このセクションでは、BizTalk Server 環境で証明書を管理するためのベスト プラクティスについて説明します。
環境の脅威モデル分析を実行する
環境の脅威モデル分析 (TMA) を実行して、署名証明書または暗号化証明書がセキュリティ上の脅威を軽減するのに役立つかどうかを判断します。
パートナーとの公開キー証明書の計画を作成する
パートナーとの公開キー証明書を送受信するためのプランを作成します。 パーティの解決に署名証明書を使用していない場合は、パブリック証明書をメッセージに添付できます。その場合は、システムに証明書のコピーを事前に必要としません。
設定された間隔で証明書失効リストをダウンロードする
設定された間隔で証明機関 (CA) から証明書失効リスト (CRL) をダウンロードします。 週に 1 回行うことをお勧めします。 BizTalk サーバーが参加しているドメインの CA がある場合、CRL は自動的にダウンロードされます。
公開キーを送信するためのパートナーとのガイドラインを確立する
パートナーとのサービス レベル アグリーメント (SLA) の一環として、公開キーの送信、証明書の有効期限が切れるタイミングの通知、証明書の取り消し時の通知に関するガイドラインを確立します。
署名証明書を確認する
証明書失効リストに対して署名証明書を確認してください。 署名証明書を確認する方法の詳細については、「 MIME-SMIME デコーダー パイプライン コンポーネントを構成する方法」を参照してください。
デジタル署名に対するサービス拒否攻撃を回避する
BizTalk Server でデジタル署名を検証できない場合のメッセージの操作を決定します。 受信ポートで Authentication プロパティを設定すると、サービス拒否攻撃を防ぐのに役立ちます。
注
認証 - メッセージの削除と認証 - 受信ポートのメッセージ フラグを保持するには、パーティ解決パイプライン コンポーネントを正しく構成し、BizTalk Server でパーティを定義する必要があります。 Party Resolution パイプライン コンポーネントの構成の詳細については、「 パーティー解決パイプライン コンポーネント」を参照してください。
暗号化されたメッセージと暗号化されていないメッセージの個別の受信場所を作成する
一部のパートナーから MIME で暗号化されたメッセージを受信し、他のパートナーから暗号化されていないメッセージを受信する予定の場合は、暗号化されたメッセージと暗号化されていないメッセージ用に別々の受信場所を異なるホストに作成します。 MIME で暗号化されたメッセージのみが必要な場合は、デコード MIME/SMIME パイプライン コンポーネントの [非 MIME メッセージを許可] オプションを [いいえ] に構成します。
パートナーによる証明書の管理
証明書管理をパートナー管理プラクティスの一部にします。 BizTalk Server 環境からパーティーを追加または削除する場合は、そのパートナーに関連付けられている証明書を追加または削除することをお勧めします。
ホスト インスタンスを削除する前に証明書を削除する
BizTalk サーバーからホスト インスタンスを削除する前に、ホスト インスタンスが実行されているアカウントの個人用ストア内の証明書を削除します。