Freigeben über

Hinzufügen von Zertifikaten zum Sichern von B2B-Nachrichten in Workflows für Azure Logic Apps

Gilt für: Azure Logic Apps (Verbrauch + Standard)

Business-to-Business(B2B)-Integrationen tauschen häufig Nachrichten mit vertraulichen Daten wie Bestellungen, Rechnungen und Geschäftspartnervereinbarungen aus. Ohne ordnungsgemäße Verschlüsselung und Signatur sind diese Nachrichten anfällig für Manipulationen und Identitätswechsel. Um dieses Risiko zu beheben, können Sie Sicherheitszertifikate für B2B-Aktionen hinzufügen, die in Ihren Workflows verwendet werden sollen. Zertifikate sind digitale Dokumente, die die folgenden Aufgaben ausführen:

  • Überprüfen Sie die Partneridentitäten im Nachrichtenaustausch.
  • Verschlüsseln oder Entschlüsseln von Nachrichten, damit nur der beabsichtigte Partner sie lesen kann.
  • Digitales Signieren von Nachrichten, damit der Empfänger den Absender überprüfen kann.

In diesem Handbuch wird gezeigt, wie Sie Zertifikate hinzufügen und Vereinbarungen einrichten, um die Zertifikate für die zu verwendenden B2B-Aktionen anzugeben. Bei AS2-Nachrichten steuern die Vereinbarungseinstellungen die Zertifikate, die AS2-Aktionen automatisch verwenden. Ihre Workflowaktionen müssen nichts anderes tun, um Zertifikate zu verwenden.

Hinweis

Die AS2-Pipeline verarbeitet Sicherheit, Zertifikate und Nichtabstreitbarkeit, und das AS2-Protokoll erfordert Verschlüsselung und digitale Signaturen. Für AS2-Nachrichten richten Sie Zertifikate auf Vereinbarungsebene ein. AS2-Vereinbarungen verfügen über Sende- und Empfangseinstellungen , die Zertifikateinstellungen für diesen Zweck verfügbar machen. Weitere Informationen finden Sie unter Referenz zu AS2-Nachrichteneinstellungen in Azure Logic Apps.

Andere Pipelines und Protokolle wie X12, EDIFACT und RosettaNet behandeln sicherheit auf anderen Ebenen, z. B. auf Transport- oder Adapterebene. Diese Vereinbarungen verfügen über Sendeeinstellungen und Empfangseinstellungen , die Einstellungen verfügbar machen, um das Nachrichtenformat, die Struktur und die Verarbeitungsregeln zu definieren. EDI-Pipelines wie X12 und EDIFACT verarbeiten Analyse, Validierung und Bestätigungen. Weitere Informationen findest du unter:

Voraussetzungen

  • Ein Azure Konto und Abonnement. Get a free Azure account.

  • Eine Integrationskontoressource.

    Sie verwenden diese Ressource zum Definieren und Speichern von B2B-Artefakten für die Unternehmensintegration und B2B-Workflows.

    • Sowohl Ihre Integrationskonto- als auch die Logik-App-Ressource müssen in demselben Azure Abonnement und Azure Region vorhanden sein.

    • Ihr Integrationskonto muss über die folgenden B2B-Artefakte verfügen:

      • Zwei oder mehr Handelspartner, in der Regel Ihre Organisation und mindestens eine andere Organisation.

      • Eine Vereinbarung zwischen diesen Partnern.

        • Jede Vereinbarung erfordert sowohl einen Host- als auch einen Gastpartner. In der Regel ist Ihre Organisation der Hostpartner, während eine andere Organisation der Gastpartner ist.

        • Beide Partner müssen denselben oder kompatiblen Geschäftsidentitätsqualifizierer verwenden, der für den Vertragstyp geeignet ist, z. B. AS2.

  • Die Zertifikate Ihrer Gastpartnerorganisationen und Ihrer Hostpartnerorganisation. Sie können die folgenden Zertifikate verwenden:

    Typ Beschreibung
    Privates oder selbstsigniertes Zertifikat Eine Zertifikatdatei (PFX), die Sie erstellen, um die folgenden Aufgaben für Ihre Organisation zu verarbeiten:

    - Entschlüsseln Sie die Nachrichten, die Ihr Partner Ihnen sendet.
    – Signieren Sie die Nachrichten, die Sie an Ihren Partner senden, digital.

    Dieses Zertifikat erfordert, dass Sie einen entsprechenden privaten Schlüssel zu einem Schlüsseltresor in Azure zum Entschlüsseln und Signieren Ihrer Nachrichten hinzufügen. Für weitere Informationen lesen Sie bitte weiter, um die relevanten Voraussetzungen zu erfahren.
    Öffentliches Zertifikat Eine Zertifikatdatei (.cer), um die folgenden Aufgaben für Ihren Gastpartner zu verarbeiten:

    – Verschlüsseln Sie die Nachrichten, die Sie an Ihren Partner senden.
    – Überprüfen Sie die digitale Signatur auf den Nachrichten, die Ihr Partner an Sie sendet.

