将证书添加到集成帐户,以使用 Azure 逻辑应用在工作流中保护消息
适用范围:Azure 逻辑应用(消耗型 + 标准型)
当需要在逻辑应用企业对企业 (B2B) 工作流中交换机密消息时,可以使用证书提高此通信的安全性。 证书是一种数字文档,可帮助以下列方式保护通信:
检查参与者在电子通信中的标识。
对消息内容进行加密。
对消息进行数字签名。
可以在工作流中使用以下证书类型:
公用证书,必须从公用 Internet 证书颁发机构 (CA) 购买。 这些证书不需要任何密钥。
专用证书或自签名证书,由你自己创建并颁发。 但是,这些证书需要 Azure 密钥保管库中的私钥。
如果不熟悉逻辑应用,请查看什么是 Azure 逻辑应用? 有关 B2B 企业集成的详细信息,请参阅使用 Azure 逻辑应用和 Enterprise Integration Pack 构建的 B2B 企业集成工作流。
先决条件
Azure 帐户和订阅。 如果还没有订阅,请注册 Azure 帐户。
一个可以在其中定义和存储项目(如贸易合作伙伴、协议、证书等)的集成帐户资源,用于企业集成和 B2B 工作流。 此资源必须满足以下要求:
与逻辑应用资源所在的同一个 Azure 订阅相关联。
与逻辑应用资源位于同一个位置或 Azure 区域。
如果有消耗逻辑应用资源,则必须将集成帐户链接到逻辑应用资源,然后才能在工作流中使用项目。
若要创建和添加要在“逻辑应用(消耗)”工作流中使用的证书,尚不需要逻辑应用资源。 但是,当你准备好在工作流中使用这些证书时,逻辑应用资源需有一个用于存储这些证书的链接集成帐户。
如果有标准逻辑应用资源,集成帐户无需指向逻辑应用资源的链接,但仍需存储其他项目,例如合作伙伴、协议和证书,以及使用 AS2、X12 和 EDIFACT 操作。 集成帐户仍必须满足其他要求,例如,使用相同的 Azure 订阅并与逻辑应用资源存在于同一位置。
对于专用证书,必须满足以下先决条件:
在 Azure Key Vault 中添加私钥并提供密钥名称。 有关详细信息,请参阅将私钥添加到 Azure Key Vault。
授权 Azure 逻辑应用服务对密钥保管库执行操作。 若要向 Azure 逻辑应用服务主体授予访问权限,请使用 Azure 基于角色的访问控制来管理对密钥保管库的访问权限。 有关详细信息,请参阅使用 Azure 基于角色的访问控制提供对密钥保管库密钥、证书和机密的访问权限。
注意
如果要对密钥保管库使用访问策略,请考虑迁移到 Azure 基于角色的访问控制权限模型。
如果收到错误消息“请授权逻辑应用对密钥库执行操作,方法是授予逻辑应用服务主体'7cd684f4-8a78-49b0-91ec-6a35d38739ba'访问权限,以执行'列出'、'获取'、'解密'和'签名'操作。,你的证书可能没有将 Key Usage 属性设置为数据加密。 否则,可能需要重新创建证书,并将 Key Usage 属性设置为数据加密。 若要检查证书,请打开证书,选择详细信息选项卡,并查看 Key Usage 属性。
向密钥保管库中添加对应的公用证书。 此证书显示在协议的“发送”和“接收”设置中,用于对消息进行签名和加密。 例如,查看 Azure 逻辑应用中 AS2 消息设置的参考。
在你的集成账户中,至少添加两个贸易合作伙伴以及一份各合作伙伴之间达成的协议。 协议都需要有主持人合作伙伴和来宾合作伙伴。 此外,协议要求两个合作伙伴都使用相同或兼容的业务标识限定符,此标识符适用于 AS2、X12、EDIFACT 或 RosettaNet 协议。
(可选)要使用证书的逻辑应用资源和工作流。 工作流需要任意能够启动逻辑应用工作流的触发器。 如果之前尚未创建逻辑应用工作流,请参阅快速入门:创建示例消耗逻辑应用工作流。
使用公用证书
要在工作流中使用公用证书,必须先将该证书添加到集成帐户。
在 Azure 门户搜索框中输入
integration accounts
,然后选择“集成帐户”。在“集成帐户”下,选择要添加证书的集成帐户。
在集成帐户菜单的“设置”下,选择“证书”。
在“证书”窗格中,选择“添加”。
在“添加证书”窗格中,提供以下有关证书的信息:
属性 需要 值 描述 客户 是 <证书名称> 你的证书的名称,在本例中为 publicCert
证书类型 是 Public 你的证书的类型 证书 是 <证书文件名> 要浏览要添加的证书文件,请选择“证书”框旁边的文件夹图标。 选择要使用的证书。 完成后,请选择“确定”。
在 Azure 验证你的选择后,Azure 会上传你的证书。
使用私有证书
要在工作流中使用私有证书,必须首先满足私钥的先决条件,并将公用证书添加到集成帐户。
在 Azure 门户搜索框中输入
integration accounts
,然后选择“集成帐户”。在“集成帐户”下,选择要添加证书的集成帐户。
在集成帐户菜单的“设置”下,选择“证书”。
在“证书”窗格中,选择“添加”。
在“添加证书”窗格中,提供以下有关证书的信息:
属性 需要 值 描述 客户 是 <证书名称> 你的证书的名称,在本例中为 privateCert
证书类型 是 专用 你的证书的类型 证书 是 <证书文件名> 要浏览要添加的证书文件,请选择“证书”框旁边的文件夹图标。 选择与存储在密钥保管库中的私钥对应的公用证书。 资源组 是 <集成帐户资源组> 你的集成帐户的资源组,在本例中为 Integration-Account-RG
密钥保管库 是 <密钥保管库名称> 你的密钥保管库名称 密钥名称 是 <key-name> 你的密钥名称 完成后,请选择“确定”。
在 Azure 验证你的选择后,Azure 会上传你的证书。