Más información sobre los procedimientos recomendados para administrar certificados
En esta sección se proporcionan procedimientos recomendados para administrar certificados en el entorno de BizTalk Server.
Lleve a cabo un análisis de modelo de amenazas de su entorno
Lleve a cabo un análisis de modelo de amenazas (TMA) de su entorno para determinar si los certificados de firma o cifrado contribuirán a minimizar las amenazas para la seguridad.
Cree un plan de certificados de clave pública con socios comerciales
Cree un plan para efectuar el envío y recepción de certificados de clave pública con socios comerciales. Si no utiliza certificados de firma para la resolución de entidades, el certificado público puede adjuntarse al mensaje, en cuyo caso no se necesitará una copia del certificado de antemano en su sistema.
Descargue la lista de revocaciones de certificados a intervalos establecidos
Descargue la lista de revocaciones de certificados (CRL) de su entidad emisora de certificados (CA) a intervalos determinados. Se recomienda llevar esto a cabo una vez a la semana. Las CRL se descargan automáticamente si hay una CA para el dominio al que se han unido los servidores BizTalk Server.
Establezca directrices con socios comerciales para el envío de claves públicas
Como parte del contrato de nivel de servicio (SLA) con el socio comercial, establezca directrices para el envío de claves públicas, con lo que se le notificará el momento de revocación y de inminente caducidad de los certificados.
Compruebe los certificados de firma
Asegúrese de efectuar una comprobación de los certificados de firma con respecto a la lista de revocación de certificados. Para obtener más información sobre cómo comprobar los certificados de firma, vea Cómo configurar el componente de canalización de descodificador MIME-SMIME.
Evite los ataques por denegación de servicio para las firmas digitales
Determine lo que desea hacer con los mensajes cuando BizTalk Server no pueda validar la firma digital. Establecer la propiedad Authentication en el puerto de recepción ayudará a evitar ataques de denegación de servicio.
Nota
La autenticación: quitar mensajes y autenticación: mantener las marcas de mensajes en el puerto de recepción requiere que el componente de canalización de resolución de entidad se configure correctamente y que las partes se definen en BizTalk Server. Para obtener más información sobre cómo configurar el componente de canalización de resolución de entidades, consulte Componente de canalización de resolución de entidades.
Cree ubicaciones de recepción independientes para mensajes cifrados y sin cifrar
Si planea recibir mensajes con cifrado MIME de algunos socios comerciales y mensajes sin cifrar de otros, cree ubicaciones de recepción independientes en hosts diferentes para mensajes cifrados y sin cifrar. Si solo espera mensajes cifrados con MIME, configure la opción Permitir mensaje no MIME en el componente de canalización Decode MIME/SMIME en No.
Administre certificados con socios comerciales
Haga que la administración de certificados forme parte de las prácticas de administración de socios comerciales. Al agregar una entidad al entorno de BizTalk Server o quitarla de éste, resulta recomendable agregar o quitar certificados asociados con el socio comercial.
Quite certificados antes de quitar una instancia de host
Antes de quitar una instancia de host de un servidor BizTalk Server, quite los certificados del almacén personal de la cuenta en la que se ejecuta la instancia de host.