新增憑證至整合帳戶,以保護 Azure Logic Apps 工作流程中的訊息
適用於:Azure Logic Apps (使用量 + 標準)
當您需要在邏輯應用程式企業對企業 (B2B) 工作流程中交換機密訊息時,您可以使用憑證來增加此通訊的安全性。 憑證是一份數位文件,可透過下列方式協助保護通訊:
檢查參與者在電子通訊中的身分識別。
將訊息內容加密。
以數位方式簽署訊息。
您可以在工作流程中使用下列憑證類型:
公用憑證,您必須從公用網路的憑證授權單位 (CA) 購買這些憑證。 這些憑證不需要任何金鑰。
私人憑證或自我簽署憑證,這些憑證由您自行建立並核發。 不過,這些憑證需要在 Azure 金鑰保存庫中使用私密金鑰。
如果您不熟悉邏輯應用程式,則請檢閱 什麼是 Azure Logic Apps? 如需 B2B 企業整合的詳細資訊,請檢閱具有 Azure Logic Apps 和 Enterprise Integration Pack 的 B2B 企業整合工作流程。
必要條件
Azure 帳戶和訂用帳戶。 如果您還沒有訂閱,則請 註冊免費的 Azure 帳戶。
您在其中定義和儲存成品的整合帳戶資源 (例如交易夥伴、合約、憑證等),藉以用於企業整合和 B2B 工作流程。 此資源必須符合下列需求:
與邏輯應用程式資源相同的 Azure 訂閱相關。
存在於邏輯應用程式資源的相同位置或 Azure 區域。
如果您有 取用邏輯應用程式資源,您必須先 將整合帳戶連結至邏輯應用程式資源 ,才能在工作流程中使用成品。
若要建立和新增用於邏輯應用程式 (耗用量) 工作流程的憑證,您還不需要邏輯應用程式資源。 不過,當您準備好在工作流程中使用這些憑證時,邏輯應用程式資源需要可儲存這些憑證的已連結整合帳戶。
如果您有 標準邏輯應用程式資源,您的整合帳戶不需要連結至邏輯應用程式資源,但仍需要儲存其他成品,例如合作夥伴、合約和憑證,以及使用 AS2、 X12 和 EDIFACT 作業。 您的整合帳戶仍然必須符合其他需求,例如使用與邏輯應用程式資源相同的 Azure 訂閱以及與邏輯應用程式資源位於相同位置。
針對私人憑證,您必須符合下列必要條件:
在 Azure 金鑰保存庫中新增私密金鑰,並具有金鑰名稱。 如需詳細資訊,請檢閱將私密金鑰新增至 Azure 金鑰保存庫。
授權 Azure Logic Apps 服務對金鑰保存庫執行作業。 若要授與 Azure Logic Apps 服務主體的存取權,請使用 Azure 角色型存取權。 如需詳細資訊,請參閱透過 Azure 角色型存取控制,提供 Key Vault 金鑰、憑證和密碼的存取權 (預覽)。
注意
如果您使用存取原則搭配密鑰保存庫,請考慮 移轉至 Azure 角色型存取控制許可權模型。
如果您收到「請將邏輯應用程式服務主體 』7cd684f4-8a78-49b0-91ec-6a35d38739ba' 的存取權授與邏輯應用程式服務主體 '7cd684f4-8a78-6a35d38739ba' 對密鑰保存庫執行作業」錯誤,您的憑證可能不會將密鑰使用方式屬性設定為 Data Encipherment。 如果沒有,您可能必須重新建立憑證, 並將 [金鑰使用方式 ] 屬性設定為 [數據加密]。 若要檢查您的憑證,請開啟憑證,選取 [ 詳細 數據] 索引標籤,然後檢閱 [金鑰使用方式 ] 屬性。
將對應的公用憑證新增至金鑰保存庫。 此憑證會出現在 合約的 [傳送] 和 [接收] 設定中,用於簽署和加密訊息。 例如,請檢閱 Azure Logic Apps 中 AS2 訊息設定的參考。
您的整合帳戶中至少兩個交易夥伴和這些合作夥伴之間的合約。 每個合約都需要一個主機合作夥伴和一個來賓合作夥伴。 此外,合約要求這兩個合作夥伴使用適用於 AS2、X12、EDIFACT 或 RosettaNet 合約的相同或相容的商務身分識別限定詞。
