Prácticas recomendadas para la administración de certificados
En esta sección se proporcionan procedimientos recomendados para administrar certificados en el entorno de Microsoft BizTalk Server.
Evaluar y planear el uso de certificados
Lleve a cabo un análisis de modelo de amenazas de su entorno
- Lleve a cabo un análisis de modelo de amenazas (TMA) de su entorno para determinar si los certificados de firma o cifrado contribuirán a minimizar las amenazas para la seguridad.
Cree un plan de certificados de clave pública con socios comerciales
- Cree un plan para enviar certificados de clave pública a los asociados y recibir certificados de clave pública. Si no utiliza certificados de firma para la resolución de entidades, el certificado público puede adjuntarse al mensaje, en cuyo caso no se necesitará una copia del certificado de antemano en su sistema.
Establezca directrices con socios comerciales para el envío de claves públicas
- Como parte del contrato de nivel de servicio (SLA) con el socio comercial, establezca directrices para el envío de claves públicas, con lo que se le notificará el momento de revocación y de inminente caducidad de los certificados.
Instalar certificados
Descargue la lista de revocaciones de certificados a intervalos establecidos
- Descargue la lista de revocaciones de certificados (CRL) de su entidad emisora de certificados (CA) a intervalos determinados. Se recomienda llevar esto a cabo una vez a la semana. Las CRL se descargan automáticamente si hay una CA para el dominio al que se han unido los servidores BizTalk Server.
Compruebe los certificados de firma
- Asegúrese de efectuar una comprobación de los certificados de firma con respecto a la lista de revocación de certificados. Para obtener más información sobre cómo comprobar los certificados de firma, vea How to Configure the MIME/SMIME Decoder Pipeline Component in BizTalk Server Help.
Administre certificados con socios comerciales
- Haga que la administración de certificados forme parte de las prácticas de administración de socios comerciales. Al agregar una entidad al entorno de BizTalk Server o quitarla de éste, resulta recomendable agregar o quitar certificados asociados con el socio comercial.
Quite certificados antes de quitar una instancia de host
- Antes de quitar una instancia de host de un servidor BizTalk Server, quite los certificados del almacén personal de la cuenta en la que se ejecuta la instancia de host.
Configurar BizTalk Server para usar certificados para MIME/SMIME
Evite los ataques por denegación de servicio para las firmas digitales
Determine lo que desea hacer con los mensajes cuando BizTalk Server no pueda validar la firma digital. Al establecer la propiedad Autenticación en el puerto de recepción, se contribuirá a evitar los ataques por denegación de servicio.
Nota
Los indicadores Autenticación - Requerido (quitar mensajes) y Autenticación - Requerido (mantener mensajes) del puerto de recepción requieren que el componente de canalización de resolución de entidades se configure correctamente y que las entidades se definan en BizTalk Server. Para obtener más información, vea Componente de canalización de resolución de entidad (https://go.microsoft.com/fwlink/?LinkId=155146) en BizTalk Server Ayuda.
Cree ubicaciones de recepción independientes para mensajes cifrados y sin cifrar
- Si planea recibir mensajes con cifrado MIME de algunos socios comerciales y mensajes sin cifrar de otros, cree ubicaciones de recepción independientes en hosts diferentes para mensajes cifrados y sin cifrar. Si únicamente espera recibir mensajes cifrados con MIME, configure la opción Permitir mensaje no MIME en el componente de canalización de descodificación MIME/SMIME como No.
Configurar un adaptador de BizTalk para usar certificados
Prueba de la conexión al sitio web de destino
- Si usa SSL, asegúrese de que puede conectarse al sitio web de destino con Microsoft Internet Explorer® antes de intentar conectarse al sitio web de destino con los transportes HTTP o SOAP. Compruebe que no se muestran cuadros de diálogo en Internet Explorer al conectarse al sitio web de destino. BizTalk Server no tiene ningún mecanismo para interactuar con ningún cuadro de diálogo que se pueda mostrar al conectarse al sitio web de destino. Internet Explorer puede mostrar un cuadro de diálogo si el nombre del sitio web de destino no coincide con el nombre especificado para el sitio web en el certificado SSL o si la entidad de certificación raíz del certificado SSL no está en el almacén de entidades de certificación raíz de confianza correspondiente.
Uso de la herramienta de diagnósticos SSL para analizar problemas de conexión SSL
- La herramienta de diagnóstico de SSL es un componente opcional del Kit de herramientas de diagnóstico de IIS. Puede descargar el kit de herramientas de diagnóstico de IIS desde las herramientas de diagnóstico de Internet Information Services.
Exportar un certificado de un grupo de BizTalk a otro
Asegúrese de que se usa un certificado importado para su propósito previsto.
- Si importa un certificado en un grupo, el certificado importado debe tener una propiedad de uso que sea coherente con su uso previsto. Para comprobar la propiedad de uso, haga doble clic en el certificado en la interfaz de la Consola de administración de certificados y, a continuación, haga clic en la pestaña Detalles del cuadro de diálogo Certificado . A continuación, haga clic en la opción Todo de la lista desplegable Mostrar y, a continuación, haga clic para seleccionar los campos Uso de claves o Uso mejorado de claves para comprobar el propósito previsto. Si BizTalk Server intentos de usar un certificado para no ser su propósito previsto, se producirá un error en tiempo de ejecución.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de