Gestione los socios de AS2 - AWS Transfer Family
Importar certificados AS2Rotación de certificado AS2Creación de perfiles de AS2Creación de acuerdos AS2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestione los socios de AS2

En este tema se explica cómo administrar los certificados, perfiles y acuerdos de AS2.

Importar certificados AS2

El proceso AS2 de Transfer Family utiliza claves de certificado tanto para el cifrado como para la firma de la información transferida. Los socios pueden usar la misma clave con ambos fines o una clave independiente para cada uno. Si tiene claves de cifrado comunes que un tercero de confianza guarda en custodia para poder descifrar los datos en caso de desastre o violación de la seguridad, le recomendamos que tenga claves de firma independientes. Al utilizar claves de firma independientes (que no deposite en custodia), no compromete las características de no repudio de sus firmas digitales.

nota

La longitud de la clave de los certificados AS2 debe ser de al menos 2048 bits y, como máximo, de 4096.

Los siguientes puntos detallan cómo se utilizan los certificados AS2 durante el proceso.

  • AS2 entrante

    • El socio comercial envía su clave pública para el certificado de firma y esta clave se importa al perfil del socio.

    • La parte local envía la clave pública para sus certificados de cifrado y firma. A continuación, el socio importa la(s) clave(s) privada(s). La parte local puede enviar claves de certificado independientes para firmarlas y cifrarlas, o puede optar por utilizar la misma clave con ambos fines.

  • AS2 saliente

    • El socio envía la clave pública de su certificado de cifrado y esta clave se importa al perfil del socio.

    • La parte local envía la clave pública del certificado para firmarlo e importa la clave privada del certificado para firmarlo.

    • Si utiliza HTTPS, puede importar un certificado de seguridad de capa de transporte (TLS) autofirmado.

Para obtener información detallada acerca de la forma de crear certificados, consulte Paso 1: creación de los certificados para AS2.

En este procedimiento, se explica cómo importar certificados mediante la consola Transfer Family. Si desea utilizar el en su AWS CLI lugar, consulte. Paso 3: importación de certificados como recursos de certificados de Transfer Family

Cómo especificar un certificado compatible con AS2

  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación izquierdo, en AS2 Trading Partners, elija Certificados.

  3. Seleccione Importar certificado.

  4. En la sección Descripción del certificado, introduzca un nombre fácilmente identificable para el certificado. Asegúrese de poder identificar el propósito del certificado por su descripción. Además, elija el rol del certificado.

  5. En la sección Contenido del certificado, proporcione un certificado público de un socio comercial o las claves pública y privada de un certificado local.

  6. En la sección Uso del certificado, elija el propósito de este certificado. Se puede usar para cifrar, firmar o ambas cosas.

    nota

    Si elige Cifrado y la firma para el uso, Transfer Family crea dos certificados idénticos (cada uno con su propio ID): uno con un valor de uso ENCRYPTION y otro con un valor de uso de SIGNING.

  7. Rellene la sección Contenido del certificado con los detalles correspondientes.

    • Si elige Certificado autofirmado, no proporciona una cadena de certificados.

    • Se pega en el contenido del archivo del certificado.

    • Si el certificado no está autofirmado, proporcione una cadena de certificados.

    • Si este certificado es un certificado local, pegue su clave privada.

  8. Elija Importar certificado para completar el proceso y guardar los detalles del certificado importado.

nota

Los certificados TLS solo se pueden importar como certificados públicos de un socio. Si selecciona un certificado público de un socio y, a continuación, selecciona Transport Layer Security (TLS) para su uso, recibirá una advertencia. Además, los certificados TLS deben estar autofirmados (es decir, debe seleccionar el certificado autofirmado para importar un certificado TLS).

Rotación de certificado AS2

Los certificados suelen ser válidos durante un período de seis meses a un año. Es posible que haya configurado perfiles que desee conservar durante más tiempo. Para facilitar esto, Transfer Family ofrece la rotación de certificados. Puede especificar varios certificados para un perfil, lo que le permitirá seguir utilizando el perfil durante varios años. Transfer Family utiliza certificados para la firma (opcional) y el cifrado (obligatorio). Si lo desea, puede especificar un único certificado con ambos fines.

La rotación de certificados es el proceso de reemplazar un certificado antiguo que ha caducado por uno más nuevo. La transición es gradual para evitar interrumpir las transferencias cuando una de las partes del acuerdo aún no ha configurado un nuevo certificado para las transferencias salientes o puede que esté enviando cargas útiles firmadas o cifradas con un certificado antiguo durante un período en el que también se esté utilizando un certificado más nuevo. El período intermedio en el que son válidos tanto los certificados antiguos como los nuevos se denomina período de gracia.

Los certificados X.509 tienen fechas Not Before y Not After. Sin embargo, es posible que estos parámetros no proporcionen un control suficiente a los administradores. Transfer Family proporciona Active Date y Inactive Date configuración para controlar qué certificado se usa para las cargas útiles salientes y cuál se acepta para las cargas útiles entrantes.