或者,您想要在其中使用憑證的邏輯應用程式資源和工作流程。 工作流程中需要有會啟動邏輯應用程式工作流程的任何觸發程序。 如果您之前未建立邏輯應用程式工作流程,請檢閱快速入門:建立範例使用量邏輯應用程式工作流程。
使用公用憑證
若要在工作流程中使用公用憑證,您必須先將憑證新增至整合帳戶。
在 Azure 入口網站 中,輸入
integration accounts,然後選取 [企業整合帳戶]。在 [整合帳戶] 底下,選取要將憑證新增到其中的整合帳戶。
在 [企業整合帳戶] 功能表上的 [設定] 底下,選取 [憑證]。
在 [憑證] 窗格上,選取 [新增]。
在 [新增憑證] 窗格上,提供下列憑證相關資訊:
屬性 必填 值 描述 名稱 Yes <certificate-name> 您的憑證名稱,在本例中為 publicCert憑證類型 Yes 公開 您的憑證類型 [MSSQLSERVER 的通訊協定內容] Yes <certificate-file-name> 若要瀏覽要新增的憑證檔案,請選取 [憑證] 方塊旁的資料夾圖示。 選取您要使用的憑證。 ![此螢幕快照顯示已選取 [新增] 的 Azure 入口網站 和整合帳戶,以及具有公用憑證詳細數據的 [新增憑證] 窗格。](media/logic-apps-enterprise-integration-certificates/public-certificate-details.png)
完成時,選取確定。
Azure 會在驗證您的選取項目之後,將憑證上傳。
![顯示 [憑證] 清單中具有公用憑證 Azure 入口網站 與整合帳戶的螢幕快照。](media/logic-apps-enterprise-integration-certificates/new-public-certificate.png)
使用私人憑證
若要在工作流程中使用私人憑證,您必須先符合私密金鑰的必要條件,並將公用憑證新增至整合帳戶。
在 Azure 入口網站 中,輸入
integration accounts,然後選取 [企業整合帳戶]。在 [整合帳戶] 底下,選取要將憑證新增到其中的整合帳戶。
在 [企業整合帳戶] 功能表上的 [設定] 底下,選取 [憑證]。
在 [憑證] 窗格上,選取 [新增]。
在 [新增憑證] 窗格上,提供下列憑證相關資訊:
屬性 必填 值 描述 名稱 Yes <certificate-name> 您的憑證名稱,在本例中為 privateCert憑證類型 Yes 私用 您的憑證類型 [MSSQLSERVER 的通訊協定內容] Yes <certificate-file-name> 若要瀏覽要新增的憑證檔案,請選取 [憑證] 方塊旁的資料夾圖示。 選取對應至金鑰保存庫中所儲存私密金鑰的公用憑證。 資源群組 Yes <integration-account-resource-group> 整合帳戶的資源群組,在本例中為 Integration-Account-RG金鑰保存庫 Yes <key-vault-name> 您的金鑰保存庫名稱 金鑰名稱 Yes <key-name> 金鑰名稱 ![此螢幕快照顯示已選取 [新增] 的 Azure 入口網站 和整合帳戶,以及具有私人憑證詳細數據的 [新增憑證] 窗格。](media/logic-apps-enterprise-integration-certificates/private-certificate-details.png)
完成時,選取確定。
Azure 會在驗證您的選取項目之後,將憑證上傳。
![顯示 [憑證] 清單中具有私人憑證 Azure 入口網站 和整合帳戶的螢幕快照。](media/logic-apps-enterprise-integration-certificates/new-private-certificate.png)