AS2 Zertifikate verwalten - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AS2 Zertifikate verwalten

In diesem Thema wird beschrieben, wie AS2 Zertifikate importiert und verwaltet werden. Das Importieren von Zertifikaten ist der erste Schritt im AS2 Prozess für Transfer Family.

AS2 Zertifikate importieren

Der Transfer Family AS2 Family-Prozess verwendet Zertifikatsschlüssel sowohl für die Verschlüsselung als auch für die Signierung der übertragenen Informationen. Partner können für beide Zwecke denselben Schlüssel oder für jeden einen separaten Schlüssel verwenden. Wenn Sie über gemeinsame Verschlüsselungsschlüssel verfügen, die von einem vertrauenswürdigen Drittanbieter treuhänderisch aufbewahrt werden, sodass Daten im Notfall oder bei einer Sicherheitsverletzung entschlüsselt werden können, empfehlen wir, separate Signaturschlüssel zu verwenden. Durch die Verwendung separater Signaturschlüssel (die Sie nicht hinterlegen) gefährden Sie nicht die Funktionen Ihrer digitalen Signaturen, die nicht zurückgewiesen werden können.

Anmerkung

Die Schlüssellänge für AS2 Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.

In den folgenden Punkten wird detailliert beschrieben, wie AS2 Zertifikate während des Prozesses verwendet werden.

  • Eingehend AS2

    • Der Handelspartner sendet seinen öffentlichen Schlüssel für das Signaturzertifikat, und dieser Schlüssel wird in das Partnerprofil importiert.

    • Die lokale Partei sendet den öffentlichen Schlüssel für ihre Verschlüsselungs- und Signaturzertifikate. Der Partner importiert dann den oder die privaten Schlüssel. Die lokale Partei kann separate Zertifikatsschlüssel zum Signieren und Verschlüsseln senden oder denselben Schlüssel für beide Zwecke verwenden.

  • Ausgehend AS2

    • Der Partner sendet den öffentlichen Schlüssel für sein Verschlüsselungszertifikat, und dieser Schlüssel wird in das Partnerprofil importiert.

    • Die lokale Partei sendet den öffentlichen Schlüssel für das Zertifikat zum Signieren und importiert den privaten Schlüssel des Zertifikats zum Signieren.

    • Wenn Sie HTTPS verwenden, können Sie ein selbstsigniertes Transport Layer Security (TLS) -Zertifikat importieren.

Einzelheiten zum Erstellen von Zertifikaten finden Sie unterSchritt 1: Erstellen Sie Zertifikate für AS2.

In diesem Verfahren wird erklärt, wie Zertifikate mithilfe der Transfer Family Family-Konsole importiert werden. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unterSchritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren.

So geben Sie ein Zertifikat mit AS2 aktivierter Option an
  1. Öffnen Sie die AWS Transfer Family Konsole unter. https://console.aws.amazon.com/transfer/

  2. Wählen Sie im linken Navigationsbereich unter AS2 Handelspartner die Option Zertifikate aus.

  3. Wählen Sie Import certificate (Zertifikat importieren).

  4. Geben Sie im Abschnitt Zertifikatkonfiguration für die Beschreibung des Zertifikats einen leicht identifizierbaren Namen für das Zertifikat ein. Stellen Sie sicher, dass Sie den Zweck des Zertifikats anhand seiner Beschreibung identifizieren können. Wählen Sie außerdem die Rolle für das Zertifikat aus.

  5. Wählen Sie im Abschnitt Verwendung des Zertifikats den Zweck für dieses Zertifikat aus. Es kann zur Verschlüsselung, Signierung oder für beides verwendet werden.

    Tipp: Wenn Sie Verschlüsselung und Signierung für die Verwendung wählen, erstellt Transfer Family zwei identische Zertifikate (jedes hat seine eigene ID): eines mit einem Nutzungswert von ENCRYPTION und eines mit einem Nutzungswert vonSIGNING.

  6. Geben Sie im Abschnitt Inhalt des Zertifikats ein öffentliches Zertifikat eines Handelspartners oder die öffentlichen und privaten Schlüssel für ein lokales Zertifikat an.

    Füllen Sie den Abschnitt Inhalt des Zertifikats mit den entsprechenden Details aus.

    • Wenn Sie Selbstsigniertes Zertifikat wählen, geben Sie die Zertifikatskette nicht an.

    • Fügen Sie den Zertifikatstext und die Kette in das Feld Zertifikat und Zertifikatskette ein.

    • Wenn es sich bei diesem Zertifikat um ein lokales Zertifikat handelt, fügen Sie seinen privaten Schlüssel ein.

  7. Wählen Sie Zertifikat importieren, um den Vorgang abzuschließen und die Details für das importierte Zertifikat zu speichern.

Anmerkung

TLS-Zertifikate können nur als öffentliches Zertifikat eines Partners importiert werden. Wenn Sie Öffentliches Zertifikat von einem Partner und dann Transport Layer Security (TLS) für die Verwendung auswählen, erhalten Sie eine Warnung. Außerdem müssen TLS-Zertifikate selbstsigniert sein (d. h. Sie müssen Self Signed Certificate auswählen, um ein TLS-Zertifikat zu importieren).

