瞭解管理憑證的最佳做法
本節提供在BizTalk Server環境中管理憑證的最佳做法。
執行環境的威脅模型分析
執行您環境的「威脅模型分析」(TMA) 以判斷簽章或加密憑證是否有助於減輕安全性威脅。
與夥伴建立公開金鑰憑證的計劃
與夥伴建立用來傳送和接收公開金鑰憑證的計劃。 如果您沒有使用簽章憑證進行合作對象解析,則可以將公用憑證附加到訊息;在此情況下,您的系統並不需要預先準備憑證的複本。
按照特定的時間間隔下載憑證撤銷清單
從憑證授權單位單位下載憑證撤銷清單 (CRL) , (CA) 設定間隔。 我們建議一週下載一次。 如果 BizTalk 伺服器所加入的網域有 CA 存在,便會自動下載 CRL。
與夥伴建立提交公開金鑰的指導方針
在與夥伴的「服務等級協議」(SLA) 內容中,建立提交公開金鑰的指導方針,在他們的憑證即將到期時,以及在他們撤銷憑證時通知您。
驗證簽章憑證
您務必要根據憑證撤銷清單驗證簽章憑證。 如需如何驗證簽署憑證的詳細資訊,請參閱 如何設定 MIME-SMIME 解碼器管線元件。
避免數位簽章的拒絕服務攻擊
判斷當BizTalk Server無法驗證數位簽章時,您想要對訊息執行的動作。 在接收埠上設定 Authentication 屬性有助於防止拒絕服務攻擊。
注意
驗證 - 卸載訊息和驗證 - 在接收埠上保留訊息旗標,要求已正確設定合作物件解析管線元件,且合作物件在BizTalk Server中定義。 如需設定合作物件解析管線元件的詳細資訊,請參閱 合作物件解析管線元件。
為加密和未加密的訊息分別建立接收位置
如果您打算從某些夥伴接收 MIME 加密訊息,並從其他夥伴接收未加密的訊息,請在不同的主控件中,為加密和未加密的訊息分別建立接收位置。 當您只預期 MIME 加密的訊息時,請在 [解碼 MIME/SMIME 管線元件] 中設定 [允許非 MIME 訊息 ] 選項為 [否]。
管理夥伴的憑證
將憑證管理納入夥伴管理實務的環節。 在從 BizTalk Server 環境中新增或移除合作對象時,建議您新增或移除與該夥伴相關聯的憑證。
在移除主控件執行個體前移除憑證
從 BizTalk Server 移除主控件執行個體前,請先移除主控件執行個體執行時所用帳戶的個人存放區中的憑證。