瞭解管理憑證的最佳做法

本節提供在BizTalk Server環境中管理憑證的最佳做法。

• 執行環境的威脅模型分析

  執行您環境的「威脅模型分析」(TMA) 以判斷簽章或加密憑證是否有助於減輕安全性威脅。

• 與夥伴建立公開金鑰憑證的計劃

  與夥伴建立用來傳送和接收公開金鑰憑證的計劃。 如果您沒有使用簽章憑證進行合作對象解析，則可以將公用憑證附加到訊息；在此情況下，您的系統並不需要預先準備憑證的複本。

• 按照特定的時間間隔下載憑證撤銷清單

  從憑證授權單位單位下載憑證撤銷清單 (CRL) ， (CA) 設定間隔。 我們建議一週下載一次。 如果 BizTalk 伺服器所加入的網域有 CA 存在，便會自動下載 CRL。

• 與夥伴建立提交公開金鑰的指導方針

  在與夥伴的「服務等級協議」(SLA) 內容中，建立提交公開金鑰的指導方針，在他們的憑證即將到期時，以及在他們撤銷憑證時通知您。

• 驗證簽章憑證

  您務必要根據憑證撤銷清單驗證簽章憑證。 如需如何驗證簽署憑證的詳細資訊，請參閱 如何設定 MIME-SMIME 解碼器管線元件。

• 避免數位簽章的拒絕服務攻擊

  判斷當BizTalk Server無法驗證數位簽章時，您想要對訊息執行的動作。 在接收埠上設定 Authentication 屬性有助於防止拒絕服務攻擊。

  注意

  驗證 - 卸載訊息和驗證 - 在接收埠上保留訊息旗標，要求已正確設定合作物件解析管線元件，且合作物件在BizTalk Server中定義。 如需設定合作物件解析管線元件的詳細資訊，請參閱 合作物件解析管線元件。

• 為加密和未加密的訊息分別建立接收位置

  如果您打算從某些夥伴接收 MIME 加密訊息，並從其他夥伴接收未加密的訊息，請在不同的主控件中，為加密和未加密的訊息分別建立接收位置。 當您只預期 MIME 加密的訊息時，請在 [解碼 MIME/SMIME 管線元件] 中設定 [允許非 MIME 訊息 ] 選項為 [否]。

• 管理夥伴的憑證

  將憑證管理納入夥伴管理實務的環節。 在從 BizTalk Server 環境中新增或移除合作對象時，建議您新增或移除與該夥伴相關聯的憑證。

• 在移除主控件執行個體前移除憑證

  從 BizTalk Server 移除主控件執行個體前，請先移除主控件執行個體執行時所用帳戶的個人存放區中的憑證。

另請參閱

• 管理 BizTalk Server 安全性
• 管理 Windows 群組和使用者帳戶的最佳做法