AS2 Rotation der Zertifikate

Oft sind Zertifikate für einen Zeitraum von sechs Monaten bis zu einem Jahr gültig. Möglicherweise haben Sie Profile eingerichtet, die Sie für einen längeren Zeitraum beibehalten möchten. Um dies zu erleichtern, bietet Transfer Family eine Zertifikatsrotation. Sie können mehrere Zertifikate für ein Profil angeben, sodass Sie das Profil mehrere Jahre lang verwenden können. Transfer Family verwendet Zertifikate zum Signieren (optional) und Verschlüsseln (verpflichtend). Sie können ein einzelnes Zertifikat für beide Zwecke angeben, wenn Sie möchten.

Bei der Zertifikatsrotation wird ein altes, ablaufendes Zertifikat durch ein neueres Zertifikat ersetzt. Die Umstellung erfolgt schrittweise, um zu vermeiden, dass Übertragungen unterbrochen werden, wenn ein Vertragspartner noch kein neues Zertifikat für ausgehende Übertragungen konfiguriert hat oder während eines Zeitraums, in dem möglicherweise auch ein neueres Zertifikat verwendet wird, Payloads sendet, die mit einem alten Zertifikat signiert oder verschlüsselt sind. Die Zwischenzeit, in der sowohl alte als auch neue Zertifikate gültig sind, wird als Karenzzeit bezeichnet.

X.509-Zertifikate haben ein Not Before und dasselbe Not After Datum. Diese Parameter bieten Administratoren jedoch möglicherweise nicht genügend Kontrolle. Transfer Family bietet Active Date Inactive Date Einstellungen, mit denen gesteuert werden kann, welches Zertifikat für ausgehende Payloads verwendet und welches für eingehende Payloads akzeptiert wird.

Überwachung des Ablaufs von Zertifikaten

Transfer Family veröffentlicht DaysUntilExpiry nach dem Import eines Zertifikats eine CloudWatch Amazon-Metrik. Die Metrik gibt die Anzahl der Tage zwischen dem aktuellen Datum und dem InactiveDate auf dem Zertifikat angegebenen Datum aus. Die Metrik befindet sich unter dem Transfer AWS Namespace im CloudWatch Metrik-Dashboard.

Diese Metrik hat immer eine Metrikdimension für CertificateIdund enthält optional eine Beschreibungsdimension, sofern sie vom Kunden auf dem Zertifikat angegeben wird. Weitere Informationen zu CloudWatch metrischen Dimensionen finden Sie unter Dimension in der CloudWatch API-Referenz.

Anmerkung

Nach dem Import eines Zertifikats für Transfer Family kann es bis zu einem ganzen Tag dauern, bis diese Metrik an das Kundenkonto gesendet wird.

Sie können diese Metrik verwenden, um CloudWatch Alarme zu erstellen, die Sie benachrichtigen, wenn Zertifikate bald ablaufen.

Bei der Auswahl ausgehender Zertifikate wird der Höchstwert verwendet, der vor dem Datum der Übertragung liegt. Inactive Date Eingehende Prozesse akzeptieren Zertifikate im Bereich von Not Before Not After und und. Active Date Inactive Date

Beispiel für die Zertifikatsrotation

In der folgenden Tabelle wird eine Möglichkeit beschrieben, zwei Zertifikate für ein einzelnes Profil zu konfigurieren.

Zwei Zertifikate im Wechsel
Name NOT BEFORE(wird von der Zertifizierungsstelle kontrolliert) ACTIVE DATE(gesetzt von Transfer Family) INACTIVE DATE(gesetzt von Transfer Family) NOT AFTER(von der Zertifizierungsstelle festgelegt)
Cert1 (älteres Zertifikat) 2019-11-01 01.01.2020 31.12.2020 2024-01-01
Cert2 (neueres Zertifikat) 01.11.2020 2020-06-01 01.06.2021 01.01.2025

Beachten Sie Folgendes:

  • Wenn Sie ein Active Date und Inactive Date für ein Zertifikat angeben, muss der Bereich innerhalb des Bereichs zwischen und liegen. Not Before Not After

  • Es wird empfohlen, mehrere Zertifikate für jedes Profil zu konfigurieren und dabei sicherzustellen, dass der aktive Datumsbereich für alle Zertifikate zusammen den Zeitraum abdeckt, für den Sie das Profil verwenden möchten.

  • Wir empfehlen Ihnen, eine Übergangszeit zwischen dem Zeitpunkt, zu dem Ihr älteres Zertifikat inaktiv wird, und dem Zeitpunkt, zu dem Ihr neueres Zertifikat aktiv wird, festzulegen. Im vorherigen Beispiel wird das erste Zertifikat erst am 31.12.2020 inaktiv, während das zweite Zertifikat am 01.06.2020 aktiv wird, was eine Kulanzzeit von 6 Monaten bietet. Im Zeitraum vom 01.06.2020 bis 31.12.2020 sind beide Zertifikate aktiv.