Procedure consigliate per la gestione dei certificati

Questa sezione illustra le procedure consigliate per la gestione dei certificati nell'ambiente microsoft BizTalk Server.

Valutare e pianificare l'uso dei certificati

Esecuzione di un'analisi del modello di minaccia dell'ambiente

• Eseguire un'analisi del modello di minaccia (Threat Model Analysis, TMA) dell'ambiente per stabilire se i certificati di firma o crittografia consentono di ridurre le minacce per la sicurezza.

Creazione di un piano per i certificati di chiave pubblica con i partner

• Creare un piano per l'invio di certificati a chiave pubblica e la ricezione di certificati a chiave pubblica dai partner. Se per la risoluzione dell'entità non si utilizzano certificati di firma, è possibile allegare al messaggio il certificato pubblico. In questo caso, non è necessario che nel sistema sia già presente una copia del certificato.

Definizione di linee guida con i partner per l'invio di chiavi pubbliche

• Come parte dell'accordo di servizio (SLA) con i partner, definire linee guida per l'invio di chiavi pubbliche in modo da ricevere notifica dell'imminente scadenza di certificati o della revoca di un certificato.

Installare i certificati

Download dell'elenco delle revoche di certificati a intervalli prestabiliti

• Scaricare l'elenco di revoche di certificati (CRL) dall'autorità di certificazione (CA) a intervalli prestabiliti. Si consiglia di eseguire questa operazione una volta alla settimana. Se è definita un'autorità di certificazione (CA) per il dominio di cui fanno parte i server BizTalk, gli elenchi di revoche di certificati vengono scaricati automaticamente.

Verifica dei certificati di firma

• Verificare i certificati di firma a fronte dell'elenco di revoche di certificati. Per altre informazioni su come verificare i certificati di firma, vedere How to Configure the MIME/SMIME Decoder Pipeline Component in BizTalk Server Help (Come configurare il componente della pipeline del decodificatore MIME/SMIME) nella Guida di BizTalk Server.

Gestione di certificati con i partner

• Includere la gestione dei certificati nelle procedure di gestione relative ai partner. Quando viene aggiunta o rimossa un'entità dall'ambiente BizTalk Server, si consiglia di aggiungere o rimuovere anche i certificati associati a tale partner.

Rimozione di certificati prima della rimozione di un'istanza dell'host

• Prima di rimuovere un'istanza dell'host da un server BizTalk, rimuovere i certificati dall'archivio personale dell'account con cui viene eseguita l'istanza dell'host.

Configurare BizTalk Server per l'uso di certificati per MIME/SMIME

Come evitare attacchi di tipo Denial of Service per le firme digitali

• Determinare le operazioni da eseguire con i messaggi quando BizTalk Server non è in grado di convalidare la firma digitale. L'impostazione della proprietà Autenticazione sulla porta di ricezione consente di evitare attacchi di tipo Denial of Service.

  Nota

  Per i flag Autenticazione - Elimina messaggi e Autenticazione - Conserva messaggi sulla porta di ricezione è necessario che il componente della pipeline Risoluzione entità sia configurato in modo corretto e che le entità siano definite in BizTalk Server. Per altre informazioni, vedere Componente della pipeline di risoluzione delle entità (https://go.microsoft.com/fwlink/?LinkId=155146) nella Guida di BizTalk Server.

Creazione di indirizzi di ricezione separati per messaggi crittografati e non crittografati

• Se si prevede di ricevere messaggi crittografati con MIME da alcuni partner e messaggi non crittografati da altri partner, creare indirizzi di ricezione separati in host differenti per i messaggi crittografati e per quelli non crittografati. Se si prevede di ricevere soltanto messaggi crittografati con MIME, impostare l'opzione Consenti messaggio non MIME del componente della pipeline Decodificatore MIME/SMIME su No.

Configurare un adapter BizTalk per l'uso dei certificati

Testare la connessione al sito Web di destinazione

• Se si usa SSL, assicurarsi di potersi connettere al sito Web di destinazione con Microsoft Internet Explorer® prima di tentare di connettersi al sito Web di destinazione con i trasporti HTTP o SOAP. Verificare che non vengano visualizzate finestre di dialogo in Internet Explorer quando ci si connette al sito Web di destinazione. BizTalk Server non dispone di alcun meccanismo per l'interazione con le finestre di dialogo che potrebbero essere visualizzate durante la connessione al sito Web di destinazione. È possibile visualizzare una finestra di dialogo da Internet Explorer se il nome del sito Web di destinazione non corrisponde al nome specificato per il sito Web nel certificato SSL o se l'autorità di certificazione radice per il certificato SSL non si trova nell'archivio autorità di certificazione radice attendibili appropriato.

Usare lo strumento di diagnostica SSL per analizzare i problemi di connessione SSL

• Lo strumento di diagnostica SSL è un componente facoltativo di IIS Diagnostics Toolkit. È possibile scaricare IIS Diagnostics Toolkit da Internet Information Services Diagnostics Tools.

Esportazione di un certificato da un gruppo BizTalk a un altro

Assicurarsi che venga usato un certificato importato per lo scopo previsto

• Se si importa un certificato in un gruppo, il certificato importato deve avere una proprietà di utilizzo coerente con l'uso previsto. Per controllare la proprietà di utilizzo, fare doppio clic sul certificato nell'interfaccia della Console di gestione certificati , quindi fare clic sulla scheda Dettagli della finestra di dialogo Certificato . Fare quindi clic sull'opzione Tutti per l'elenco a discesa Mostra , quindi fare clic per selezionare i campi Utilizzo chiavi e/o Utilizzo chiavi avanzato per verificare lo scopo previsto. Se BizTalk Server tenta di usare un certificato per uno scopo diverso da quello previsto, si verificherà un errore di runtime.