共用方式為


管理憑證的最佳作法

本節提供在 Microsoft BizTalk Server 環境中管理憑證的最佳做法。

評估及規劃憑證的使用

執行環境的威脅模型分析

  • 執行您環境的「威脅模型分析」(TMA) 以判斷簽章或加密憑證是否有助於減輕安全性威脅。

與夥伴建立公開金鑰憑證的計劃

  • 建立將公開金鑰憑證傳送至合作夥伴並接收公開金鑰憑證的計畫。 如果您沒有使用簽章憑證進行合作對象解析,則可以將公用憑證附加到訊息;在此情況下,您的系統並不需要預先準備憑證的複本。

與夥伴建立提交公開金鑰的指導方針

  • 在與夥伴的「服務等級協議」(SLA) 內容中,建立提交公開金鑰的指導方針,在他們的憑證即將到期時,以及在他們撤銷憑證時通知您。

安裝憑證

按照特定的時間間隔下載憑證撤銷清單

  • 從憑證授權單位單位下載憑證撤銷清單 (CRL) , (CA) 設定間隔。 我們建議一週下載一次。 如果 BizTalk 伺服器所加入的網域有 CA 存在,便會自動下載 CRL。

驗證簽章憑證

  • 您務必要根據憑證撤銷清單驗證簽章憑證。 如需如何驗證簽署憑證的詳細資訊,請參閱如何設定 BizTalk Server 說明中的MIME/SMIME 解碼器管線元件

管理夥伴的憑證

  • 將憑證管理納入夥伴管理實務的環節。 在從 BizTalk Server 環境中新增或移除合作對象時,建議您新增或移除與該夥伴相關聯的憑證。

在移除主控件執行個體前移除憑證

  • 從 BizTalk Server 移除主控件執行個體前,請先移除主控件執行個體執行時所用帳戶的個人存放區中的憑證。

設定BizTalk Server使用 MIME/SMIME 的憑證

避免數位簽章的拒絕服務攻擊

  • 判斷當BizTalk Server無法驗證數位簽章時,您想要對訊息執行的動作。 在接收埠上設定 [驗證] 屬性將有助於防止拒絕服務攻擊。

    注意

    接收埠上的 [驗證 - 捨棄訊息] 和 [驗證 - 保留訊息] 旗標會要求必須正確設定「合作對象解析」管線元件,並且必須在 BizTalk Server 中定義合作對象。 如需詳細資訊,請參閱BizTalk Server說明中的合作物件解析管線元件 (https://go.microsoft.com/fwlink/?LinkId=155146) 。

為加密和未加密的訊息分別建立接收位置

  • 如果您打算從某些夥伴接收 MIME 加密訊息,並從其他夥伴接收未加密的訊息,請在不同的主控件中,為加密和未加密的訊息分別建立接收位置。 如果您只要接收 MIME 加密訊息,請將解碼 MIME/SMIME 管線元件中的 [允許非 MIME 訊息] 選項設定為 [否]。

設定 BizTalk 配接器以使用憑證

測試目標網站的連線

  • 如果您使用 SSL,請先確定您可以使用 Microsoft Internet Explorer® 連線到目標網站,再嘗試使用 HTTP 或 SOAP 傳輸連線到目標網站。 當您連線到目標網站時,請確認 Internet Explorer 中未顯示任何對話方塊。 BizTalk Server沒有任何機制可以與連線至目標網站時顯示的任何對話方塊互動。 如果目標網站名稱不符合 SSL 憑證中網站指定的名稱,或者 SSL 憑證的根憑證授權單位不在適當的信任根憑證授權單位存放區中,Internet Explorer 可能會顯示對話方塊。

使用 SSL 診斷工具來分析 SSL 連線問題

  • SSL 診斷工具是 IIS Diagnostics Toolkit 的一個選用元件。 您可以從 Internet Information Services 診斷工具下載 IIS 診斷工具組。

將憑證從一個 BizTalk 群組匯出到另一個 BizTalk 群組

確定匯入的憑證正用於其預定用途

  • 如果您將憑證匯入群組,則匯入的憑證必須具有與預期用途一致的使用屬性。 若要檢查使用量屬性,請按兩下 [憑證管理主控台 ] 介面中的憑證,然後按一下 [憑證] 對話方塊的 [ 詳細資料 ] 索引卷 標。 然後按一下 [顯示] 下拉式清單的 [全部]選項,然後按一下以選取 [金鑰使用方式] 和/或[增強金鑰使用方式] 欄位,以驗證預定的目的。 如果BizTalk Server嘗試將憑證用於其預定用途以外的憑證,就會發生執行階段錯誤。