Konfigurieren von AS2-Partnern
Mit "Partnern" sind die Partner, zwischen denen die AS2-Kommunikation erfolgt, gemeint, d.h. Ihr Unternehmen und die Handelspartner Ihres Unternehmens. Damit Ihr Unternehmen mit AS2-Partnern kommunizieren kann, müssen deren Daten zuerst in FlowForce Server definiert werden. Nachdem Sie die AS2-Partnerdaten definiert haben, können Sie diese später in Aufträgen wiederverwenden. Wenn Sie Aufträge erstellen, mit denen AS2-Nachrichten versendet werden, können Sie den Partner aus einer Liste von bereits definierten Handelspartnern auswählen (statt dass Sie die Partnerdaten für jeden FlowForce-Auftrag eigens eingeben müssen).
| Anmerkung: | Wenn eine Verschlüsselung und Signierung aktiviert werden muss, importieren Sie zuerst die erforderlichen Zertifikate (das Ihres Unternehmens und das Ihres Partners) in FlowForce Server, siehe Konfigurieren von AS2-Zertifikaten. |
So konfigurieren Sie den AS2-Partner:
1.Melden Sie sich auf der FlowForce Server Web-Verwaltungsschnittstelle an.
2.Klicken Sie auf Konfiguration und navigieren Sie anschließend zum Container, in dem Sie das Zertifikat erstellen möchten.
| Anmerkung: | Standardmäßig haben alle authentifizierten FlowForce-Benutzer Zugriff auf den Container "Public", daher eignet er sich nicht zum Speichern sensibler Daten. Es wird empfohlen, dass Sie entweder den Zugriff auf den Container "Public" einschränken oder sensible Objekte in einem separaten Container definieren, auf den nur bestimmte Benutzer eine Zugriffsberechtigung haben, siehe Berechtigungen und Container. |
3.Klicken Sie auf Erstellen und dann auf Zertifikat erstellen.
Die Einstellungen der Partnerkonfiguration sind in Gruppen unterteilt und weisen dasselbe Verhalten wie andere Bereiche der FlowForce Web-Verwaltungsschnittstelle auf. Wenn eine Gruppe z.B. optional ist, müssen Sie zuerst auf |
- dadurch wird diese Einstellungsgruppe ausgeblendet und ist nicht mehr relevant.
Ein Zertifikatdatensatz in FlowForce Server besteht aus den folgenden Einstellungsgruppen:
Feld | Beschreibung |
|---|---|
Partnername | Pflichtfeld. Ein Name, der den Handelspartner für FlowForce Server identifiziert. Dieser Name wird überall auf der grafischen Benutzeroberfläche von FlowForce angezeigt und hilft Ihnen dabei, den Handelspartner zu identifizieren. |
Partnerbeschreibung | Optionales Feld. Freier beschreibender Text über den Partner des Unternehmens (z.B. Postadresse, Kontaktperson usw.). |
Partnereinstellungen
Feld | Beschreibung |
|---|---|
AS2-Name | Pflichtfeld. Wenn FlowForce Server AS2-Daten sendet, identifiziert dieser Wert den Empfänger des Datenaustauschs (Wert für den “AS2-To” Header). Wenn FlowForce Server AS2-Daten sendet, identifiziert dieser Wert den Absender des Datenaustauschs (Wert für den “AS2-From” Header).
Auf diesen Namen haben sich die AS2-Handelspartner normalerweise geeinigt. Er muss im gesamten System eindeutig sein, siehe auch RFC 4130, §6.2. |
Einstellungen lokaler Rechner
Feld | Beschreibung |
|---|---|
AS2-Name | Pflichtfeld. Wenn FlowForce Server AS2-Daten sendet, identifiziert dieser Wert den Absender des Datenaustauschs (Wert für den “AS2-From” Header). Wenn FlowForce Server AS2-Daten empfängt, identifiziert dieser Wert den Empfänger des Datenaustauschs (Wert für den “AS2-To” Header).
Auf diesen Namen haben sich die AS2-Handelspartner normalerweise geeinigt. Er muss im gesamten System eindeutig sein, siehe auch RFC 4130, §6.2. |
AS2-Diensteinstellungen
Feld | Beschreibung |
|---|---|
Nachrichten empfangen | Optionales Feld. Aktivieren Sie dieses Kontrollkästchen, damit FlowForce Server Nachrichten von diesem AS2-Partner empfangen kann.
