管理憑證的最佳作法

本節提供在 Microsoft BizTalk Server 環境中管理憑證的最佳做法。

評估及規劃憑證的使用

執行環境的威脅模型分析

與夥伴建立公開金鑰憑證的計劃

建立將公開金鑰憑證傳送至合作夥伴並接收公開金鑰憑證的計畫。如果您沒有使用簽章憑證進行合作對象解析，則可以將公用憑證附加到訊息；在此情況下，您的系統並不需要預先準備憑證的複本。

與夥伴建立提交公開金鑰的指導方針

按照特定的時間間隔下載憑證撤銷清單

從憑證授權單位單位下載憑證撤銷清單 (CRL) ， (CA) 設定間隔。我們建議一週下載一次。如果 BizTalk 伺服器所加入的網域有 CA 存在，便會自動下載 CRL。

驗證簽章憑證

您務必要根據憑證撤銷清單驗證簽章憑證。如需如何驗證簽署憑證的詳細資訊，請參閱如何設定 BizTalk Server 說明中的MIME/SMIME 解碼器管線元件。

管理夥伴的憑證

在移除主控件執行個體前移除憑證

避免數位簽章的拒絕服務攻擊

判斷當BizTalk Server無法驗證數位簽章時，您想要對訊息執行的動作。在接收埠上設定 [驗證] 屬性將有助於防止拒絕服務攻擊。

注意

接收埠上的 [驗證 - 捨棄訊息] 和 [驗證 - 保留訊息] 旗標會要求必須正確設定「合作對象解析」管線元件，並且必須在 BizTalk Server 中定義合作對象。如需詳細資訊，請參閱BizTalk Server說明中的合作物件解析管線元件 (https://go.microsoft.com/fwlink/?LinkId=155146) 。

為加密和未加密的訊息分別建立接收位置

如果您打算從某些夥伴接收 MIME 加密訊息，並從其他夥伴接收未加密的訊息，請在不同的主控件中，為加密和未加密的訊息分別建立接收位置。如果您只要接收 MIME 加密訊息，請將解碼 MIME/SMIME 管線元件中的 [允許非 MIME 訊息] 選項設定為 [否]。

測試目標網站的連線

如果您使用 SSL，請先確定您可以使用 Microsoft Internet Explorer® 連線到目標網站，再嘗試使用 HTTP 或 SOAP 傳輸連線到目標網站。當您連線到目標網站時，請確認 Internet Explorer 中未顯示任何對話方塊。 BizTalk Server沒有任何機制可以與連線至目標網站時顯示的任何對話方塊互動。如果目標網站名稱不符合 SSL 憑證中網站指定的名稱，或者 SSL 憑證的根憑證授權單位不在適當的信任根憑證授權單位存放區中，Internet Explorer 可能會顯示對話方塊。

使用 SSL 診斷工具來分析 SSL 連線問題

SSL 診斷工具是 IIS Diagnostics Toolkit 的一個選用元件。您可以從 Internet Information Services 診斷工具下載 IIS 診斷工具組。

確定匯入的憑證正用於其預定用途

如果您將憑證匯入群組，則匯入的憑證必須具有與預期用途一致的使用屬性。若要檢查使用量屬性，請按兩下 [憑證管理主控台 ] 介面中的憑證，然後按一下 [憑證] 對話方塊的 [ 詳細資料 ] 索引卷 標。然後按一下 [顯示] 下拉式清單的 [全部]選項，然後按一下以選取 [金鑰使用方式] 和/或[增強金鑰使用方式] 欄位，以驗證預定的目的。如果BizTalk Server嘗試將憑證用於其預定用途以外的憑證，就會發生執行階段錯誤。