在EDI系统中与交易伙伴实现数据传输时为保证数据的安全性,需要使用一对数字证书对数据进行签名和加密,但是在申请或购买证书时会给证书一个有限期,证书到期时,您需要重新申请或购买新的证书进行更新,那么在知行之桥中如何配置和更新证书呢?本文将介绍如何在知行之桥系统中配置和更新自己的证书,以及交易伙伴的证书。
首先我们先来了解下,在知行之桥系统数据传输过程中证书是如何进行数据的签名和加密的:
如上图,当数据发送方向接收方发送数据时,需要对数据进行签名、加密,当接收方收到数据后需要对数据解密、验证签名才可以获取数据,这时就需要使用上面提到的数字证书对了。
这个证书对是由两个证书文件组成的,一个是私钥证书(一般是.pfx文件),一个是公钥证书(一般是.cer/.crt/.p7b文件),在与交易伙伴进行数据传输前,双方会交换彼此的公钥证书,并在彼此的EDI系统中配置自己的私钥证书和交易伙伴的公钥证书,在数据传输过程中数据发送方会使用自己的私钥证书对数据进行签名、使用交易伙伴的公钥证书对数据进行加密,当接收方收到数据后使用自己的私钥证书对数据进行解密、使用交易伙伴的公钥证书对数据进行签名验证。当然,必须双方都使用正确的证书才可以完成数据的签名与加密,以保证数据的安全传输。更多相关信息可参考:数字证书如何保障EDI电子数据交换的安全性
到这里,您或许会有疑问:我该如何获取这个数字证书对呢?
您可以获取免费的自签名证书,也可以申请购买CA机构认证的证书:
关于是使用自签名证书还是CA机构认证的证书,可参考:从数字证书的安全性出发您应该使用自签名证书还是证书机构颁发的证书? 如果您决定使用自签名证书,可以直接在知行之桥上生成创建:如何用知行之桥EDI系统生成自签名证书
以上基本信息都了解后,接下来我们来了解下,在知行之桥上是如何配置和更新证书的:
配置自己的私钥证书:
一般情况下,在知行之桥的“个人设置”页面配置自己的私钥证书和证书密码。
比如您使用的是AS2传输协议,在“个人设置”–“AS2”页面中的“个人证书”上传配置自己的私钥证书即可,如下图:
如果您使用的是其他传输协议比如:OFTP、AS4、RosettaNet等,在对应的页面上传配置证书即可。
需要注意的是,如果您对接多个交易伙伴使用的是同一种传输协议,并且针对每个交易伙伴都申请了证书对,这时,您需要在创建的对应的MFT端口的高级设置页面配置自己的私钥证书,比如您对接交易伙伴B,使用的是AS2协议,您可以在为交易伙伴B创建的AS2端口的高级设置页面上传配置为其申请的私钥证书:
配置交易伙伴的公钥证书:
在知行之桥的MFT端口配置交易伙伴的公钥证书,比如您使用的AS2传输协议,在为其创建的AS2端口的“设置”页面中的“交易伙伴证书”下配置其加密证书即可:
最后,当证书到期时,如何更换新的证书呢?
当自己的证书即将到期前,您需要重新申请或购买新的证书对,并将新的公钥证书提供给您的交易伙伴约一个时间进行同步更换,即您在知行之桥上更新自己的新的私钥证书,交易伙伴在他们的EDI系统中同步更新您的新的公钥证书。此时您只需要在上面配置自己私钥的位置,上传新的私钥证书即可。
当交易伙伴的证书到期时,一般交易伙伴也会提前申请新的证书对,并将他们新的公钥证书提供给您,在交易伙伴要求的时间,在上面配置交易伙伴公钥证书的位置上传其新的证书即可。
建议:当更新了一方的证书后,发送测试文件进行连接测试,保证文件传输正常。
拓展
如何您和交易伙伴还使用了TLS证书,TLS证书到期也是需要更新的。
更新自己的TLS证书:
只需要在您配置自己TLS证书的位置更换为新的SSL私钥证书即可,具体配置位置参考:如何将文件接收地址AS2 URL中的HTTP修改为HTTPS?
更新交易伙伴的TLS证书
在知行之桥的MFT端口配置交易伙伴的TLS公钥证书,比如您使用的是AS2传输协议,在创建的AS2端口的“设置”页面中的“交易伙伴证书”下配置更新其新的TLS证书即可:
更多EDI信息,请参阅: EDI是什么?