AS2-Partner verwalten - AWS Transfer Family
AS2-Zertifikate importierenRotation der AS2-ZertifikateErstellen Sie AS2-ProfileErstellen Sie AS2-Vereinbarungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AS2-Partner verwalten

In diesem Thema wird die Verwaltung von AS2-Zertifikaten, -Profilen und -Vereinbarungen beschrieben.

AS2-Zertifikate importieren

Der Transfer Family AS2-Prozess verwendet Zertifikatsschlüssel sowohl für die Verschlüsselung als auch für die Signierung der übertragenen Informationen. Partner können für beide Zwecke denselben Schlüssel oder für jeden einen separaten Schlüssel verwenden. Wenn Sie über gemeinsame Verschlüsselungsschlüssel verfügen, die von einem vertrauenswürdigen Drittanbieter treuhänderisch aufbewahrt werden, sodass Daten im Notfall oder bei einer Sicherheitsverletzung entschlüsselt werden können, empfehlen wir, separate Signaturschlüssel zu verwenden. Durch die Verwendung separater Signaturschlüssel (die Sie nicht hinterlegen) gefährden Sie nicht die Funktionen Ihrer digitalen Signaturen, die nicht zurückgewiesen werden können.

Anmerkung

Die Schlüssellänge für AS2-Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.

In den folgenden Punkten wird detailliert beschrieben, wie AS2-Zertifikate während des Prozesses verwendet werden.

  • Eingehender AS2-Versand

    • Der Handelspartner sendet seinen öffentlichen Schlüssel für das Signaturzertifikat, und dieser Schlüssel wird in das Partnerprofil importiert.

    • Die lokale Partei sendet den öffentlichen Schlüssel für ihre Verschlüsselungs- und Signaturzertifikate. Der Partner importiert dann den oder die privaten Schlüssel. Die lokale Partei kann separate Zertifikatsschlüssel zum Signieren und Verschlüsseln senden oder denselben Schlüssel für beide Zwecke verwenden.

  • Ausgehender AS2

    • Der Partner sendet den öffentlichen Schlüssel für sein Verschlüsselungszertifikat, und dieser Schlüssel wird in das Partnerprofil importiert.

    • Die lokale Partei sendet den öffentlichen Schlüssel für das Zertifikat zum Signieren und importiert den privaten Schlüssel des Zertifikats zum Signieren.

    • Wenn Sie HTTPS verwenden, können Sie ein selbstsigniertes Transport Layer Security (TLS) -Zertifikat importieren.

Einzelheiten zum Erstellen von Zertifikaten finden Sie unterSchritt 1: Zertifikate für AS2 erstellen.

In diesem Verfahren wird erklärt, wie Zertifikate mithilfe der Transfer Family Family-Konsole importiert werden. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unterSchritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren.

So geben Sie ein AS2-fähiges Zertifikat an

  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im linken Navigationsbereich unter AS2 Trading Partners die Option Certificates aus.

  3. Wählen Sie Import certificate (Zertifikat importieren).

  4. Geben Sie im Abschnitt Beschreibung des Zertifikats einen leicht identifizierbaren Namen für das Zertifikat ein. Stellen Sie sicher, dass Sie den Zweck des Zertifikats anhand seiner Beschreibung identifizieren können. Wählen Sie außerdem die Rolle für das Zertifikat aus.

  5. Geben Sie im Abschnitt Inhalt des Zertifikats ein öffentliches Zertifikat eines Handelspartners oder die öffentlichen und privaten Schlüssel für ein lokales Zertifikat an.

  6. Wählen Sie im Abschnitt Verwendung des Zertifikats den Zweck für dieses Zertifikat aus. Es kann zur Verschlüsselung, Signierung oder für beides verwendet werden.

    Anmerkung

    Wenn Sie Verschlüsselung und Signierung für die Verwendung wählen, erstellt Transfer Family zwei identische Zertifikate (jedes hat seine eigene ID): eines mit einem Verwendungswert von ENCRYPTION und eines mit einem Nutzungswert vonSIGNING.

  7. Füllen Sie den Abschnitt Inhalt des Zertifikats mit den entsprechenden Details aus.

    • Wenn Sie Selbstsigniertes Zertifikat wählen, geben Sie die Zertifikatskette nicht an.

    • Fügen Sie den Inhalt des Zertifikats ein.

    • Wenn das Zertifikat kein selbstsigniertes Zertifikat ist, geben Sie die Zertifikatskette an.

