配置 AS4 连接

Version 24.3.9111


配置 AS4 连接


概述

知行之桥支持与交易伙伴建立 AS4 连接,仅需简单的两步。首先,在 AS4 个人设置处配置本地信息(ID,个人证书等等);然后,在工作流界面新增一个 AS4 端口,配置特定交易伙伴的 AS4 详情。

AS4 个人设置

个人设置 页面包含一个 AS4 个人设置界面,在此处配置本地 AS4 详情。两个主要的配置是:

  • AS4 ID(该值作为 AS4 的实体,向交易伙伴标识知行之桥)
  • 个人证书(用来解密收到的消息和对发出的消息进行签名)

在 AS4 个人设置处,配置以下信息(下面详细解释):

AS4 ID

AS4 ID 包含在出站的 AS4 消息中,并将用户标识为发送方;此外,入站的 AS4 消息必须寻址到该 ID,以便被应用程序接收。AS4 ID 有一些限制,例如不能包含空格字符且区分大小写。除此之外(以及交易伙伴以后施加的其它限制),只要双方同意,AS4 ID 可以为任何值。

某些 ID 必须通过 ID 类型限定,才能为它的值提供上下文。

个人证书

个人私钥证书可以用作解密和数字签名。个人证书包括一个与公钥配对的私钥;当交易伙伴使用 A 用户的公钥去加密 AS4 消息时,这确保了只有 A 用户才能解密该消息(使用配对的私钥)。

知行之桥支持 PKCS#12 格式(.pfx 或 .p12)的私钥,和 PEM 编码的公钥(.cer 文件)。

创建一个新的证书对

如果没有用作 AS4 的私钥/公钥证书对,知行之桥支持创建一个自签名的证书。自签名证书在 AS4 中是很常见的,但是有的交易伙伴可能要求从受信任的证书颁发机构(CA)购买一个证书。

创建新的证书对,单击 创建证书 按钮,打开证书创建向导。

在向导中,配置以下必填字段:

  • 通用名称 - 使用证书的服务器主机名称;和序列号一起标识证书
  • 组织 - 证书所属的公司或集团
  • 文件名称 - 证书的文件名(扩展名为 .pfx);对应的公钥证书使用相同的名称,扩展名为 .cer
  • 序列号 - 唯一的序列号,和通用名称一起标识证书
  • 密码 - 访问私钥的密码
  • 有效期 - 决定证书何时过期
  • 秘钥长度 - 是否创建一个 512,1024 或 2048 bit 的秘钥
  • 签名算法 - 对证书应用数字签名时使用的算法,可以验证其真伪

剩余的部分可以选择性地配置,为证书提供进一步的上下文和元数据。

一旦创建,新的证书文件将被放到应用程序的 “data” 目录中。如果证书位于 “data” 目录中,那么在所有有关证书设置的下拉菜单中都将会包含该证书。

应用程序 URLs

AS4 个人设置中的应用程序 URL 部分定义了可公开访问的接口,交易伙伴可以向这些接口发送 AS4 信息。设置 -> 高级设置中 基本 URL 部分应该设置为指向托管知行之桥的计算机/网络的基本 URL(例如:https://mydomain.com/Arc )。接收 URL 接口根据公网 IP/域名和应用程序的 web 服务器正在监听的端口生成。

AS4 端口

在配置完 AS4 个人设置后,导航到 工作流 界面并创建一个 AS4 端口的实例。每个 AS4 端口配置一位交易伙伴的 AS4 连接信息。

必须设置

必须从交易伙伴获取 AS4 配置详情,交易伙伴应提供信息至少且必须包括:

  • AS4 ID
  • 接收 AS4 信息的 URL/接口
  • 协议
  • 公共证书/加密秘钥
  • 服务
  • 服务操作
  • 角色

AS4 协议包含几条元数据,来传达有关如何接收和解释 AS4 消息的信息。主要是:协议服务服务操作发送方接收方。这些值是与 AS4 交易伙伴共同商定的,因此请确保和交易伙伴沟通清楚,确定这些部分的应填的值。

在 AS4 端口的交易伙伴信息交易伙伴证书配置这些值:

可选设置

交易伙伴可能还有进一步的要求:

  • 同步 vs 异步接收(如果没有要求,则假设为同步)
  • 针对 HTTPS 服务器的 TLS 服务器证书(在交易伙伴证书下配置)
  • 信息属性(AS4 有效负载中包含的其它元数据)
  • 特定的加密或签名算法 (在高级设置选项卡下的加密算法签名算法中配置)
  • 用于签名的单独的证书(除了加密证书)(在高级设置选项卡下的交易伙伴签名证书中配置)

测试 AS4 连接

一旦交易伙伴的 AS4 连接信息配置完成,端口支持生成虚拟文件来测试连接。导航到 AS4 端口的输入界面,展开“更多”下拉菜单,选择“创建测试文件”。

若启用了自动化界面中发送自动化,端口将自动处理这些测试文件。在发送文件给交易伙伴时发生的任何错误都会在输入页中显示,包括有错误上下文和详情的日志文件。日志调试信息日志请求选项可以在高级设置选项卡中启用,为以后进一步诊断连接问题提供保障。

成功处理的文件将会在输入选项卡显示一个绿色的 “Sent” 状态。成功地发送文件表明 AS4 配置正确。

给交易伙伴们提供 AS4 信息

和交易伙伴提供给用户 AS4 配置详情以配置 AS4 端口相同,用户也需要向交易伙伴提供 AS4 配置详情。

至少且必须向交易伙伴提供以下信息:

  • 用户的 AS4 ID
  • 用户的公共秘钥/加密证书
  • 用户的接收 URL

此外,AS4 消息中的元数据必须经过双方商定:协议服务服务操作发送方接收方

发送 AS4 消息

一旦 AS4 端口成功建立一个向外的 AS4 连接,文件就可以被安全可靠地发送至交易伙伴。

输入

在输入文件夹下的文件将会被端口发送。

如果启用了自动化界面自动发送(默认启用),端口就会自动地从这个文件夹下拉取文件并处理。除此之外,文件也可以在端口的输入界面中手动发送。在输入界面下,单击目标文件左侧的复选框,然后单击 发送 按钮。

使用输入界面 更多 下拉框中的“上传文件”选项,也可以用来上传文件至输入文件夹,

上传文件 工具不是添加文件到端口的输入文件夹下的唯一方法。也可以通过导航到输入界面顶部列出的文件路径,将文件手动放到输入文件夹下,如果该端口是连接的工作流的一部分,那么文件就可以自然地到达 AS4 端口。

作为工作流的一部分发送

在大多数配置的工作流中,文件在被 AS4 端口发送之前,要由其它的知行之桥端口处理。当在工作流中,另一个端口连接到 AS4 端口,文件可以自动地被发送到 AS4 端口的输入文件夹中。

接收回执

如果勾选了启用回执,AS4 端口会自动等待 MDN 回执。如果回执中包括否定的响应(例如:如果交易伙伴因为某些原因拒绝了交易),端口将不会报告发送成功,而是报告错误。

如果需要异步回执,端口将处于 “pending” 状态,直到交易伙伴返回回执。除非交换的文件非常大(例如500MB),否则推荐使用同步回执。

接收 AS4 消息

当 AS4 消息到达知行之桥 web 服务器,应用程序将尝试把消息路由到特定的 AS4 端口。知行之桥使用头部信息中的 AS4 ID 将入站的文件路由到对应该交易伙伴的 AS4 端口上。

如果应用程序找不到入站消息对应的 AS4 端口(根据 AS4 ID),在应用程序日志中会有错误日志且文件不能被成功接收。

输出

当接收的文件路由到特定的 AS4 端口(根据配置的 AS4 ID),文件将会到达端口的输出文件夹。

如果 AS4 端口与工作流中的其它端口连接,文件将不会继续处于输出文件夹中而是被传送到工作流中的下一个端口。

如果 AS4 端口没有与工作流的另一端口连接,AS4 端口接收到的文件将会留在输出文件夹中。在端口的输出界面可以看到这些文件,或者也可以导航到输出界面顶部显示的文件路径查看。

发送回执

如果入站的 AS4 消息需要 MDN 回执,AS4 端口会自动生成并发送 MDN。如果在接收 AS4 消息时发生了错误,该错误将会记录在知行之桥的日志中且包含在发送给交易伙伴的 MDN 回执中。

发送 MDN 回执所需的设置包含在入站的 AS4 消息中,无需在 AS4 端口中配置。