共用方式為

零售商店的使用者定義憑證設定檔

  • 發行項

本文概述了 Microsoft Dynamics 365 Commerce 中可用的憑證設定檔。 此功能透過新增對本機憑證的支援來擴充管理零售通路的秘密功能。

當銷售點 (POS) 在離線模式下運作時,它無法存取儲存在 Microsoft Azure Key Vault 中的憑證。 應改為使用本機憑證。 支援以下功能:

  • 在 Key Vault 回退案例中使用本機憑證
  • 使用不含 Key Vault 的本機憑證 (例如在內部部署安裝中)
  • 憑證的逐步更新,其中部分商店和終端機使用新版的憑證,但其他商店和終端機繼續使用先前版本

憑證設定檔功能可讓您指定預設憑證,並設定在同一憑證設定檔中搜尋憑證的順序。 此功能還為本機憑證和 Key Vault 憑證提供類似的設定方法。 您可以為憑證新增特定於公司的設定,但每個憑證的唯一跨公司識別碼可以在 Commerce 管道中使用。

案例

憑證設定檔功能支援 Commerce 管道中的以下案例:

  • 在 Key Vault 回退案例中使用本機憑證。 這些回退案例的若干範例如下:

    • 無法存取金鑰保存庫儲存體。
    • 在金鑰保存庫儲存體中找不到憑證。
    • POS 正在離線模式下運作。

  • 使用本機憑證,但不將它們儲存在 Key Vault (例如,在內部部署安裝中)。

  • 逐步對憑證進行更新,新版本的憑證僅在已提供新版本的商店或終端機上使用。

  • 在多家公司使用同一個憑證。

設定憑證設定檔

以下程序說明如何設定憑證設定檔。

設定 Key Vault

必須先完成以下步驟,然後才能使用儲存在 Key Vault 中的數位憑證。

  1. 建立 Key Vault 儲存體帳戶。 我們建議您將儲存體帳戶部署在與 Commerce Scale Unit 相同的地理區域中。
  2. 上傳數位憑證到 Key Vault 儲存體帳戶。
  3. 授權應用程式物件伺服器 (AOS) 應用程式從 Key Vault 儲存體帳戶讀取秘密。

有關如何使用 Key Vault 的詳細資訊,請參閱開始使用 Azure Key Vault

設定系統參數

在 Commerce 管道中設定憑證設定檔前,必須先允許 Commerce 使用儲存在 Key Vault 中的憑證和憑證設定檔。

若要在您的 Commerce headquarters 中設定系統參數,請按照以下步驟操作。

  1. 系統參數頁面上,將使用進階憑證存放區選項設為
  2. 功能管理工作區中,開啟零售商店的使用者定義憑證設定檔功能。

設定 Key Vault 參數

Key Vault 參數頁面上,您必須指定以下參數才能存取 Key Vault 儲存體:

  • 名稱描述 – Key Vault 儲存體帳戶的名稱和描述。
  • Key Vault URL – Key Vault 儲存體帳戶的 URL。
  • Key Vault 用戶端 – 一個與用於驗證的 Key Vault 儲存體帳戶相關的 Microsoft Entra 應用程式互動式用戶端識別碼。 該客戶端應有權從儲存體帳戶讀取秘密。
  • Key Vault 祕密金鑰 – 一個與用於 Key Vault 儲存體帳戶中驗證相關的 Microsoft Entra 應用程式的祕密金鑰。
  • 名稱描述,和秘密參考 – 憑證的名稱、描述和秘密參考。

如需詳細資訊,請參閱設定 Azure Key Vault 用戶端

設定憑證設定檔

若要在 Commerce headquarters 中設定憑證設檔,請依照下列步驟操作。

  1. 移至系統管理>設定>憑證設定檔

  2. 在動作窗格上,選擇新增以建立紀錄。

  3. 憑證設定檔名稱,和描述欄位中輸入值。

    附註

    憑證設定檔是所有公司和 Commerce 元件中憑證的唯一識別碼。

  4. 法律實體 FastTab 上選取新增以新增一個明細行。

  5. 法律實體底下,選取應使用目前憑證設定檔的法律實體 (公司)。

    如果憑證設定檔應用於多個法律實體,請重複步驟 4 和 5,為每個其他法律實體新增一個明細行。

  6. 選取設定來開啟憑證設定檔設定頁面,您可以在其中輸入公司特定的憑證設定檔設定。 指定在 Commerce 管道中調用目前憑證設定檔時,可以使用哪些憑證。 根據需要新增任意數量的憑證,並為其設定優先順序。 如果具有較高優先順序的憑證不可用,則將根據優先順序使用下一個憑證。 如需詳細資訊,請參閱工作流程:在 Commerce runtime 中搜尋憑證區段。