    Sie können diese Zertifikate von einer öffentlichen Internetzertifizierungsstelle (Ca) erwerben. Partnerzertifikate erfordern keine privaten Schlüssel, sodass Sie zu diesem Zweck nur öffentliche Zertifikate verwenden können.

    Führen Sie für private Zertifikate die folgenden Anforderungen aus:

    1. Erstellen Sie in Azure Key Vault eine Schlüsseltresor-Ressource, fügen Sie einen privaten Schlüssel hinzu, und rufen Sie den Schlüsselnamen ab.

    2. Autorisieren Sie Azure Logic Apps zum Ausführen von Operationen im Azure Key Vault.

      Um Zugriff auf den Azure Logic Apps Dienst-Principal zu gewähren, verwenden Sie die Azure Role-Based Access Control (RBAC), um den Zugriff auf Ihren Schlüsseltresor zu verwalten. Weitere Informationen finden Sie unter Gewähren Sie Zugriff auf Key Vault-Schlüssel, Zertifikate und Secrets mit der rollenbasierten Zugriffssteuerung von Azure.

      Hinweis

      Wenn Sie Zugriffsrichtlinien mit Ihrem Schlüsseltresor verwenden, sollten Sie eine Migration auf das Azure Rollenbasierten Zugriffssteuerungsberechtigungsmodell in Betracht ziehen.

      Wenn Sie die Fehlermeldung „Bitte autorisieren Sie Logik-Apps, um Vorgänge im Key Vault auszuführen, indem Sie Zugriff auf den Logik-Apps-Dienstprinzipal ‚7cd684f4-8a78-49b0-91ec-6a35d38739ba‘ für ‚list‘‚ get‘, ‚decrypt‘ und ‚sign‘-Vorgänge gewähren.“, Ihr Zertifikat hat möglicherweise nicht die Eigenschaft Schlüsselverwendung auf Datenverschlüsselung festgelegt. Andernfalls müssen Sie das Zertifikat möglicherweise neu erstellen und die Key Usage-Eigenschaft auf "Data Encipherment" festlegen.

      Um Ihr Zertifikat zu überprüfen, öffnen Sie das Zertifikat, wählen Sie die Registerkarte Details aus, und überprüfen Sie die Eigenschaft Schlüsselverwendung.

    3. Fügen Sie in Ihrem Integrationskonto ein öffentliches Zertifikat hinzu, das dem privaten Schlüssel im Schlüsseltresor zugeordnet ist.

  • Die Logik-App-Ressource und der Workflow, in denen Sie das Zertifikat verwenden möchten.

    • Der Workflow kann mit jedem Trigger beginnen, der für Ihr Szenario am besten geeignet ist.

    • Verknüpfen Sie Ihr Integrationskonto mit Ihrer Logik-App-Ressource.

      Dieser Link ist für Verbrauchslogik-Apps erforderlich, aber optional für Standardlogik-Apps. Beim Verknüpfen können Sie jedoch dasselbe Integrationskonto und B2B-Artefakte über mehrere Verbrauchs- und Standardlogik-Apps hinweg freigeben.

    Weitere Informationen findest du unter:

Hinzufügen Ihres privaten Zertifikats

Führen Sie die folgenden Schritte aus, um das Zertifikat Ihrer Organisation zu Ihrem Integrationskonto hinzuzufügen:

  1. Vergewissern Sie sich, dass Sie die Voraussetzungen für private Schlüssel erfüllt haben, einschließlich des Hinzufügens des entsprechenden öffentlichen Zertifikats zu Ihrem Schlüsseltresor.

  2. Geben Sie im Suchfeld Azure portalintegration accounts ein, und wählen Sie dann Integration accounts aus.

  3. Wählen Sie auf der Seite "Integrationskonten " das Integrationskonto aus, auf dem Sie Ihr Zertifikat hinzufügen möchten.

  4. Wählen Sie auf der Randleiste des Integrationskontos unter "Einstellungen" die Option "Zertifikate" aus.

  5. Wählen Sie auf der Symbolleiste " Zertifikate " die Option "Hinzufügen" aus.

  6. Geben Sie im Bereich "Zertifikat hinzufügen " die folgenden Informationen an:

    Eigenschaft Erforderlich Wert Beschreibung
    Name Ja < certificate-name> (Zertifikatname) Der Zertifikatname.
    Zertifikattyp Ja Privat Der Zertifikattyp.
    Certificate Ja < certificate-file-name> (Name der Zertifikatdatei) 1. Wählen Sie neben dem Feld "Zertifikat " das Ordnersymbol aus.
    2. Suchen Und wählen Sie die Zertifikatdatei (PFX) aus, die dem privaten Schlüssel im Schlüsseltresor zugeordnet ist, und wählen Sie dann "Öffnen" aus.
    Ressourcengruppe Ja < integration-account-resource-group> (Ressourcengruppe des Integrationskontos) Die Ressourcengruppe des Integrationskontos.
    Key Vault Ja < key-vault-name> Der Name des Schlüsseltresors.
    Schlüsselname Ja < Schlüsselname> Der Name des privaten Schlüssels.

