将证书添加到集成帐户，以使用 Azure 逻辑应用在工作流中保护消息

适用范围：Azure 逻辑应用（消耗型 + 标准型）

当需要在逻辑应用企业对企业 (B2B) 工作流中交换机密消息时，可以使用证书提高此通信的安全性。 证书是一种数字文档，可帮助以下列方式保护通信：

• 检查参与者在电子通信中的标识。

• 对消息内容进行加密。

• 对消息进行数字签名。

可以在工作流中使用以下证书类型：

• 公用证书，必须从公用 Internet 证书颁发机构 (CA) 购买。 这些证书不需要任何密钥。

• 专用证书或自签名证书，由你自己创建并颁发。 但是，这些证书需要 Azure 密钥保管库中的私钥。

如果不熟悉逻辑应用，请查看什么是 Azure 逻辑应用？ 有关 B2B 企业集成的详细信息，请参阅使用 Azure 逻辑应用和 Enterprise Integration Pack 构建的 B2B 企业集成工作流。

先决条件

• Azure 帐户和订阅。 如果还没有订阅，请注册 Azure 帐户。

• 一个可以在其中定义和存储项目（如贸易合作伙伴、协议、证书等）的集成帐户资源，用于企业集成和 B2B 工作流。 此资源必须满足以下要求：

  • 与逻辑应用资源所在的同一个 Azure 订阅相关联。

  • 与逻辑应用资源位于同一个位置或 Azure 区域。

  • 如果有消耗逻辑应用资源，则必须将集成帐户链接到逻辑应用资源，然后才能在工作流中使用项目。

    若要创建和添加要在“逻辑应用（消耗）”工作流中使用的证书，尚不需要逻辑应用资源。 但是，当你准备好在工作流中使用这些证书时，逻辑应用资源需有一个用于存储这些证书的链接集成帐户。

  • 如果有标准逻辑应用资源，集成帐户无需指向逻辑应用资源的链接，但仍需存储其他项目，例如合作伙伴、协议和证书，以及使用 AS2、X12 和 EDIFACT 操作。 集成帐户仍必须满足其他要求，例如，使用相同的 Azure 订阅并与逻辑应用资源存在于同一位置。

• 对于专用证书，必须满足以下先决条件：

  • 在 Azure Key Vault 中添加私钥并提供密钥名称。 有关详细信息，请参阅将私钥添加到 Azure Key Vault。

  • 授权 Azure 逻辑应用服务对密钥保管库执行操作。 若要向 Azure 逻辑应用服务主体授予访问权限，请使用 Azure 基于角色的访问控制来管理对密钥保管库的访问权限。 有关详细信息，请参阅使用 Azure 基于角色的访问控制提供对密钥保管库密钥、证书和机密的访问权限。

    注意

    如果要对密钥保管库使用访问策略，请考虑迁移到 Azure 基于角色的访问控制权限模型。

    如果收到错误消息“请授权逻辑应用对密钥库执行操作，方法是授予逻辑应用服务主体'7cd684f4-8a78-49b0-91ec-6a35d38739ba'访问权限，以执行'列出'、'获取'、'解密'和'签名'操作。，你的证书可能没有将 Key Usage 属性设置为数据加密。 否则，可能需要重新创建证书，并将 Key Usage 属性设置为数据加密。 若要检查证书，请打开证书，选择详细信息选项卡，并查看 Key Usage 属性。

  • 向密钥保管库中添加对应的公用证书。 此证书显示在协议的“发送”和“接收”设置中，用于对消息进行签名和加密。 例如，查看 Azure 逻辑应用中 AS2 消息设置的参考。

• 在你的集成账户中，至少添加两个贸易合作伙伴以及一份各合作伙伴之间达成的协议。 协议都需要有主持人合作伙伴和来宾合作伙伴。 此外，协议要求两个合作伙伴都使用相同或兼容的业务标识限定符，此标识符适用于 AS2、X12、EDIFACT 或 RosettaNet 协议。

• （可选）要使用证书的逻辑应用资源和工作流。 工作流需要任意能够启动逻辑应用工作流的触发器。 如果之前尚未创建逻辑应用工作流，请参阅快速入门：创建示例消耗逻辑应用工作流。

使用公用证书

要在工作流中使用公用证书，必须先将该证书添加到集成帐户。

1. 在 Azure 门户搜索框中输入 integration accounts，然后选择“集成帐户”。

2. 在“集成帐户”下，选择要添加证书的集成帐户。

3. 在集成帐户菜单的“设置”下，选择“证书”。

4. 在“证书”窗格中，选择“添加”。

5. 在“添加证书”窗格中，提供以下有关证书的信息：

   属性	需要	值	描述
   客户	是	<证书名称>	你的证书的名称，在本例中为 publicCert
   证书类型	是	Public	你的证书的类型
   证书	是	<证书文件名>	要浏览要添加的证书文件，请选择“证书”框旁边的文件夹图标。 选择要使用的证书。

   

6. 完成后，请选择“确定”。

   在 Azure 验证你的选择后，Azure 会上传你的证书。

   

使用私有证书

要在工作流中使用私有证书，必须首先满足私钥的先决条件，并将公用证书添加到集成帐户。

1. 在 Azure 门户搜索框中输入 integration accounts，然后选择“集成帐户”。

2. 在“集成帐户”下，选择要添加证书的集成帐户。

3. 在集成帐户菜单的“设置”下，选择“证书”。

4. 在“证书”窗格中，选择“添加”。

5. 在“添加证书”窗格中，提供以下有关证书的信息：

   属性	需要	值	描述
   客户	是	<证书名称>	你的证书的名称，在本例中为 privateCert
   证书类型	是	专用	你的证书的类型
   证书	是	<证书文件名>	要浏览要添加的证书文件，请选择“证书”框旁边的文件夹图标。 选择与存储在密钥保管库中的私钥对应的公用证书。
   资源组	是	<集成帐户资源组>	你的集成帐户的资源组，在本例中为 Integration-Account-RG
   密钥保管库	是	<密钥保管库名称>	你的密钥保管库名称
   密钥名称	是	<key-name>	你的密钥名称

   

6. 完成后，请选择“确定”。

   在 Azure 验证你的选择后，Azure 会上传你的证书。

   

后续步骤

• 交换 AS2 消息
• 交换 EDIFACT 消息
• 交换 X12 消息
• 交换 RosettaNet 消息