    附註

    優先順序欄位會自動設定。 值 1 代表最高優先順序。 當一個新明細行在憑證設定檔設定頁面上新增時,其優先順序將設定為比前一行的優先順序大 1 的數字。 若要變更特定明細行的優先順序,請選擇該行,然後選取上移以提高其優先順序或下移來降低優先。

  7. 當您在憑證設定檔設定頁面新增明細行時,請設定下列欄位:

    • 位置類型 – 選取儲存憑證的位置。 此欄位有兩個可能的值:本機憑證Key Vault

    • Key Vault 憑證 – 如果您將位置類型 f欄位設定為 Key Vault,則此欄位為必填。 使用它來指定 Key Vault 憑證秘密。

    • 商店名稱 – 此欄位是選填的,僅當您將位置類型欄位設定為本機憑證時才可用。 使用它來指定應用於搜尋本機憑證的預設儲存名稱。

    • 商店位置 – 此欄位是選填的,僅當您將位置類型欄位設定為本機憑證時才可用。 使用它來指定應用於搜尋本機憑證的預設儲存位置。

      附註

      新增預設商店名稱和商店位置是為了簡化在 Commerce runtime 中搜尋本機憑證的過程。 X509StoreProvider 有一個儲存憑證的資料夾清單。 如果未指定預設儲存名稱和預設儲存位置,則 X509StoreProvider 會嘗試在其清單中的其他資料夾中尋找憑證。 有關商店名稱和商店位置可用值的詳細資訊,請參閱 StoreName EnumStoreLocation Enum

    • 指紋 – 此欄位是必填,僅當您將位置類型欄位設定為本機憑證時才可用。 使用它來指定憑證指紋。

      重要

      您必須確保執行必須使用本機憑證的應用程式 (例如離線模式下的 Store Commerce 應用程式) 的使用者,對於憑證的私密金鑰至少具有唯讀存取權。

    • 註釋 – 此欄位為選填,允許使用者輸入註釋。

工作流程:在 Commerce runtime 中搜尋憑證

以下是憑證設定檔在 Commerce runtime 中被調用時,用來搜尋憑證的基本工作流程。

  1. 系統會辨識憑證設定檔是否具有目前法律實體的公司特定設定。

  2. 系統嘗試使用憑證設定檔設定頁面上明細行的的值,其中優先順序欄位設定為 1 的來找出憑證。

    • 如果位置類型欄位設定為 Key Vault,則 Key Vault 憑證秘密欄位的值會用來在 Key Vault 參數 頁面上搜尋憑證。 然後在金鑰保存庫儲存體中搜尋該憑證。
    • 如果位置類型欄位設定為本機憑證,則 X509StoreProvider 會使用預設儲存名稱和儲存位置 (如果指定了這些參數) 首先搜尋憑證。 然後,它會搜尋其資料夾清單上的所有其他資料夾。

  3. 如果未找到憑證,則會針對優先順序欄位設定為 2 的明細行重複該過程,等等。

附註

如果憑證設定檔對於目前法律實體沒有設定,或憑證設定檔設定頁面上所有明細行的憑證搜尋均不成功,則表示未找到憑證。

快取憑證搜尋結果

快取憑證搜尋結果。 快取的預設到期時間為一小時。 不過,這個時間可以自訂,最大值可以設定為 24 小時。

逐步更新

如果引入了新版本的憑證,但無法同時在所有商店中更新,則憑證設定檔功能可以啟用憑證逐步更新。

  1. 找到憑證設定檔和應更新的明細行,然後選取設定
  2. 新增一明細行,並指定與最新版本憑證相關的設定。
  3. 提高新明細行的優先順序值。 使用上移按鈕來移動該行,使其位於相同憑證先前版本的行上方。

附註

在 Commerce runtime 中,將首先調用新版本的憑證。 如果憑證尚未在特定商店或特定終端機上更新,則會調用先前的版本。