Perfis de certificados definidos pelo utilizador para lojas de retalho
Este artigo fornece uma descrição geral dos perfis de certificado que estão disponíveis no Microsoft Dynamics 365 Commerce. Esta funcionalidade expande a caraterística Gerir segredos para canais de retalho ao adicionar suporte para certificados locais.
Embora o ponto de venda (POS) esteja em execução no modo offline, não pode aceder aos certificados que estão armazenados no Microsoft Azure Key Vault. Em vez disso, deve ser utilizado o certificado local. São suportadas as seguintes capacidades:
- Utilização de certificados locais em cenários de contingência do Key Vault
- Utilização de certificados locais sem o Key Vault (por exemplo, numa instalação no local)
- Atualização gradual de certificados, onde algumas lojas e terminais usam uma nova versão do certificado, mas outras lojas e terminais continuam a usar a versão anterior
A funcionalidade de perfis de certificado permite especificar um certificado predefinido e definir a ordem em que os certificados no mesmo perfil de certificado são pesquisados. Esta funcionalidade também fornece uma abordagem de configuração semelhante para certificados locais e certificados do Key Vault. Pode adicionar definições específicas da empresa para certificados, mas o identificador exclusivo interempresas para cada certificado pode ser utilizado nos canais do Commerce.
Cenários
A funcionalidade de perfis de certificado suporta os seguintes cenários nos canais do Commerce:
Utilização de um certificado local em cenários de contingência do Key Vault. Eis alguns exemplos destes cenários de contingência:
- O armazenamento do cofre de chaves não está acessível.
- Um certificado não é encontrado no armazenamento do cofre de chaves.
- O POS está a ser executado em modo offline.
Utilização de certificados locais, mas sem os armazenar no Key Vault (por exemplo, numa instalação no local).
Faça uma atualização gradual dos certificados, onde uma nova versão do certificado é usada apenas em lojas ou em terminais onde a nova versão já está disponível.
Utilize o mesmo certificado em várias empresas.
Configurar perfis de certificado
O procedimento seguinte explica como configurar perfis de certificado.
Configurar o Key Vault
Os seguintes passos têm de ser concluídos antes de poder utilizar um certificado digital armazenado no Key Vault.
- Criar uma conta de armazenamento do Key Vault. Recomendamos que implemente a conta de armazenamento na mesma região geográfica que a Commerce Scale Unit.
- Carregue o certificado digital para a conta de armazenamento do Key Vault.
- Autorize a aplicação AOS (Application Object Server) a ler segredos da conta de armazenamento do Key Vault.
Para mais informações sobre como trabalhar com o Key Vault, consulte Introdução ao Azure Key Vault.
Configurar parâmetros do sistema
Antes de configurar perfis de certificado nos canais do Commerce, tem de permitir que o Commerce utilize tanto os certificados que estão armazenados no Key Vault como os perfis de certificado.
Para configurar parâmetros do sistema no Commerce headquarters, siga estes passos.
- Na página Parâmetros do sistema, defina a opção Utilizar arquivo de certificados avançado como Sim.
- Na área de trabalho Gestão de caraterística, ative a caraterística Perfis de certificado definidos pelo utilizador para lojas de retalho.
Configurar parâmetros do Key Vault
Na página Parâmetros do Key Vault, tem de especificar os seguintes parâmetros para aceder ao armazenamento do Key Vault:
- Nome e Descrição — O nome e a descrição da conta de armazenamento do Key Vault.
- URL do Key Vault — O URL da conta de armazenamento do Key Vault.
- Cliente Key Vault — Um ID de cliente interativo da aplicação Microsoft Entra que está associada à conta de armazenamento do Key Vault para fins de autenticação. Este cliente deve ter acesso para ler segredos da conta de armazenamento.
- Chave secreta do Key Vault — Uma chave secreta que está associada à aplicação Microsoft Entra que é utilizada para autenticação na conta de armazenamento do Key Vault.
- Nome, Descrição e Referência secreta — O nome, a descrição e a referência secreta do certificado.
Para mais informações, consulte Configurar o cliente do Azure Key Vault.
Configurar um perfil de certificado
Para configurar um perfil de certificado no Commerce headquarters, siga estes passos.
Aceda a Administração do sistema > Configuração > Perfis de certificado.
No Painel de Ação, selecione Novo para criar um registo.
Introduza valores nos campos Perfil de certificado, Nome e Descrição.
Nota
O perfil de certificado é um identificador exclusivo de um certificado entre todas as empresas e componentes do Commerce.
No separador rápido Entidades legais, selecione Adicionar para adicionar uma linha.
Em Entidade legal, selecione a entidade legal (empresa) para a qual o perfil de certificado atual deve ser utilizado.
Se o perfil de certificado tiver de ser utilizado para várias entidades legais, repita os passos 4 e 5 para adicionar uma linha para cada entidade legal adicional.