La selección del certificado de salida utiliza el valor máximo anterior a la fecha de la transferencia como Inactive Date. Los procesos entrantes aceptan certificados dentro del rango de Not Before y Not After y dentro del rango de Active Date y Inactive Date.

En la siguiente tabla, se describe una forma posible de configurar dos certificados para un único perfil.

Dos certificados en rotación
Nombre NOT BEFORE (controlado por la autoridad de certificación) ACTIVE DATE (producida por Transfer Family) INACTIVE DATE (producida por Transfer Family) NOT AFTER (producida por una entidad de certificación)
Cert1 (certificado anterior) 01/11/2019 2020-01-01 2020-12-31 2024-01-01
Cert2 (certificado más reciente) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

Tenga en cuenta lo siguiente:

  • Al especificar un certificado Active Date y Inactive Date para un certificado, el rango debe estar dentro del rango entre Not Before y Not After.

  • Se recomienda configurar varios certificados para cada perfil, asegurándose de que el intervalo de fechas activo de todos los certificados combinados abarque el período de tiempo durante el que desea utilizar el perfil.

  • Le recomendamos que especifique un período de gracia entre el momento en que el certificado anterior pasa a estar inactivo y el certificado más nuevo se activa. En el ejemplo anterior, el primer certificado no queda inactivo hasta el 31/12/2020, mientras que el segundo se activa el 1/06/2020, lo que proporciona un período de gracia de 6 meses. Durante el período comprendido entre el 1/06/2020 y el 31/12/2020, ambos certificados estarán activos.

Creación de perfiles de AS2

Utilice este procedimiento para crear perfiles locales y de socios. Este procedimiento explica cómo crear perfiles AS2 mediante la consola Transfer Family. Si desea utilizar la AWS CLI en su lugar, consulte la Paso 4: creación de perfiles para usted y su socio comercial.

Creación de un perfil de AS2

  1. Abra la consola en https://console.aws.amazon.com/transfer/ AWS Transfer Family .

  2. En el panel de navegación izquierdo, en AS2 Trading Partners, elija Perfiles y, a continuación, elija Crear perfil.

  3. En la sección de configuración del perfil, introduzca el ID de AS2 del perfil. Este valor se utiliza para los encabezados HTTP específicos del protocolo AS2 as2-from y as2-to para identificar la asociación comercial, que determina los certificados que se van a utilizar, etc.

  4. En la sección Tipo de perfil, elija Perfil local o Perfil de socio.

  5. En la sección Certificados, elija uno o más certificados en el menú desplegable.

    nota

    Si desea importar un certificado que no aparece en el menú desplegable, seleccione Importar un certificado nuevo. Esto abre una nueva ventana del navegador en la pantalla de importación de certificados. Para obtener información sobre el procedimiento de importación de certificados, consulte Importar certificados AS2.

  6. (Opcional) En la sección Etiquetas, especifique uno o más pares de clave-valor para ayudar a identificar este perfil.

  7. Seleccione Crear perfil para completar el proceso y guardar el nuevo perfil.

Creación de acuerdos AS2

Los acuerdos están asociados a los servidores Transfer Family. Especifican los detalles de los socios comerciales que utilizan el protocolo AS2 para intercambiar mensajes o archivos mediante Transfer Family, para las transferencias entrantes, es decir, el envío de archivos AS2 desde una fuente externa propiedad del socio a un servidor de Transfer Family.

Este procedimiento explica cómo crear acuerdos AS2 mediante la consola Transfer Family. Si desea utilizar la AWS CLI en su lugar, consultePaso 5: creación de un acuerdo entre usted y su socio.

Creación de un acuerdo para un servidor de Transfer Family

  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación izquierdo, seleccione Servidores y, a continuación, seleccione un servidor que utilice el protocolo AS2.

  3. En la página de detalles del servidor, desplácese hacia abajo hasta la sección Acuerdos.

    Captura de pantalla de la consola que muestra la sección de acuerdos con un ID de acuerdo y un estado ACTIVO.

  4. Seleccione Añadir acuerdo.

  5. Complete los parámetros del acuerdo de la siguiente manera:

    1. En la sección Configuración del acuerdo, introduzca un nombre descriptivo. Asegúrese de poder identificar el propósito del acuerdo por su nombre. Además, defina el estado del acuerdo: Activo (seleccionado de forma predeterminada) o Inactivo.

    2. En la sección Configuración de la comunicación, elija un perfil local y un perfil de socio.

    3. En la sección de configuración de la carpeta Inbox, elija un bucket de Amazon S3 para almacenar los archivos entrantes y un rol de IAM que pueda acceder al bucket. Si lo desea, puede introducir un prefijo (carpeta) para almacenar los archivos en el bucket.

      Por ejemplo, si escribe DOC-EXAMPLE-BUCKET para su bucket y incoming para su prefijo, los archivos entrantes se guardarán en la carpeta /DOC-EXAMPLE-BUCKET/incoming.

    4. (Opcional) En la sección Etiquetas, agregue etiquetas a su secreto.

    5. Una vez haya introducido toda la información del acuerdo, elija Crear acuerdo.

El nuevo acuerdo aparece en la sección Acuerdos de la página de detalles del servidor.