Méthodes conseillées pour la gestion des certificats

Cette section présente les meilleures pratiques pour la gestion des certificats dans votre environnement Microsoft BizTalk Server.

Évaluer et planifier votre utilisation des certificats

Réalisation d'une analyse du modèle des menaces de votre environnement

• Réalisez une analyse du modèle des menaces de votre environnement pour déterminer si les certificats de signature ou de chiffrement permettent de réduire les menaces potentielles.

Création d'une stratégie pour les certificats de clé publique avec les partenaires

• Créez un plan d’envoi de certificats de clé publique aux partenaires et de réception de certificats de clé publique. Si vous n'utilisez pas de certificats de signature pour la résolution du tiers, le certificat public peut être joint au message et il n'est pas nécessaire que votre système en inclue une copie.

Établissement d'instructions avec les partenaires pour l'envoi de clés publiques

• Dans le contrat de niveau de service (SLA) passé avec vos partenaires, établissez des instructions pour l'envoi des clés publiques, afin qu'ils vous avertissent lorsque leurs certificats expirent ou sont révoqués.

Installer des certificats

Téléchargement de la liste de révocation des certificats à intervalles définis

• Téléchargez la liste de révocation des certificats de votre autorité de certification à intervalles définis. Il est recommandé d'effectuer cette opération une fois par semaine. Les listes de révocation des certificats sont téléchargées automatiquement si une autorité de certification existe pour le domaine auquel les serveurs BizTalk sont joints.

Vérification des certificats de signature

• Assurez-vous de contrôler la présence de certificats de signature dans la liste de révocation de certificats. Pour plus d’informations sur la vérification des certificats de signature, consultez How to Configure the MIME/SMIME Decoder Pipeline Component in BizTalk Server Help.

Gestion des certificats avec les partenaires

• Utilisez la gestion des certificats dans le cadre de vos méthodes de gestion des partenaires. Lorsque vous ajoutez ou supprimez un tiers de l'environnement BizTalk Server, il est recommandé d'ajouter ou de supprimer le certificat associé à ce tiers.

Suppression des certificats avant la suppression d'une instance d'hôte

• Avant de supprimer une instance d'hôte de BizTalk Server, supprimez les certificats dans le magasin personnel du compte sous lequel l'instance de l'hôte est exécutée.

Configurer BizTalk Server pour utiliser des certificats pour MIME/SMIME

Prévention des attaques par déni de service pour les signatures numériques

• Déterminez ce que vous souhaitez faire avec les messages lorsque BizTalk Server ne pouvez pas valider la signature numérique. Définissez la propriété Authentification sur le port de réception pour éviter les attaques par déni de service.

  Notes

  Les indicateurs Authentification - Supprimer les messages et Authentification - Conserver les messages du port de réception nécessitent que le composant de pipeline Résolution du tiers soit configuré correctement, et que les tiers soient définis dans BizTalk Server. Pour plus d’informations, consultez Composant de pipeline de résolution de partie (https://go.microsoft.com/fwlink/?LinkId=155146) dans BizTalk Server aide.

Création d'emplacements de réception distincts pour les messages chiffrés et non chiffrés

• Si vous envisagez de recevoir des messages MIME chiffrés de la part de certains partenaires et des messages non chiffrés de la part d'autres partenaires, créez des emplacements de réception distincts dans les différents hôtes pour les messages chiffrés et non chiffrés. Lorsque vous n'attendez que des messages MIME chiffrés, configurez l'option Autoriser les messages non-MIME dans le composant de pipeline MIME/SMIME sur Non.

Configurer un adaptateur BizTalk pour utiliser des certificats

Tester votre connexion au site web cible

• Si vous utilisez SSL, assurez-vous que vous pouvez vous connecter au site web cible avec Microsoft Internet Explorer ® avant de tenter de vous connecter au site web cible avec les transports HTTP ou SOAP. Vérifiez qu’aucune boîte de dialogue ne s’affiche dans Internet Explorer lorsque vous vous connectez au site Web cible. BizTalk Server ne dispose d’aucun mécanisme d’interfaçage avec les boîtes de dialogue qui peuvent être affichées lors de la connexion au site web cible. Une boîte de dialogue peut être affichée par Internet Explorer si le nom du site web cible ne correspond pas au nom spécifié pour le site web dans le certificat SSL ou si l’autorité de certification racine pour le certificat SSL ne se trouve pas dans le magasin autorités de certification racines de confiance approprié.

Utiliser l’outil Diagnostics SSL pour analyser les problèmes de connexion SSL

• Cet outil est un composant en option de l'ensemble d'outils de diagnostic IIS. Vous pouvez télécharger le kit de ressources de diagnostic IIS à partir des outils de diagnostic Internet Information Services.

Exportation d’un certificat d’un groupe BizTalk vers un autre

S’assurer qu’un certificat importé est utilisé à l’usage prévu

• Si vous importez un certificat dans un groupe, le certificat importé doit avoir une propriété d’utilisation cohérente avec son utilisation prévue. Pour case activée la propriété d’utilisation, double-cliquez sur le certificat dans l’interface de la console de gestion des certificats, puis cliquez sur l’onglet Détails de la boîte de dialogue Certificat. Cliquez ensuite sur l’option Tout pour la liste déroulante Afficher , puis sélectionnez les champs Utilisation de la clé et/ou Utilisation améliorée de la clé pour vérifier l’objectif prévu. Si BizTalk Server tente d’utiliser un certificat autre que son objectif prévu, une erreur d’exécution se produit.