Wenn Sie einen AS2-Partner erstellen, an den Sie AS2-Daten nur senden werden und von dem Sie keine AS2-Daten erhalten, sollten Sie dieses Kontrollkästchen deaktivieren.
Auf diese Art vermeiden Sie Fehler, falls es mehrere Partner mit demselben lokalen AS2-Namens- und AS2-Namenspaar gibt. Falls dies der Fall ist, können AS2-Nachrichten nur von dem Partner empfangen werden, bei dem dieses Kontrollkästchen aktiviert ist. |
HTTP Endpoint-Einstellungen
Feld | Beschreibung |
|---|---|
Request URL | Pflichtfeld. In diesem Feld muss die Partner-URL definiert sein, an die AS2-Nachrichten gesendet werden, z.B: http://example.org:8080/as2/HttpReceiver.
Der Wert muss mit "http://" oder "https://" beginnen. |
Umleitungsmodus | Optionales Feld. Sie können aus Sicherheitsgründen die Umleitung von HTTP Requests nicht gestatten oder nur Umleitungen an denselben Host erlauben. Gültige Werte sind:
•Umleitung unzulässig [Standardeinstellung] •Umleitung am selben Host •Beliebige Umleitung (definieren Sie diesen Wert, wenn die Umleitung auch an andere Hosts gestattet werden soll) |
Chunked Transfer Encoding verwenden | Optionales Feld. Gültige Werte sind:
•Ja: FlowForce darf zum Senden Chunked Transfer Encoding verwenden (muss aber nicht). Wenn Sie diese Option aktivieren, wird erwartet, dass auch das empfangende System Chunked Transfer Encoding unterstützt. •Nein [Standardeinstellung]: FlowForce kann zur Kennzeichnung des Inhaltsendes nur Content-Length und Verbindungsbeendung verwenden. |
HTTP-Authentifizierungsinformationen | Optionales Feld. Wird nur verwendet, wenn für die URI des Partners eine einfache HTTP-Authentifizierung erforderlich ist. Geben Sie hier die HTTP-Anmeldeinformationen für die Authentifizierung beim Server des Partners ein. Sie können die HTTP-Anmeldeinformationen in Form eines Datensatzes auch über eine eigene Seite definieren und diese dann über diese Seite referenzieren, siehe Anmeldeinformationen.
Anmerkung: Die Anmeldeinformationen werden von FlowForce Server im Vorhinein gesendet. |
Timeout | Optionales Feld. Definiert einen Wert in Sekunden, nachdem der Server eine Zeitüberschreitung meldet, wenn keine Antwort empfangen wird. Der Standardwert ist systemspezifisch. |
Komprimierungseinstellungen
Feld | Beschreibung |
|---|---|
Komprimierung verwenden | Optionales Feld. Aktivieren Sie dieses Kontrollkästchen, wenn die AS2-Daten komprimiert werden sollen, bevor sie an den Partner gesendet werden. |
Sicherheitseinstellungen | Entschlüsselung
Diese Gruppe von Einstellungen muss definiert werden, wenn Ihr Unternehmen an diesen Partner gesendete AS2-Nachrichten signieren soll.
Feld | Beschreibung |
|---|---|
Algorithmus | Optionales Feld. Definiert den für die Verschlüsselung zu verwendenden symmetrischen Algorithmus. Gültige Werte sind:
•DES •3DES [Standardwert] •AES-128 •AES-192 •AES-256 •RC2-40 •RC2-64 •RC2-128 •RC4-40 •RC4-128 |
Partnerzertifikat | Pflichtfeld. Definiert das Zertifikat, das für die Verschlüsselung von AS2-Nachrichten verwendet werden muss. Dabei muss es sich um ein öffentliches Zertifikat handeln, das Sie von Ihrem Handelspartner erhalten und in FlowForce Server importiert haben, siehe Konfigurieren von AS2-Zertifikaten. |
Sicherheitseinstellungen | Entschlüsselung
Diese Gruppe von Einstellungen muss definiert werden, wenn Ihr Unternehmen von diesem Partner erhaltene AS2-Nachrichten entschlüsseln soll.
Feld | Beschreibung |
|---|---|
Algorithmus | Optionales Feld. Definiert, welchen Algorithmus/welche Algorithmen der Partner für die Entschlüsselung der an Ihre Firma gesendeten Nachrichten verwenden darf.
