인증서 관리에 대한 모범 사례 알아보기
이 섹션에서는 BizTalk Server 환경에서 인증서를 관리하는 모범 사례를 제공합니다.
환경에 대한 위협 모델 분석 수행
환경에 대한 TMA(위협 모델 분석)을 수행하여 서명 또는 암호화 인증서가 보안 위협을 완화하는 데 도움이 될지 결정합니다.
파트너와 함께 공개 키 인증서에 대한 계획 수립
파트너와 함께 공개 키 인증서의 송신 및 수신에 대한 계획을 수립합니다. 파티 검사(resolution)용 서명 인증서를 사용하고 있지 않은 경우 시스템에서 사전에 인증서 사본을 요구하지 않으면 공개 인증서를 메시지에 첨부할 수 있습니다.
설정한 간격으로 인증서 해지 목록 다운로드
설정한 간격으로 CA(인증 기관)에서 CRL(인증서 해지 목록)을 다운로드합니다. 이 작업은 일주일에 한 번 수행하는 것이 좋습니다. BizTalk 서버가 속해 있는 도메인에 대한 CA가 있을 경우 CRL이 자동으로 다운로드됩니다.
파트너와 함께 공개 키 전송에 대한 지침 수립
파트너와의 SLA(서비스 수준 계약)의 일부로, 파트너의 인증서가 만료되는 시점과 파트너가 인증서를 해지하는 시점을 알리도록 하는 공개 키 전송에 대한 지침을 수립합니다.
서명 인증서 확인
인증서 해지 목록에 대해 서명 인증서를 확인해야 합니다. 서명 인증서를 확인하는 방법에 대한 자세한 내용은 MIME-SMIME 디코더 파이프라인 구성 요소를 구성하는 방법을 참조하세요.
디지털 서명에 대한 서비스 거부 공격 방지
BizTalk Server 디지털 서명의 유효성을 검사할 수 없는 경우 메시지로 수행할 작업을 결정합니다. 수신 포트에서 Authentication 속성을 설정하면 서비스 거부 공격을 방지하는 데 도움이 됩니다.
참고
인증 - 메시지 삭제 및 인증 - 메시지 플래그를 수신 포트에 유지하려면 파티 확인 파이프라인 구성 요소를 올바르게 구성하고 당사자가 BizTalk Server 정의되어야 합니다. 파티 확인 파이프라인 구성 요소를 구성하는 방법에 대한 자세한 내용은 파티 확인 파이프라인 구성 요소를 참조하세요.
암호화된 메시지 및 암호화되지 않은 메시지를 위한 개별 수신 위치 만들기
일부 파트너로부터 MIME으로 암호화된 메시지를 수신하고 나머지 파트너로부터 암호화되지 않은 메시지를 수신하려는 경우 암호화된 메시지와 암호화되지 않은 메시지를 위한 서로 다른 호스트에 개별 수신 위치를 만듭니다. MIME 암호화 메시지만 필요한 경우 MIME/SMIME 파이프라인 구성 요소 디코딩에서 MIME 메시지 허용 옵션을 아니요로 구성합니다.
파트너와 함께 인증서 관리
파트너 관리의 일부로 인증서도 함께 관리합니다. BizTalk Server 환경에서 파티를 추가하거나 제거할 때 해당 파트너와 관련된 인증서도 추가 또는 제거하는 것이 좋습니다.
호스트 인스턴스 제거 전 인증서 제거
BizTalk Server에서 호스트 인스턴스를 제거하기 전에 호스트 인스턴스가 실행되고 있는 계정의 개인 저장소에서 인증서를 제거합니다.