管理证书的最佳做法

本部分提供了在 Microsoft BizTalk Server 环境中管理证书的最佳做法。

评估和计划证书的使用

对环境执行威胁模型分析

• 对环境执行威胁模型分析（TMA），以确定签名或加密证书是否有助于缓解安全威胁。

为合作伙伴的公钥证书创建计划

• 创建一个计划，用于向合作伙伴发送公钥证书以及从合作伙伴接收公钥证书。 如果不使用用于参与方解析的签名证书，则可以将公共证书附加到消息中，在这种情况下，你不需要事先在系统中拥有该证书的副本。

与合作伙伴建立提交公钥的准则

• 作为与合作伙伴的服务级别协议（SLA）的一部分，建立用于提交公钥的指导方针，并在合作伙伴的证书即将过期时及时通知你，以及在其吊销证书时通知你的流程。

安装证书

按设置间隔下载证书吊销列表

• 按设置间隔从证书颁发机构（CA）下载证书吊销列表（CRL）。 我们建议每周进行一次这个操作。 如果 BizTalk 服务器所在的域中存在 CA，则会自动下载 CRL 列表。

验证签名证书

• 请确保根据证书吊销列表验证签名证书。 有关如何验证签名证书的详细信息，请参阅如何在 BizTalk Server 帮助中 配置 MIME/SMIME 解码器管道组件 。

使用合作伙伴管理证书

• 使证书管理成为合作伙伴管理实践的一部分。 在 BizTalk Server 环境中添加或删除参与方时，建议添加或删除与该合作伙伴关联的证书。

在删除主机实例之前删除证书

• 在从 BizTalk 服务器中删除主机实例之前，请删除运行主机实例的帐户的个人存储中的证书。

将 BizTalk Server 配置为使用 MIME/SMIME 证书

避免数字签名遭受拒绝服务攻击

• 确定当 BizTalk Server 无法验证数字签名时要对消息执行的操作。 在接收端口上设置身份验证属性将有助于防止拒绝服务攻击。

  注释

  身份验证 - 删除消息和身份验证 - 在接收端口上保留消息标志要求正确配置参与方解析管道组件，并且参与方在 BizTalk Server 中定义。 有关详细信息，请参阅 BizTalk Server 帮助中的 Party Resolution Pipeline Component （https://go.microsoft.com/fwlink/?LinkId=155146）。

为加密和未加密的消息创建单独的接收位置

• 如果计划接收来自某些合作伙伴的 MIME 加密消息，以及来自其他合作伙伴的未加密消息，请在不同主机中为加密和未加密的消息创建单独的接收位置。 如果只需要 MIME 加密的消息，请在解码 MIME/SMIME 管道组件中配置“允许非 MIME 消息”选项，设置为“否”。

将 BizTalk 适配器配置为使用证书

测试与目标网站的连接

• 如果使用 SSL，请确保使用 Microsoft Internet Explorer® 连接到目标网站，然后再尝试使用 HTTP 或 SOAP 传输连接到目标网站。 连接到目标网站时，验证 Internet Explorer 中是否未显示任何对话框。 BizTalk Server 没有与连接到目标网站时可能显示的任何对话框进行交互的机制。 如果目标网站名称与 SSL 证书中指定的网站名称不匹配，或者 SSL 证书的根证书颁发机构不在适当的受信任的根证书颁发机构存储中，Internet Explorer 可能会显示对话框。

使用 SSL 诊断工具分析 SSL 连接问题

• SSL 诊断工具是 IIS 诊断工具包的可选组件。 可以从 Internet Information Services 诊断工具下载 IIS 诊断工具包。

将证书从一个 BizTalk 组导出到另一个 BizTalk 组

确保导入的证书用于其预期目的

• 如果将证书导入组，则导入的证书必须具有符合其预期用途的用法属性。 若要检查使用情况属性，请在“证书管理控制台”界面中双击该证书，然后单击“证书”对话框的“详细信息”选项卡。 然后单击“显示”下拉列表的“全部”选项，然后单击以选择“密钥使用情况”和/或“增强型密钥使用情况”字段来验证预期用途。 如果 BizTalk Server 尝试将证书用于其预期目的以外的其他用途，则会发生运行时错误。