Bewährte Vorgehensweisen für die Verwaltung von Zertifikaten

Dieser Abschnitt enthält bewährte Methoden zum Verwalten von Zertifikaten in Ihrer Microsoft BizTalk Server-Umgebung.

Bewerten und Planen der Verwendung von Zertifikaten

Durchführen einer Gefahrenanalyse für Ihre Umgebung

• Mithilfe einer Gefahrenanalyse können Sie ermitteln, ob mithilfe von Signatur- und Verschlüsselungszertifikaten Sicherheitsrisiken minimiert werden können.

Erstellen eines Plans für Zertifikate für öffentliche Schlüssel mit Partnern

• Erstellen Sie einen Plan zum Senden von Zertifikaten für öffentliche Schlüssel an und zum Empfangen von Zertifikaten für öffentliche Schlüssel von Partnern. Wenn Sie zur Parteiauflösung keine Signaturzertifikate verwenden, kann das öffentliche Zertifikat an die Nachricht angefügt werden. In diesem Fall müssen Sie nicht im Vorfeld eine Kopie des Zertifikats in Ihr System kopieren.

Festlegen von Richtlinien mit Partnern für das Senden öffentlicher Schlüssel

• Legen Sie im Rahmen Ihrer Vereinbarung zum Servicelevel (SLA) mit Ihrem Partner Richtlinien für das Senden öffentlicher Schlüssel fest, gemäß denen Sie benachrichtigt werden, wenn dessen Zertifikate vor dem Ablauf stehen oder ein Zertifikat gesperrt wird.

Installieren von Zertifikaten

Herunterladen der Zertifikatsperrliste in regelmäßigen Abständen

• Laden Sie die Zertifikatsperrliste in regelmäßigen Abständen von Ihrer Zertifizierungsstelle herunter. Dies wird einmal pro Woche empfohlen. Die Zertifikatsperrlisten werden automatisch heruntergeladen, wenn es eine Zertifizierungsstelle für die Domäne gibt, der die Computer mit BizTalk Server beigetreten sind.

Überprüfen von Signaturzertifikaten

• Gleichen Sie die Signaturzertifikate mit der Zertifikatsperrliste ab. Weitere Informationen zum Überprüfen der Signaturzertifikate finden Sie unter Konfigurieren der Pipelinekomponente des MIME/SMIME-Decoders in BizTalk Server Hilfe.

Verwalten von Zertifikaten mit Partnern

• Lassen Sie die Zertifikatverwaltung in Ihre Partnerverwaltungsmethoden einfließen. Wenn Sie der BizTalk Server-Umgebung eine Partei hinzufügen oder aus ihr entfernen, sollten Sie die zum jeweiligen Partner gehörenden Zertifikate hinzufügen bzw. entfernen.

Entfernen von Zertifikaten vor Entfernen einer Hostinstanz

• Vor dem Entfernen einer Hostinstanz von einem Computer mit BizTalk Server müssen Sie die Zertifikate im persönlichen Speicher des Kontos entfernen, unter dem die Hostinstanz ausgeführt wird.

Konfigurieren BizTalk Server für die Verwendung von Zertifikaten für MIME/SMIME

Vermeiden von Denial-of-Service-Angriffen auf digitale Signaturen

• Bestimmen Sie, was Sie mit Nachrichten tun möchten, wenn BizTalk Server die digitale Signatur nicht überprüfen kann. Das Festlegen der Eigenschaft Authentifizierung für den Empfangsport dient zum Verhindern von Denial-of-Service-Angriffen.

  Hinweis

  Die Kennzeichen Nachrichten bei Authentifizierungsfehler verwerfen und Nachrichten bei Authentifizierungsfehler beibehalten für den Empfangsport erfordern, dass die Pipelinekomponente der Parteiauflösung ordnungsgemäß konfiguriert ist und die Parteien in BizTalk Server definiert sind. Weitere Informationen finden Sie unter Party Resolution Pipeline Component (https://go.microsoft.com/fwlink/?LinkId=155146) in BizTalk Server Hilfe.

Erstellen gesonderter Empfangsspeicherorte für verschlüsselte und unverschlüsselte Nachrichten

• Wenn Sie planen, MIME-verschlüsselte Nachrichten von einigen Partnern und unverschlüsselte Nachrichten von anderen Partnern zu empfangen, erstellen Sie in verschiedenen Hosts getrennte Empfangsspeicherorte für verschlüsselte und unverschlüsselte Nachrichten. Wenn Sie nur MIME-verschlüsselte Nachrichten erwarten, konfigurieren Sie die Option Nicht-MIME-Nachricht zulassen in der Pipelinekomponente für die MIME-/SMIME-Decodierung mit Nein.

Konfigurieren eines BizTalk-Adapters für die Verwendung von Zertifikaten

Testen der Verbindung mit der Zielwebsite

• Wenn Sie SSL verwenden, stellen Sie sicher, dass Sie mit Microsoft Internet Explorer ® eine Verbindung mit der Zielwebsite herstellen können, bevor Sie versuchen, eine Verbindung mit der Zielwebsite mit den HTTP- oder SOAP-Transporten herzustellen. Stellen Sie sicher, dass keine Dialogfelder im Internet Explorer angezeigt werden, wenn Sie eine Verbindung mit der Zielwebsite herstellen. BizTalk Server verfügt über keinen Mechanismus für die Verbindung mit Dialogfeldern, die beim Herstellen einer Verbindung mit der Zielwebsite angezeigt werden. Ein Dialogfeld kann von Internet Explorer angezeigt werden, wenn der Name der Zielwebsite nicht mit dem namen übereinstimmt, der für die Website im SSL-Zertifikat angegeben wurde oder wenn sich die Stammzertifizierungsstelle für das SSL-Zertifikat nicht im entsprechenden Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.

Verwenden des SSL-Diagnosetools zum Analysieren von SSL-Verbindungsproblemen

• Das Tool SSL Diagnostics ist eine optionale Komponente des IIS-Diagnosetoolkits. Sie können das IIS-Diagnosetoolkit über die Diagnosetools für Internetinformationsdienste herunterladen.

Exportieren eines Zertifikats aus einer BizTalk-Gruppe in eine andere

Sicherstellen, dass ein importiertes Zertifikat für den vorgesehenen Zweck verwendet wird

• Wenn Sie ein Zertifikat in eine Gruppe importieren, muss das importierte Zertifikat über eine Verwendungseigenschaft verfügen, die mit der beabsichtigten Verwendung konsistent ist. Um die Verwendungseigenschaft zu überprüfen, doppelklicken Sie auf das Zertifikat in der Benutzeroberfläche der Zertifikatverwaltungskonsole, und klicken Sie dann im Dialogfeld Zertifikat auf die Registerkarte Details. Klicken Sie dann auf die Option Alle für die Dropdownliste Anzeigen , und klicken Sie dann, um die Felder Schlüsselverwendung und/oder erweiterte Schlüsselverwendung auszuwählen, um den beabsichtigten Zweck zu überprüfen. Wenn BizTalk Server versucht, ein Zertifikat für einen anderen als den vorgesehenen Zweck zu verwenden, tritt ein Laufzeitfehler auf.