Selecione Definições para abrir a página Definições do perfil de certificado, onde pode introduzir definições específicas da empresa para o perfil de certificado. Especifique que certificados podem ser utilizados quando o perfil de certificado atual é chamado nos canais do Commerce. Adicione quantos certificados forem necessários e defina prioridades para eles. Se não estiver disponível um certificado com uma prioridade superior, será utilizado o próximo certificado, com base na prioridade. Para mais informações, consulte a secção Fluxo de trabalho: Pesquisar certificados no Commerce Runtime.
Nota
O campo Prioridade é automaticamente definido. Um valor de 1 representa a prioridade mais alta. Quando uma nova linha é adicionada à página Definições do perfil de certificado, a respetiva prioridade é definida como um número a mais do que a prioridade da linha anterior. Para alterar a prioridade de uma linha específica, selecione a linha e, em seguida, selecione Mover para cima para aumentar a prioridade ou Mover para baixo para diminuir a prioridade.
Ao adicionar uma nova linha na página Definições do perfil de certificado, defina os seguintes campos:
Tipo de localização — Selecione a localização onde o certificado está armazenado. Este campo tem dois valores possíveis: Certificado local e Key Vault.
Certificado do Key Vault — Este campo é obrigatório se definir o campo Tipo de localização como Key Vault. Utilize-o para especificar um segredo de certificado do Key Vault.
Nome da loja — Este campo é opcional e só está disponível se definir o campo Tipo de localização como Certificado local. Use-o para especificar um nome de loja predefinido que deve ser utilizado para pesquisar certificados locais.
Localização da loja — Este campo é opcional e só está disponível se definir o campo Tipo de localização como Certificado local. Use-o para especificar uma localização de loja predefinida que deve ser utilizada para pesquisar certificados locais.
Nota
O nome da loja predefinido e a localização da loja são adicionados para simplificar o processo de pesquisar certificados locais no Commerce Runtime. X509StoreProvider tem uma lista de pastas onde os certificados são armazenados. Se o nome da loja predefinido e a localização da loja predefinida não forem especificados, X509StoreProvider tenta localizar um certificado nas outras pastas na respetiva lista. Para mais informações sobre os valores disponíveis para o nome e a localização da loja, consulte StoreName Enum e StoreLocation Enum.
Thumbprint — Este campo é obrigatório e só está disponível se definir o campo Tipo de localização como Certificado local. Utilize-o para especificar o thumbprint do certificado.
Importante
Tem de garantir que o utilizador que executa a aplicação que tem de utilizar o certificado local (por exemplo, a aplicação Store Commerce no modo offline) tem, pelo menos, acesso só de leitura à chave privada do certificado.
Comentários — Este campo é opcional e permite que os utilizadores introduzam notas.
Fluxo de trabalho: Pesquisar certificados no Commerce Runtime
Eis o fluxo de trabalho básico que é utilizado para pesquisar por um certificado quando um perfil de certificado é chamado no Commerce Runtime.
O sistema identifica se o perfil de certificado tem definições específicas da empresa para a entidade legal atual.
O sistema tenta localizar o certificado utilizando os valores na página Definições do perfil de certificado para a linha onde o campo Prioridade está definido como 1.
- Se o campo Tipo de localização estiver definido como Key Vault, o valor do campo Segredo do certificado do Key Vault é utilizado para pesquisar pelo certificado na página Parâmetros do Key Vault. O certificado é então pesquisado no armazenamento do cofre de chaves.
- Se o campo Tipo de localização estiver definido como Certificado local, X509StoreProvider primeiro pesquisa pelo certificado utilizando o nome da loja predefinido e a localização da loja, se estes parâmetros forem especificados. Em seguida, pesquisa em todas as outras pastas na respetiva lista de pastas.
Se o certificado não for encontrado, o processo é repetido para a linha onde o campo Prioridade está definido como 2 e assim por diante.
Nota
Se o perfil de certificado não tiver definições para a entidade legal atual ou se a pesquisa de certificado não for bem-sucedida para todas as linhas na página Definições do perfil de certificado, o certificado não é encontrado.
Colocar em cache os resultados de pesquisas de certificados
Os resultados de pesquisas de certificados são colocados em cache. O tempo de expiração predefinido para uma cache é de uma hora. No entanto, este tempo pode ser personalizado e pode ser definido para um valor máximo de 24 horas.
Atualização gradual
Se uma nova versão do certificado for introduzida, mas não puder ser atualizada em todas as lojas ao mesmo tempo, a funcionalidade de perfis de certificado permitirá que o certificado seja atualizado gradualmente.
- Encontre um perfil de certificado e a linha que deve ser atualizada e selecione Definições.
- Adicione uma linha e especifique as definições relacionadas com a versão mais recente do certificado.
- Aumentar o valor da Prioridade da linha nova. Utilize o botão Mover para cima para mover a linha para que fique acima da linha da versão anterior do mesmo certificado.
Nota
No Commerce Runtime, a nova versão do certificado será chamada primeiro. Se o certificado ainda não tiver sido atualizado numa loja específica ou num terminal específico, a versão anterior será chamada.