn Sie zur Parteiauflösung keine Signaturzertifikate verwenden, kann das öffentliche Zertifikat an die Nachricht angefügt werden. In diesem Fall müssen Sie nicht im Vorfeld eine Kopie des Zertifikats in Ihr System kopieren.

  • Herunterladen der Zertifikatsperrliste in regelmäßigen Abständen

    Laden Sie die Zertifikatsperrliste in regelmäßigen Abständen von Ihrer Zertifizierungsstelle herunter. Dies wird einmal pro Woche empfohlen. Die Zertifikatsperrlisten werden automatisch heruntergeladen, wenn es eine Zertifizierungsstelle für die Domäne gibt, der die Computer mit BizTalk Server beigetreten sind.

  • Festlegen von Richtlinien mit Partnern für das Senden öffentlicher Schlüssel

    Legen Sie im Rahmen Ihrer Vereinbarung zum Servicelevel (SLA) mit Ihrem Partner Richtlinien für das Senden öffentlicher Schlüssel fest, gemäß denen Sie benachrichtigt werden, wenn dessen Zertifikate vor dem Ablauf stehen oder ein Zertifikat gesperrt wird.

  • Überprüfen von Signaturzertifikaten

    Gleichen Sie die Signaturzertifikate mit der Zertifikatsperrliste ab. Weitere Informationen zum Überprüfen der Signaturzertifikate finden Sie unter Konfigurieren der Pipelinekomponente des MIME-SMIME-Decoders.

  • Vermeiden von Denial-of-Service-Angriffen auf digitale Signaturen

    Bestimmen Sie, was Sie mit Nachrichten tun möchten, wenn BizTalk Server die digitale Signatur nicht überprüfen kann. Wenn Sie die Authentication-Eigenschaft für den Empfangsport festlegen, können Sie Denial-of-Service-Angriffe verhindern.

    Hinweis

    Die Flags "Authentifizierung – Nachrichten löschen" und "Authentifizierung – Nachrichten beibehalten" auf dem Empfangsport erfordern, dass die Pipelinekomponente "Party Resolution" ordnungsgemäß konfiguriert ist und dass die Parteien in BizTalk Server definiert sind. Weitere Informationen zum Konfigurieren der Pipelinekomponente "Party Resolution" finden Sie unter Party Resolution Pipeline Component.

  • Erstellen gesonderter Empfangsspeicherorte für verschlüsselte und unverschlüsselte Nachrichten

    Wenn Sie planen, MIME-verschlüsselte Nachrichten von einigen Partnern und unverschlüsselte Nachrichten von anderen Partnern zu empfangen, erstellen Sie in verschiedenen Hosts getrennte Empfangsspeicherorte für verschlüsselte und unverschlüsselte Nachrichten. Wenn Sie nur MIME-verschlüsselte Nachrichten erwarten, konfigurieren Sie die Option Nicht-MIME-Nachricht zulassen in der Komponente MIME/SMIME-Pipeline dekodieren auf Nein.

  • Verwalten von Zertifikaten mit Partnern

    Lassen Sie die Zertifikatverwaltung in Ihre Partnerverwaltungsmethoden einfließen. Wenn Sie der BizTalk Server-Umgebung eine Partei hinzufügen oder aus ihr entfernen, sollten Sie die zum jeweiligen Partner gehörenden Zertifikate hinzufügen bzw. entfernen.

  • Entfernen von Zertifikaten vor Entfernen einer Hostinstanz

    Vor dem Entfernen einer Hostinstanz von einem Computer mit BizTalk Server müssen Sie die Zertifikate im persönlichen Speicher des Kontos entfernen, unter dem die Hostinstanz ausgeführt wird.

Weitere Informationen