管理证书的最佳实践

本部分提供在 Microsoft BizTalk Server 环境中管理证书的最佳做法。

评估和规划证书的使用

对您的环境进行威胁模型分析

• 对您的环境进行威胁模型分析可以确定签名证书和加密证书是否有助于缓解安全威胁。

与合作伙伴制定公钥证书计划

• 创建用于向合作伙伴发送公钥证书以及从合作伙伴接收公钥证书的计划。 如果您不准备使用签名证书进行参与方解析，则公共证书可以附加到消息上，在此情况下，您无需事先在系统中复制证书。

与合作伙伴建立提交公钥的准则

• 在与合作伙伴达成的服务级别协议 (SLA) 中，建立提交公钥的准则以及在他们的证书即将过期或要吊销证书时通知您。

安装证书

以固定的时间间隔下载证书吊销列表

• 以固定的时间间隔从证书颁发机构 (CA) 下载证书吊销列表 (CRL)。 建议每周进行一次。 对于 BizTalk Server 所加入的域，如果有 CA 存在，则将自动下载 CRL。

验证签名证书

• 确保根据证书吊销列表来验证签名证书。 有关如何验证签名证书的详细信息，请参阅BizTalk Server帮助中的如何配置 MIME/SMIME 解码器管道组件。

管理合作伙伴的证书

• 将证书管理作为您的合作伙伴管理实践的一部分。 在 BizTalk Server 环境中添加或删除参与方时，建议您添加或删除与该合作伙伴相关联的各个证书。

在删除主机实例前删除证书

• 在从 BizTalk Server 中删除主机实例前，先删除运行该主机实例的帐户的个人存储中的证书。

配置BizTalk Server以使用 MIME/SMIME 证书

避免数字签名的拒绝服务攻击

• 确定在BizTalk Server无法验证数字签名时要对消息执行的操作。 在接收端口设置“验证”属性将有助于防止拒绝服务攻击。

  注意

  接收端口的“验证 - 删除消息”标志和“验证 - 保留消息”标志需要正确配置参与方解析管道组件，并在 BizTalk Server 中定义参与方。 有关详细信息，请参阅BizTalk Server https://go.microsoft.com/fwlink/?LinkId=155146 帮助中的参与方解析管道组件 () 。

为加密消息和未加密消息创建单独的接收位置

• 如果计划从某些合作伙伴接收 MIME 加密的消息而从其他合作伙伴接收未加密的消息，请在不同主机上为加密消息和未加密消息创建单独的接收位置。 如果只需要 MIME 加密的消息，请在解码 MIME/SMIME 管道组件中将“允许非 MIME 消息”选项配置为“否”。

配置 BizTalk 适配器以使用证书

测试与目标网站的连接

• 如果使用 SSL，请确保在尝试使用 HTTP 或 SOAP 传输连接到目标网站之前，可以使用 Microsoft Internet Explorer® 连接到目标网站。 验证连接到目标网站时 Internet Explorer 中是否未显示任何对话框。 BizTalk Server没有与连接到目标网站时可能显示的任何对话框进行交互的机制。 如果目标网站名称与 SSL 证书中为网站指定的名称不匹配，或者 SSL 证书的根证书颁发机构不在相应的受信任根证书颁发机构存储中，Internet Explorer 可能会显示一个对话框。

使用 SSL 诊断工具分析 SSL 连接问题

• SSL 诊断工具是 IIS 诊断工具包的可选组件。 可以从 Internet Information Services 诊断工具下载 IIS 诊断工具包。

将证书从一个 BizTalk 组导出到另一个 BizTalk 组

确保导入的证书用于其预期目的

• 如果将证书导入组，则导入的证书必须具有与其预期用途一致的 usage 属性。 若要检查 usage 属性，请在“证书管理控制台”界面中双击证书，然后单击“证书”对话框的“详细信息”选项卡。 然后单击“显示”下拉列表的“全部”选项，然后单击以选择“密钥用法”和/或“增强型密钥用法”字段来验证预期用途。 如果BizTalk Server尝试将证书用于其预期目的以外的其他用途，则会发生运行时错误。