    • Wenn es sich bei diesem Zertifikat um ein lokales Zertifikat handelt, fügen Sie seinen privaten Schlüssel ein.

  8. Wählen Sie Zertifikat importieren, um den Vorgang abzuschließen und die Details für das importierte Zertifikat zu speichern.

Anmerkung

TLS-Zertifikate können nur als öffentliches Zertifikat eines Partners importiert werden. Wenn Sie Öffentliches Zertifikat von einem Partner und dann Transport Layer Security (TLS) für die Verwendung auswählen, erhalten Sie eine Warnung. Außerdem müssen TLS-Zertifikate selbstsigniert sein (d. h. Sie müssen Self Signed Certificate auswählen, um ein TLS-Zertifikat zu importieren).

Rotation der AS2-Zertifikate

Oft sind Zertifikate für einen Zeitraum von sechs Monaten bis zu einem Jahr gültig. Möglicherweise haben Sie Profile eingerichtet, die Sie für einen längeren Zeitraum beibehalten möchten. Um dies zu erleichtern, bietet Transfer Family eine Zertifikatsrotation. Sie können mehrere Zertifikate für ein Profil angeben, sodass Sie das Profil mehrere Jahre lang verwenden können. Transfer Family verwendet Zertifikate zum Signieren (optional) und Verschlüsseln (verpflichtend). Sie können ein einzelnes Zertifikat für beide Zwecke angeben, wenn Sie möchten.

Bei der Zertifikatsrotation wird ein altes, ablaufendes Zertifikat durch ein neueres Zertifikat ersetzt. Die Umstellung erfolgt schrittweise, um zu vermeiden, dass Übertragungen unterbrochen werden, wenn ein Vertragspartner noch kein neues Zertifikat für ausgehende Übertragungen konfiguriert hat oder während eines Zeitraums, in dem möglicherweise auch ein neueres Zertifikat verwendet wird, Payloads sendet, die mit einem alten Zertifikat signiert oder verschlüsselt sind. Die Zwischenzeit, in der sowohl alte als auch neue Zertifikate gültig sind, wird als Karenzzeit bezeichnet.

X.509-Zertifikate haben ein Not Before Not After Datum. Diese Parameter bieten Administratoren jedoch möglicherweise nicht genügend Kontrolle. Transfer Family bietet Active Date Inactive Date Einstellungen, mit denen gesteuert werden kann, welches Zertifikat für ausgehende Payloads verwendet und welches für eingehende Payloads akzeptiert wird.

Bei der Auswahl ausgehender Zertifikate wird der Höchstwert verwendet, der vor dem Datum der Übertragung liegt. Inactive Date Eingehende Prozesse akzeptieren Zertifikate im Bereich von Not Before Not After und und. Active Date Inactive Date

In der folgenden Tabelle wird eine Möglichkeit beschrieben, zwei Zertifikate für ein einzelnes Profil zu konfigurieren.

Zwei Zertifikate im Wechsel
Name NOT BEFORE(wird von der Zertifizierungsstelle kontrolliert) ACTIVE DATE(gesetzt von Transfer Family) INACTIVE DATE(gesetzt von Transfer Family) NOT AFTER(von der Zertifizierungsstelle festgelegt)
Cert1 (älteres Zertifikat) 2019-11-01 01.01.2020 31.12.2020 2024-01-01
Cert2 (neueres Zertifikat) 01.11.2020 2020-06-01 01.06.2021 01.01.2025

Beachten Sie Folgendes:

  • Wenn Sie ein Active Date und Inactive Date für ein Zertifikat angeben, muss der Bereich innerhalb des Bereichs zwischen und liegen. Not Before Not After

  • Es wird empfohlen, mehrere Zertifikate für jedes Profil zu konfigurieren und dabei sicherzustellen, dass der aktive Datumsbereich für alle Zertifikate zusammen den Zeitraum abdeckt, für den Sie das Profil verwenden möchten.

  • Wir empfehlen Ihnen, eine Übergangszeit zwischen dem Zeitpunkt, zu dem Ihr älteres Zertifikat inaktiv wird, und dem Zeitpunkt, zu dem Ihr neueres Zertifikat aktiv wird, festzulegen. Im vorherigen Beispiel wird das erste Zertifikat erst am 31.12.2020 inaktiv, während das zweite Zertifikat am 01.06.2020 aktiv wird, was eine Kulanzzeit von 6 Monaten bietet. Im Zeitraum vom 01.06.2020 bis 31.12.2020 sind beide Zertifikate aktiv.

