Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa sezione illustra le procedure consigliate per la gestione dei certificati nell'ambiente Microsoft BizTalk Server.
Valutare e pianificare l'uso dei certificati
Eseguire un'analisi del modello di minaccia dell'ambiente
- Eseguire un'analisi del modello di minaccia (TMA) dell'ambiente per determinare se la firma o i certificati di crittografia consentono di ridurre le minacce alla sicurezza.
Creare un piano per i certificati a chiave pubblica con i partner
- Creare un piano per l'invio di certificati di chiave pubblica a e la ricezione di certificati di chiave pubblica dai partner. Se non si usano certificati di firma per la risoluzione delle parti, è possibile allegare il certificato pubblico al messaggio, nel qual caso non è necessaria una copia del certificato nel sistema in anticipo.
Stabilire delle linee guida con i partner per la presentazione delle chiavi pubbliche
- Nell'ambito del contratto di servizio con il partner, stabilire linee guida per l'invio di chiavi pubbliche, notificare quando i certificati stanno per scadere e notificare quando revocano un certificato.
Installare i certificati
Scaricare l'elenco di revoche di certificati a intervalli impostati
- Scaricare l'elenco di revoche di certificati (CRL) dall'autorità di certificazione (CA) a intervalli impostati. È consigliabile farlo una volta alla settimana. I CRL vengono scaricati automaticamente se è presente una CA per il dominio in cui vengono aggiunti i server BizTalk.
Verificare i certificati di firma
- Assicurarsi di verificare i certificati di firma nell'elenco di revoche di certificati. Per ulteriori informazioni su come verificare i certificati di firma, consultare How to Configure the MIME/SMIME Decoder Pipeline Component nella guida di BizTalk Server.
Gestire i certificati con i partner
- Rendere la gestione dei certificati parte delle procedure di gestione dei partner. Quando si aggiunge o si rimuove un'entità dall'ambiente BizTalk Server, è consigliabile aggiungere o rimuovere i certificati associati a tale partner.
Rimuovere i certificati prima di rimuovere un'istanza host
- Prima di rimuovere un'istanza host da un server BizTalk, rimuovere i certificati nell'archivio personale dell'account in cui è in esecuzione l'istanza host.
Configurare BizTalk Server per l'uso di certificati per MIME/SMIME
Evitare attacchi Denial of Service per le firme digitali
Determinare le operazioni da eseguire con i messaggi quando BizTalk Server non può convalidare la firma digitale. L'impostazione della proprietà Authentication sulla porta di ricezione consentirà di evitare attacchi Denial of Service.
Annotazioni
I flag Authentication - Drop messages e Authentication - Keep messages nella porta di ricezione richiedono che il componente del pipeline Party Resolution sia configurato correttamente e che le parti siano definite in BizTalk Server. Per altre informazioni, vedere Componente della pipeline di risoluzione delle parti (https://go.microsoft.com/fwlink/?LinkId=155146) nella Guida di BizTalk Server.
Creare percorsi di ricezione separati per i messaggi crittografati e non crittografati
- Se si prevede di ricevere messaggi crittografati MIME da alcuni partner e messaggi non crittografati da altri partner, creare posizioni di ricezione separate in host diversi per i messaggi crittografati e non crittografati. Quando si prevedono solo messaggi crittografati MIME, configurare l'opzione Consenti messaggi non MIME nel componente della pipeline Decode MIME/SMIME a No.
Configurare un adapter BizTalk per l'uso dei certificati
Testare la connessione al sito Web di destinazione
- Se si usa SSL, assicurarsi di potersi connettere al sito Web di destinazione con Microsoft Internet Explorer® prima di tentare di connettersi al sito Web di destinazione con i trasporti HTTP o SOAP. Verificare che non vengano visualizzate finestre di dialogo in Internet Explorer quando ci si connette al sito Web di destinazione. BizTalk Server non dispone di alcun meccanismo per l'interazione con le finestre di dialogo che potrebbero essere visualizzate durante la connessione al sito Web di destinazione. Una finestra di dialogo può essere visualizzata da Internet Explorer se il nome del sito Web di destinazione non corrisponde al nome specificato per il sito Web nel certificato SSL o se l'autorità di certificazione radice per il certificato SSL non si trova nell'archivio autorità di certificazione radice attendibili appropriato.
Usare lo strumento di diagnostica SSL per analizzare i problemi di connessione SSL
- Lo strumento di diagnostica SSL è un componente facoltativo di IIS Diagnostics Toolkit. È possibile scaricare IIS Diagnostics Toolkit da Internet Information Services Diagnostics Tools.
Esportazione di un certificato da un gruppo BizTalk a un altro
Assicurarsi che venga usato un certificato importato per lo scopo previsto
- Se si importa un certificato in un gruppo, il certificato importato deve avere una proprietà di utilizzo coerente con l'uso previsto. Per controllare la proprietà di utilizzo, fare doppio clic sul certificato nell'interfaccia della Console di gestione certificati e quindi fare clic sulla scheda Dettagli della finestra di dialogo Certificato . Fare quindi clic sull'opzione Tutti per l'elenco a discesa Mostra e quindi fare clic per selezionare i campi Utilizzo chiavi e/o Utilizzo chiavi avanzato per verificare lo scopo previsto. Se BizTalk Server tenta di usare un certificato per scopi diversi da quello previsto, si verificherà un errore di runtime.