Hinzufügen von Zertifikaten zu Integrationskonten zum Sichern von Nachrichten in Workflows mit Azure Logic Apps
Gilt für: Azure Logic Apps (Verbrauch + Standard)
Wenn Sie vertrauliche Nachrichten in einem B2B-Workflow (Business-to-Business) einer Logik-App austauschen möchten, können Sie die Sicherheit dieser Kommunikation durch die Verwendung von Zertifikaten erhöhen. Ein Zertifikat ist ein digitales Dokument, das die Kommunikation auf folgende Weise schützt:
Überprüfen der Identitäten der Teilnehmer an der elektronischen Kommunikation
Verschlüsseln des Nachrichteninhalts
Digitales Signieren der Nachrichten
Sie können in Ihren Workflows die folgenden Zertifikattypen verwenden:
Öffentliche Zertifikate, die Sie über eine öffentliche Zertifizierungsstelle (ZS) im Internet erwerben müssen. Für diese Zertifikate sind keine Schlüssel erforderlich.
Private Zertifikate oder selbstsignierte Zertifikate, die Sie selbst erstellen und ausstellen. Diese Zertifikate erfordern jedoch private Schlüssel in einem Azure-Schlüsseltresor.
Falls Sie noch nicht mit Logik-Apps vertraut sind, finden Sie weitere Informationen unter Was ist Azure Logic Apps?. Weitere Informationen zur B2B-Unternehmensintegration finden Sie in B2B-Unternehmensintegrations-Workflows mit Azure Logic Apps und Enterprise Integration Pack.
Voraussetzungen
Ein Azure-Konto und ein Azure-Abonnement. Sollten Sie noch kein Abonnement besitzen, können Sie sich für ein kostenloses Azure-Konto registrieren.
Eine Integrationskontoressource, in der Sie Artefakte wie Handelspartner, Vereinbarungen, Zertifikate usw. für die Verwendung in Ihrer Unternehmensintegration und in B2B-Workflows definieren und speichern. Diese Ressource muss die folgenden Anforderungen erfüllen:
Sie muss demselben Azure-Abonnement zugeordnet sein wie Ihre Logik-App-Ressource.
Sie muss sich am selben Standort oder in derselben Azure-Region wie Ihre Logik-App-Ressource befinden.
Wenn Sie über eine Logik-App-Ressource im Tarif „Verbrauch“ verfügen, müssen Sie Ihr Integrationskonto mit Ihrer Logik-App-Ressource verknüpfen, um Ihre Artefakte in Ihrem Workflow verwenden zu können.
Zum Erstellen und Hinzufügen von Zertifikaten für die Verwendung in Logik-App (Verbrauch) -Workflows benötigen Sie noch keine Logik-App-Ressource. Wenn Sie jedoch bereit sind, diese Zertifikate in Ihren Workflows zu verwenden, benötigt Ihre Logik-App-Ressource ein verknüpftes Integrationskonto, das diese Zertifikate speichert.
Wenn Sie über eine Logik-App-Ressource im Tarif „Standard“ verfügen, muss Ihr Integrationskonto nicht mit Ihrer Logik-App-Ressource verknüpft werden. Es ist aber trotzdem erforderlich, um andere Artefakte wie Partner, Vereinbarungen und Zertifikate zu speichern und die Vorgänge AS2, X12 und EDIFACT verwenden zu können. Ihr Integrationskonto muss darüber hinaus weitere Anforderungen erfüllen. So muss es z. B. dasselbe Azure-Abonnement und denselben Standort wie Ihre Logik-App-Ressource verwenden.
Für private Zertifikate müssen die folgenden Voraussetzungen erfüllt sein:
Sie müssen einen privaten Schlüssel in Azure Key Vault hinzufügen und benötigen dessen Schlüsselnamen. Weitere Informationen finden Sie unter Hinzufügen Ihres privaten Schlüssels in Azure Key Vault.
Autorisieren Sie den Azure Logic Apps-Dienst für das Ausführen von Vorgängen für Ihren Schlüsseltresor. Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure, um den Zugriff auf Ihren Schlüsseltresor zu verwalten und Zugriff auf den Azure Logic Apps-Dienstprinzipal zu gewähren. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf Key Vault-Schlüssel, -Zertifikate und -Geheimnisse mit der rollenbasierten Zugriffssteuerung in Azure.
Hinweis
Wenn Sie Zugriffsrichtlinien mit Ihrem Schlüsseltresor verwenden, empfiehlt sich ggf. die Migration zum Berechtigungsmodell „Rollenbasierte Zugriffssteuerung in Azure“.
Wenn Sie die Fehlermeldung „Bitte autorisieren Sie Logik-Apps, um Vorgänge im Key Vault auszuführen, indem Sie Zugriff auf den Logik-Apps-Dienstprinzipal ‚7cd684f4-8a78-49b0-91ec-6a35d38739ba‘ für ‚list‘‚ get‘, ‚decrypt‘ und ‚sign‘-Vorgänge gewähren.“, Ihr Zertifikat hat möglicherweise nicht die Eigenschaft Schlüsselverwendung auf Datenverschlüsselung festgelegt. Falls nicht, müssen Sie das Zertifikat möglicherweise neu erstellen, wobei die Eigenschaft Schlüsselverwendung auf Datenverschlüsselung festgelegt ist. Um Ihr Zertifikat zu überprüfen, öffnen Sie das Zertifikat, wählen Sie die Registerkarte Details aus, und überprüfen Sie die Eigenschaft Schlüsselverwendung.