Wenn der Handelspartner einen anderen Algorithmus oder einen nicht ausgewählten verwendet, sendet FlowForce Server eine Fehler-MDN und der Auftrag wird nicht gestartet. Die Fehler-MDN enthält in diesem Fall in etwa folgenden Text: "automatische-Aktion/automatisch-gesendete-MDN; fehlgeschlagen / Fehler: ungenügende-Nachrichtensicherheit"
Gültige Werte für dieses Feld sind:
•DES •3DES •AES-128 •AES-192 •AES-256 •RC2-40 •RC2-64 •RC2-128 •RC4-40 •RC4-128 |
Zertifikat auf lokaler Seite | Pflichtfeld. Definiert das Zertifikat, das für die Entschlüsselung von AS2-Nachrichten verwendet werden soll. Dies muss eine Referenz auf ein Zertifikat mit einem privaten Schlüssel sein, das zuvor in FlowForce Server importiert wurde, siehe Konfigurieren von AS2-Zertifikaten. Solche Objekte werden in FlowForce mit dem Typ "Zertifikat + Private Key" angezeigt, wie der zweite Eintrag in der Abbildung unten:  |
Sicherheitseinstellungen | Signaturerstellung
Diese Gruppe von Einstellungen muss definiert werden, wenn Ihr Unternehmen an diesen Partner gesendete AS2-Nachrichten signieren soll.
Feld | Beschreibung |
|---|---|
Algorithmus | Pflichtfeld. Definiert den Hash-Algorithmus zur Berechnung des Signatur-MIC (Message Integrity Check = Nachrichtenintegritätsüberprüfung). Gültige Werte sind:
•MD5 •SHA-1 [Standardwert] •SHA-224 •SHA-256 •SHA-384 •SHA-512 |
Lokales Zertifikat | Pflichtfeld. Definiert das Zertifikat, das von Ihrem Unternehmen zum Signieren von an diesen Partner gesendeten AS2-Nachrichten und MDNs ausgestellt wurde. Dies muss eine Referenz auf ein Zertifikat mit einem privaten Schlüssel sein, das zuvor in FlowForce Server importiert wurde, siehe Konfigurieren von AS2-Zertifikaten. Solche Objekte werden in FlowForce mit dem Typ "Zertifikat + Private Key" angezeigt, wie der zweite Eintrag in der Abbildung unten:
|
Sicherheitseinstellungen | Signaturüberprüfung
Diese Gruppe von Einstellungen muss definiert werden, wenn Ihr Unternehmen die Signatur von vom Partner gesendeten MDNs überprüfen soll.
Feld | Beschreibung |
|---|---|
Algorithmen | Pflichtfeld. Definiert, welcher Algorithmus/welche Algorithmen zur Berechnung des signierten Nachrichten-Hash in der Signatur verwendet werden soll(en). Wenn der Handelspartner keinen der unten angeführten Algorithmen verwendet, sendet FlowForce Server eine Fehler-MDN mit etwa dem folgenden Text: "automatische-Aktion/automatisch-gesendete-MDN; fehlgeschlagen / Fehler: ungenügende-Nachrichtensicherheit" Die Nachricht wird in diesem Fall außerdem nicht akzeptiert und verarbeitet.
Gültige Werte sind:
•MD5 [Standardwert] •SHA-1 [Standardwert] •SHA-224 [Standardwert] •SHA-256 [Standardwert] •SHA-384 [Standardwert] •SHA-512 [Standardwert] |
Partnerzertifikat | Bedingtes Feld. Definiert das Zertifikat, das zur Überprüfung der Signatur von vom Partner gesendeten Nachrichten und MDNs verwendet werden soll. Dabei muss es sich um ein öffentliches Zertifikat handeln, das Sie von Ihrem Handelspartner erhalten und in FlowForce Server importiert haben, siehe Konfigurieren von AS2-Zertifikaten.
Wenn das Kontrollkästchen Signierte MDN anfordern aktiviert ist, muss auch dieses Feld konfiguriert werden. |
Message Disposition Notification
Feld | Beschreibung |
|---|---|
Request MDN | Die Option Synchron bedeutet, dass FlowForce verlangt, dass der Partner in Antwort auf die AS2-Nachricht eine synchrone MDN sendet. Damit keine MDN angefordert wird, klicken Sie auf Löschen
Anmerkung: Anmerkung: Asynchrone MDNs werden derzeit nicht unterstützt, siehe Einschränkungen. |
Signierte MDN anfordern | Optionales Feld. Aktivieren Sie dieses Kontrollkästchen, um vom Handelspartner eine signierte MDN anzufordern, siehe Message Disposition Notification. |
Interoperabilitätseinstellungen
Feld | Beschreibung |
|---|---|
Daten komprimieren | Bedingtes Feld. Wenn die Option Komprimierung verwenden aktiviert ist, definiert diese Option, ob die Komprimierung erfolgen soll, bevor oder nachdem die Daten für die Übertragung an einen AS2-Partner signiert wurden.