Erstellen Sie AS2-Profile

Gehen Sie wie folgt vor, um sowohl lokale Profile als auch Partnerprofile zu erstellen. In diesem Verfahren wird erklärt, wie AS2-Profile mithilfe der Transfer Family Family-Konsole erstellt werden. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unterSchritt 4: Erstellen Sie Profile für Sie und Ihren Handelspartner.

So erstellen Sie ein AS2-Profil

  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im linken Navigationsbereich unter AS2 Trading Partners die Option Profile und dann Create profile aus.

  3. Geben Sie im Abschnitt Profilkonfiguration die AS2-ID für das Profil ein. Dieser Wert wird für die für das AS2-Protokoll spezifischen HTTP-Header as2-from und as2-to zur Identifizierung der Handelspartnerschaft verwendet, die bestimmt, welche Zertifikate verwendet werden sollen usw.

  4. Wählen Sie im Abschnitt Profiltyp die Option Lokales Profil oder Partnerprofil aus.

  5. Wählen Sie im Abschnitt Zertifikate ein oder mehrere Zertifikate aus dem Drop-down-Menü aus.

    Anmerkung

    Wenn Sie ein Zertifikat importieren möchten, das nicht im Dropdownmenü aufgeführt ist, wählen Sie Neues Zertifikat importieren aus. Dadurch wird ein neues Browserfenster auf dem Bildschirm Zertifikat importieren geöffnet. Informationen zum Importieren von Zertifikaten finden Sie unterAS2-Zertifikate importieren.

  6. (Optional) Geben Sie im Abschnitt Tags ein oder mehrere Schlüssel-Wert-Paare an, um dieses Profil leichter identifizieren zu können.

  7. Wählen Sie Profil erstellen, um den Vorgang abzuschließen und das neue Profil zu speichern.

Erstellen Sie AS2-Vereinbarungen

Vereinbarungen sind mit Transfer Family Family-Servern verknüpft. Sie spezifizieren die Details für Geschäftspartner, die das AS2-Protokoll verwenden, um Nachrichten oder Dateien mithilfe von Transfer Family auszutauschen, für eingehende Übertragungen, d. h. das Senden von AS2-Dateien von einer externen, partnereigenen Quelle an einen Transfer Family Family-Server.

In diesem Verfahren wird erklärt, wie AS2-Vereinbarungen mithilfe der Transfer Family Family-Konsole erstellt werden. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unterSchritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner.

So erstellen Sie eine Vereinbarung für einen Transfer Family Family-Server

  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im linken Navigationsbereich Server und dann einen Server aus, der das AS2-Protokoll verwendet.

  3. Scrollen Sie auf der Seite mit den Serverdetails nach unten zum Abschnitt Vereinbarungen.

    Screenshot der Konsole, der den Abschnitt Vereinbarungen mit der Vereinbarungs-ID und dem Status AKTIV zeigt.

  4. Wählen Sie Vereinbarung hinzufügen aus.

  5. Geben Sie die Vereinbarungsparameter wie folgt ein:

    1. Geben Sie im Abschnitt Vereinbarungskonfiguration einen aussagekräftigen Namen ein. Stellen Sie sicher, dass Sie den Zweck der Vereinbarung anhand des Namens identifizieren können. Legen Sie außerdem den Status für die Vereinbarung fest: entweder Aktiv (standardmäßig ausgewählt) oder Inaktiv.

    2. Wählen Sie im Abschnitt Kommunikationskonfiguration ein lokales Profil und ein Partnerprofil aus.

    3. Wählen Sie im Abschnitt Konfiguration des Posteingangsordners einen Amazon S3 S3-Bucket zum Speichern eingehender Dateien und eine IAM-Rolle aus, die auf den Bucket zugreifen kann. Optional können Sie ein Präfix (Ordner) eingeben, das zum Speichern von Dateien im Bucket verwendet werden soll.

      Wenn Sie beispielsweise für Ihren Bucket und DOC-EXAMPLE-BUCKET incoming für Ihr Präfix eingeben, werden Ihre eingehenden Dateien in dem /DOC-EXAMPLE-BUCKET/incoming Ordner gespeichert.

    4. (Optional) Fügen Sie im Abschnitt „Tags“ Tags hinzu.

    5. Nachdem Sie alle Informationen für die Vereinbarung eingegeben haben, wählen Sie Vereinbarung erstellen aus.

Die neue Vereinbarung wird im Abschnitt Vereinbarungen der Serverdetailseite angezeigt.