    Das folgende Beispiel zeigt Beispiel für private Zertifikatinformationen:

    Screenshot zeigt das Azure Portal, das Integrationskonto, die Symbolleiste

  7. Wenn Sie fertig sind, wählen Sie "OK" aus.

    Nachdem Azure Ihre Auswahl überprüft hat, wird Ihr Zertifikat auf der Seite Certificates angezeigt, z. B.:

    Screenshot der Seite

Hinzufügen eines öffentlichen Partnerzertifikats

Führen Sie die folgenden Schritte aus, um das öffentliche Zertifikat Ihres Partners zu Ihrem Integrationskonto hinzuzufügen:

  1. Geben Sie im Suchfeld Azure portalintegration accounts ein, und wählen Sie dann Integration accounts aus.

  2. Wählen Sie auf der Seite "Integrationskonten " das Integrationskonto aus, auf dem Sie Ihr Zertifikat hinzufügen möchten.

  3. Wählen Sie auf der Randleiste des Integrationskontos unter "Einstellungen" die Option "Zertifikate" aus.

  4. Wählen Sie auf der Symbolleiste " Zertifikate " die Option "Hinzufügen" aus.

  5. Geben Sie im Bereich "Zertifikat hinzufügen " die folgenden Informationen an:

    Eigenschaft Erforderlich Wert Beschreibung
    Name Ja < certificate-name> (Zertifikatname) Der Zertifikatname.
    Zertifikattyp Ja Public Der Zertifikattyp.
    Certificate Ja < certificate-file-name> (Name der Zertifikatdatei) 1. Wählen Sie neben dem Feld "Zertifikat " das Ordnersymbol aus.
    2. Suchen Und wählen Sie die Zertifikatdatei Ihres Partners (.cer) aus, und wählen Sie dann "Öffnen" aus.

    Das folgende Beispiel zeigt Beispielinformationen zu öffentlichen Zertifikaten:

    Screenshot zeigt das Azure Portal, das Integrationskonto, die Seite

  6. Wenn Sie fertig sind, wählen Sie "OK" aus.

    Nachdem Azure Ihre Auswahl überprüft hat, wird Ihr Zertifikat auf der Seite Certificates angezeigt, z. B.:

    Screenshot des Integrationskontos und der Seite

Zertifikate für AS2-Vereinbarungen einrichten

Nachdem Sie die gewünschten Zertifikate hinzugefügt haben, müssen Sie bei AS2-Vereinbarungen manuell die Zertifikate angeben, die in den Empfangseinstellungen des Vertrags und zum Senden von Einstellungen zum Signieren und Verschlüsseln von Nachrichten verwendet werden sollen.

Führen Sie die folgenden Schritte aus, um diese Aufgabe auszuführen:

  1. Öffnen Sie im portal Azure Ihr Integrationskonto.

  2. Wählen Sie auf der Randleiste des Integrationskontos unter "Einstellungen" die Option "Vereinbarungen" aus.

  3. Wählen Sie auf der Seite "Vereinbarungen" den AS2-Vertrag aus. Wählen Sie auf der Symbolleiste "Vereinbarungen " die Option "Bearbeiten" aus.

  4. Wählen Sie im Bereich "Bearbeiten " die folgenden Optionen aus, und geben Sie die erforderlichen Informationen basierend auf der Funktion an, die Sie aktivieren möchten:

    Einstellungsfenster Beschreibung
    Empfangseinstellungen - Nachricht sollte signiert sein: Wählen Sie diese Option aus, und wählen Sie dann das Zertifikat aus, um die Signatur Ihres Partners bei empfangenen Nachrichten zu überprüfen.

    - Nachricht sollte verschlüsselt werden: Wählen Sie diese Option aus, und wählen Sie dann das Zertifikat zum Entschlüsseln von Nachrichten von Ihrem Partner aus.
    Senden von Einstellungen - Aktivieren Sie die Nachrichtensignierung: Wählen Sie diese Option aus, und wählen Sie dann den Algorithmus und das Zertifikat aus, um die von Ihnen gesendeten Nachrichten zu signieren.

    - Aktivieren Sie die Nachrichtenverschlüsselung: Wählen Sie diese Option aus, und wählen Sie dann den Algorithmus und das Zertifikat zum Verschlüsseln von von Ihnen gesendeten Nachrichten aus.

    Weitere Informationen finden Sie unter Referenz zu AS2-Nachrichteneinstellungen in Azure Logic Apps.

Verwandte Inhalte

  • Last updated on