Bei ausgehenden Nachrichten muss es sich bei der ausgewählten Option um eine handeln, die von Ihrem AS2-Partner unterstützt wird.
Im Fall von eingehenden Nachrichten (d.h. wenn FlowForce Server Nachrichten von anderen Partnern empfängt) ist diese Option nicht relevant - FlowForce Server dekomprimiert Nachrichten unabhängig davon, ob sie vor oder nach dem Signieren komprimiert wurden. |
MIC-Überprüfungsalgorithmus | Bedingtes Feld. Dieses Feld wird angewendet, wenn die Option MDN anfordern definiert wurde (siehe oben). Darin wird definiert, welchen Algorithmus FlowForce Server für die Überprüfung oder Berechnung der für die AS2-MDNs verwendeten MIC (Message Integrity Check = Unversehrtheitsüberprüfung) verwenden soll. (siehe auch RFC 4130 §7.3.1).
Verwenden Sie aus Interoperabilitätsgründen die Option Algorithmus der MDN-Signatur verwenden, wenn der AS2-Partner Microsoft Biz Talk verwendet. Wählen Sie Algorithmus der ursprünglichen Nachrichtensignatur verwenden, wenn der AS2-Partner mendelson AS2 oder FlowForce Server verwendet.
Wenn auf beiden miteinander kommunizierenden AS2-Servern FlowForce Server läuft, muss diese Option bei beiden identisch sein.
Der Wert dieses Felds hat auch Einfluss darauf, wenn für den Signatur-MIC in AS2-Nachrichten oder in MDNs ein anderer Algorithmus als SHA-1 verwendet wird (z.B. SHA-256). |
Nachricht in kanonische Form konvertieren | Wenn dieses Kontrollkästchen aktiviert ist, formatiert FlowForce Server die MIME-Nachricht gemäß den MIME-Regeln für die kanonische Nachrichtenform (dazu gehören MIME Header und manchmal der Message Body) neu.
Verwenden Sie den Text unterhalb dieser Option, um eine kommagetrennte Liste zusätzlicher Inhaltstypen, für die der Message Body in kanonischer Form neu formatiert werden soll, zu definieren. Die Liste der zulässigen Typen unterstützt Platzhalter ähnlich dem HTTP Accept Header und stimmt exakt mit dem accept-Parameter der Ausdrucksfunktion is-mime-content-type überein.
Die Message Bodys werden unter den folgenden Bedingungen in kanonische Form umgewandelt:
1. Wenn der MIME Header Content-Transfer-Encoding den Wert "base64" hat (ohne Beachtung von Groß/Kleinschreibung). 2. Wenn der MIME Header Content-Transfer-Encoding "7bit", "8bit", "quoted-printable" ist (Groß-/Kleinsch. nicht beachten) und Content-Type (Inhaltstyp) text/* ist (dazu gehören text/unformatiert und alles, das mit text/ beginnt). 3. Wenn der MIME Header Content-Transfer-Encoding "7bit", "8bit", "quoted-printable" ist (Groß-/Kleinsch. nicht beachten) und Content-Type (Inhaltstyp) einer der zuvor im Textfeld definierten Inhaltstypen ist. 4. Im Fall von Multipart-Nachrichten werden sowohl der Prolog als auch der Epilog umformatiert und derselbe Vorgang wird auch gemäß den jeweiligen Headern auf alle Teile angewendet.
Message Bodys von Nachrichten, deren Content-Transfer Encoding "binary" (binär) ist werden nicht in kanonische Form umformatiert. Beachten Sie, dass das Standard-Content-Transfer Encoding für AS2 "binary" ist, d.h. wenn der Header fehlt, wird angenommen, dass es sich um "binary" handelt und der Message Body wird niemals in kanonische Form umformatiert.
Für Message Header ist die kanonische Form die folgende:
1. Am Ende eines Header steht ein CR LF-Zeilenendezeichen. 2. Header sind ausgeklappt (der gesamte Header mitsamt seinem Wert nimmt nur eine Zeile ein). 3. Der Header ist durch einen Doppelpunkt, gefolgt von einem einzigen Leerzeichen, : von seinem Wert getrennt . |