使用 Azure Logic Apps 將憑證新增至整合帳戶,以保護工作流程中的訊息
適用於:Azure Logic Apps (使用量 + 標準)
當您需要在邏輯應用程式企業對企業 (B2B) 工作流程中交換機密訊息時,您可以使用憑證來增加此通訊的安全性。 憑證是一份數位文件,可透過下列方式協助保護通訊:
檢查參與者在電子通訊中的身分識別。
將訊息內容加密。
以數位方式簽署訊息。
您可以在工作流程中使用下列憑證類型:
公用憑證,您必須從公用網路的憑證授權單位 (CA) 購買這些憑證。 這些憑證不需要任何金鑰。
私人憑證或自我簽署憑證,這些憑證由您自行建立並核發。 不過,這些憑證需要在 Azure 金鑰保存庫中使用私密金鑰。
如果您不熟悉邏輯應用程式,則請檢閱什麼是 Azure Logic Apps? 如需 B2B 企業整合的詳細資訊,請檢閱具有 Azure Logic Apps 和 Enterprise Integration Pack 的 B2B 企業整合工作流程。
必要條件
Azure 帳戶和訂用帳戶。 如果您還沒有訂閱,則請 註冊免費的 Azure 帳戶。
您在其中定義和儲存成品的整合帳戶資源 (例如交易夥伴、合約、憑證等),以用於企業整合和 B2B 工作流程。 此資源必須符合下列需求:
與邏輯應用程式資源相同的 Azure 訂閱相關。
存在於邏輯應用程式資源的相同位置或 Azure 區域。
如果您使用邏輯應用程式 (耗用) 資源類型,則必須先將整合帳戶連結至邏輯應用程式資源,才能在工作流程中使用成品。
若要建立和新增用於邏輯應用程式 (耗用量) 工作流程的憑證,您還不需要邏輯應用程式資源。 不過,當您準備好在工作流程中使用這些憑證時,邏輯應用程式資源需要可儲存這些憑證的已連結整合帳戶。
如果您使用邏輯應用程式 (Standard) 資源類型,則企業整合帳戶不需要邏輯應用程式資源的連結,但仍需要連結來儲存其他成品,例如合作夥伴、合約和憑證,以及使用 AS2、X12 和 EDIFACT 作業。 您的整合帳戶仍然必須符合其他需求,例如使用與邏輯應用程式資源相同的 Azure 訂閱以及與邏輯應用程式資源位於相同位置。
注意
目前,只有「邏輯應用程式 (耗用)」資源類型才支援 RosettaNet 作業。 「邏輯應用程式 (標準)」資源類型未包括 RosettaNet 作業。
針對私人憑證,您必須符合下列必要條件:
在 Azure 金鑰保存庫中新增私密金鑰,並具有金鑰名稱。 如需詳細資訊,請檢閱將私密金鑰新增至 Azure 金鑰保存庫。
授權 Azure Logic Apps 服務對金鑰保存庫執行作業。 若要對 Azure Logic Apps 服務主體授與存取權,請使用 Set-AzKeyVaultAccessPolicy PowerShell 命令,例如:
Set-AzKeyVaultAccessPolicy -VaultName 'TestcertKeyVault' -ServicePrincipalName '7cd684f4-8a78-49b0-91ec-6a35d38739ba' -PermissionsToKeys decrypt, sign, get, list
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要瞭解如何遷移至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 遷移至 Az。
將對應的公用憑證新增至金鑰保存庫。 此憑證會出現在 合約的 [傳送] 和 [接收] 設定中,用於簽署和加密訊息。 例如,請檢閱 Azure Logic Apps 中 AS2 訊息設定的參考。
您的整合帳戶中至少兩個交易夥伴和這些合作夥伴之間的合約。 每個合約都需要一個主機合作夥伴和一個來賓合作夥伴。 此外,合約要求這兩個合作夥伴使用適用於 AS2、X12、EDIFACT 或 RosettaNet 合約的相同或相容的商務身分識別限定詞。
或者,您想要在其中使用憑證的邏輯應用程式資源和工作流程。 工作流程需要啟動邏輯應用程式工作流程的任何觸發程序。 如果您之前尚未建立邏輯應用程式工作流程,請檢閱 快速入門:建立範例取用邏輯應用程式工作流程。
使用公用憑證
若要在工作流程中使用公用憑證,您必須先將憑證新增至整合帳戶。
在 Azure 入口網站 中,輸入
integration accounts
,然後選取 [企業整合帳戶]。在 [整合帳戶] 底下,選取要將憑證新增到其中的整合帳戶。
在 [企業整合帳戶] 功能表上的 [設定] 底下,選取 [憑證]。
在 [憑證] 窗格上,選取 [新增]。
在 [新增憑證] 窗格上,提供下列憑證相關資訊:
屬性 必要 值 描述 名稱 是 <certificate-name> 您的憑證名稱,在本例中為 publicCert
憑證類型 是 公開 您的憑證類型 [MSSQLSERVER 的通訊協定內容] 是 <certificate-file-name> 若要瀏覽要新增的憑證檔案,請選取 [憑證] 方塊旁的資料夾圖示。 選取您要使用的憑證。 完成後,選取 [確定]。
Azure 會在驗證您的選取項目之後,將憑證上傳。
使用私人憑證
若要在工作流程中使用私人憑證,您必須先符合私密金鑰的必要條件,並將公用憑證新增至整合帳戶。
在 Azure 入口網站 中,輸入
integration accounts
,然後選取 [企業整合帳戶]。在 [整合帳戶] 底下,選取要將憑證新增到其中的整合帳戶。
在 [企業整合帳戶] 功能表上的 [設定] 底下,選取 [憑證]。
在 [憑證] 窗格上,選取 [新增]。
在 [新增憑證] 窗格上,提供下列憑證相關資訊:
屬性 必要 值 描述 名稱 是 <certificate-name> 您的憑證名稱,在本例中為 privateCert
憑證類型 是 私人 您的憑證類型 [MSSQLSERVER 的通訊協定內容] 是 <certificate-file-name> 若要瀏覽要新增的憑證檔案,請選取 [憑證] 方塊旁的資料夾圖示。 選取對應至金鑰保存庫中所儲存私密金鑰的公用憑證。 資源群組 是 <integration-account-resource-group> 整合帳戶的資源群組,在本例中為 Integration-Account-RG
金鑰保存庫 是 <key-vault-name> 您的金鑰保存庫名稱 機碼名稱 是 <key-name> 金鑰名稱 完成後,選取 [確定]。
Azure 會在驗證您的選取項目之後,將憑證上傳。