En savoir plus sur les meilleures pratiques pour la gestion des certificats
Cette section présente les meilleures pratiques pour la gestion des certificats dans votre environnement BizTalk Server.
Réalisation d'une analyse du modèle des menaces de votre environnement
Réalisez une analyse du modèle des menaces de votre environnement pour déterminer si les certificats de signature ou de chiffrement permettent de réduire les menaces potentielles.
Création d'une stratégie pour les certificats de clé publique avec les partenaires
Créez une stratégie pour l'envoi et la réception des certificats de clé publique avec les partenaires. Si vous n'utilisez pas de certificats de signature pour la résolution du tiers, le certificat public peut être joint au message et il n'est pas nécessaire que votre système en inclue une copie.
Téléchargement de la liste de révocation des certificats à intervalles définis
Téléchargez la liste de révocation des certificats de votre autorité de certification à intervalles définis. Il est recommandé d'effectuer cette opération une fois par semaine. Les listes de révocation des certificats sont téléchargées automatiquement si une autorité de certification existe pour le domaine auquel les serveurs BizTalk sont joints.
Établissement d'instructions avec les partenaires pour l'envoi de clés publiques
Dans le contrat de niveau de service (SLA) passé avec vos partenaires, établissez des instructions pour l'envoi des clés publiques, afin qu'ils vous avertissent lorsque leurs certificats expirent ou sont révoqués.
Vérification des certificats de signature
Assurez-vous de contrôler la présence de certificats de signature dans la liste de révocation de certificats. Pour plus d’informations sur la vérification des certificats de signature, consultez Comment configurer le composant de pipeline de décodeur MIME-SMIME.
Prévention des attaques par déni de service pour les signatures numériques
Déterminez ce que vous souhaitez faire avec les messages lorsque BizTalk Server ne pouvez pas valider la signature numérique. La définition de la propriété Authentication sur le port de réception permet d’empêcher les attaques par déni de service.
Notes
Les indicateurs Authentification - Supprimer des messages et Authentification - Conserver les messages sur le port de réception nécessitent que le composant de pipeline Résolution des parties soit configuré correctement et que les parties soient définies dans BizTalk Server. Pour plus d’informations sur la configuration du composant de pipeline de résolution de partie, consultez Composant de pipeline de résolution de partie.
Création d'emplacements de réception distincts pour les messages chiffrés et non chiffrés
Si vous envisagez de recevoir des messages MIME chiffrés de la part de certains partenaires et des messages non chiffrés de la part d'autres partenaires, créez des emplacements de réception distincts dans les différents hôtes pour les messages chiffrés et non chiffrés. Lorsque vous attendez uniquement des messages chiffrés mime, configurez l’option Autoriser les messages non MIME dans le composant de pipeline Decode MIME/SMIME sur Non.
Gestion des certificats avec les partenaires
Utilisez la gestion des certificats dans le cadre de vos méthodes de gestion des partenaires. Lorsque vous ajoutez ou supprimez un tiers de l'environnement BizTalk Server, il est recommandé d'ajouter ou de supprimer le certificat associé à ce tiers.
Suppression des certificats avant la suppression d'une instance d'hôte
Avant de supprimer une instance d'hôte de BizTalk Server, supprimez les certificats dans le magasin personnel du compte sous lequel l'instance de l'hôte est exécutée.