Fügen Sie Ihrem Schlüsseltresor das entsprechende öffentliche Zertifikat hinzu. Dieses Zertifikat wird in der Vereinbarung in den Sende- und Empfangseinstellungen für das Signieren und Verschlüsseln von Nachrichten angezeigt. Sehen Sie sich z. B. die Referenz für AS2-Nachrichteneinstellungen in Azure Logic Apps an.
Mindestens zwei Parteien (Handelspartner) und eine Vereinbarung zwischen diesen Partnern in Ihrem Integrationskonto. Eine Vereinbarung erfordert sowohl einen Host- als auch einen Gastpartner. Außerdem erfordert eine Vereinbarung, dass beide Partner denselben oder einen kompatiblen Qualifizierer für die Geschäftsidentität verwenden, der für eine AS2-, X12-, EDIFACT- oder RosettaNet-Vereinbarung geeignet ist.
Optional die Logik-App-Ressource und den Workflow, in der bzw. dem Sie das Zertifikat verwenden möchten. Für den Workflow ist ein Trigger erforderlich, der den Workflow Ihrer Logik-App startet. Wenn Sie bisher noch keinen Logik-App-Workflow erstellt haben, sehen Sie sich den Schnellstart: Erstellen eines Beispiels für den Verbrauchs-Logik-App-Workflow an.
Verwenden eines öffentlichen Zertifikats
Um ein öffentliches Zertifikat in Ihrem Workflow zu verwenden, müssen Sie Ihrem Integrationskonto zunächst das Zertifikat hinzufügen.
Geben Sie im Azure-Portal in das Suchfeld
integration accounts
ein, und wählen Sie Integrationskonten aus.Wählen Sie unter Integrationskonten das Integrationskonto aus, dem Sie das Zertifikat hinzufügen möchten.
Wählen Sie im Menü des Integrationskontos unter Einstellungen den Eintrag Zertifikate aus.
Wählen Sie im Bereich Zertifikate die Option Hinzufügen aus.
Geben Sie im Bereich Zertifikat hinzufügen die folgenden Informationen zu dem Zertifikat an:
Eigenschaft Erforderlich Wert Beschreibung Name Ja <certificate-name> (Zertifikatname) Der Name Ihres Zertifikats (in diesem Beispiel publicCert
)Zertifikattyp Ja Public Der Typ Ihres Zertifikats Certificate Ja <certificate-file-name> (Name der Zertifikatdatei) Wählen Sie neben dem Feld Zertifikat das Ordnersymbol aus, um die Zertifikatsdatei, die Sie hinzufügen möchten, zu suchen und auszuwählen. Wählen Sie das Zertifikat aus, das Sie verwenden möchten. Wenn Sie fertig sind, wählen Sie OK.
Azure lädt das Zertifikat nach dem Überprüfen Ihrer Auswahl hoch.
Verwenden eines privaten Zertifikats
Um ein privates Zertifikat in Ihrem Workflow zu verwenden, müssen Sie zunächst die Voraussetzungen für private Schlüssel erfüllen und Ihrem Integrationskonto ein öffentliches Zertifikat hinzufügen.
Geben Sie im Azure-Portal in das Suchfeld
integration accounts
ein, und wählen Sie Integrationskonten aus.Wählen Sie unter Integrationskonten das Integrationskonto aus, dem Sie das Zertifikat hinzufügen möchten.
Wählen Sie im Menü des Integrationskontos unter Einstellungen den Eintrag Zertifikate aus.
Wählen Sie im Bereich Zertifikate die Option Hinzufügen aus.
Geben Sie im Bereich Zertifikat hinzufügen die folgenden Informationen zu dem Zertifikat an:
Eigenschaft Erforderlich Wert Beschreibung Name Ja <certificate-name> (Zertifikatname) Der Name Ihres Zertifikats (in diesem Beispiel privateCert
)Zertifikattyp Ja Privat Der Typ Ihres Zertifikats Certificate Ja <certificate-file-name> (Name der Zertifikatdatei) Wählen Sie neben dem Feld Zertifikat das Ordnersymbol aus, um die Zertifikatsdatei, die Sie hinzufügen möchten, zu suchen und auszuwählen. Wählen Sie das öffentliche Zertifikat aus, das dem privaten Schlüssel entspricht, der in Ihrem Schlüsseltresor gespeichert ist. Ressourcengruppe Ja <integration-account-resource-group> (Ressourcengruppe des Integrationskontos) Die Ressourcengruppe Ihres Integrationskontos (in diesem Beispiel Integration-Account-RG
)Schlüsseltresor Ja <key-vault-name> (Name des Schlüsseltresors) Der Name Ihres Schlüsseltresors Schlüsselname Ja <key-name> Der Name Ihres Schlüssels Wenn Sie fertig sind, wählen Sie OK.
Azure lädt das Zertifikat nach dem Überprüfen Ihrer Auswahl hoch.