Gérer les AS2 certificats - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les AS2 certificats

Cette rubrique explique comment importer et gérer AS2 des certificats. L'importation de certificats est la première étape du AS2 processus de Transfer Family.

AS2 Certificats d'importation

Le AS2 processus Transfer Family utilise des clés de certificat pour le chiffrement et la signature des informations transférées. Les partenaires peuvent utiliser la même clé dans les deux cas, ou une clé distincte pour chacune d'entre elles. Si vous disposez de clés de chiffrement communes conservées sous séquestre par un tiers de confiance afin que les données puissent être déchiffrées en cas de sinistre ou de faille de sécurité, nous vous recommandons de disposer de clés de signature distinctes. En utilisant des clés de signature distinctes (que vous ne transférez pas), vous ne compromettez pas les fonctionnalités de non-répudiation de vos signatures numériques.

Note

La longueur de la clé pour les AS2 certificats doit être d'au moins 2 048 bits et d'au plus 4 096 bits.

Les points suivants détaillent la manière dont les AS2 certificats sont utilisés au cours du processus.

  • Entrant AS2

    • Le partenaire commercial envoie sa clé publique pour le certificat de signature, et cette clé est importée dans le profil du partenaire.

    • La partie locale envoie la clé publique pour ses certificats de chiffrement et de signature. Le partenaire importe ensuite la ou les clés privées. La partie locale peut envoyer des clés de certificat distinctes pour la signature et le chiffrement, ou choisir d'utiliser la même clé dans les deux cas.

  • Sortant AS2

    • Le partenaire envoie la clé publique pour son certificat de chiffrement, et cette clé est importée dans le profil du partenaire.

    • La partie locale envoie la clé publique du certificat à signer et importe la clé privée du certificat à signer.

    • Si vous utilisez le protocole HTTPS, vous pouvez importer un certificat TLS (Transport Layer Security) auto-signé.

Pour plus de détails sur la création de certificats, consultezÉtape 1 : créer des certificats pour AS2.

Cette procédure explique comment importer des certificats à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultezÉtape 3 : Importer des certificats en tant que ressources de certificats Transfer Family.

Pour spécifier un AS2 certificat activé
  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation de gauche, sous Partenaires AS2 commerciaux, sélectionnez Certificats.

  3. Sélectionnez Importer un certificat.

  4. Dans la section Configuration du certificat, pour Description du certificat, entrez un nom facilement identifiable pour le certificat. Assurez-vous de pouvoir identifier l'objectif du certificat grâce à sa description. Choisissez également le rôle du certificat.

  5. Dans la section Utilisation du certificat, choisissez l'objectif de ce certificat. Il peut être utilisé pour le chiffrement, la signature ou les deux.

    Conseil : Si vous choisissez le chiffrement et la signature pour l'utilisation, Transfer Family crée deux certificats identiques (chacun ayant son propre identifiant) : l'un avec une valeur d'utilisation de ENCRYPTION et l'autre avec une valeur d'utilisation deSIGNING.

  6. Dans la section Contenu du certificat, fournissez un certificat public d'un partenaire commercial ou les clés publiques et privées d'un certificat local.

    Renseignez la section Contenu du certificat avec les informations appropriées.

    • Si vous choisissez Certificat auto-signé, vous ne fournissez pas la chaîne de certificats.

    • Collez le texte du certificat et sa chaîne dans le champ Certificat et chaîne de certificats.

    • S'il s'agit d'un certificat local, collez sa clé privée.

  7. Choisissez Importer le certificat pour terminer le processus et enregistrer les détails du certificat importé.

Note

Les certificats TLS ne peuvent être importés qu'en tant que certificats publics d'un partenaire. Si vous sélectionnez le certificat public d'un partenaire, puis que vous sélectionnez Transport Layer Security (TLS) pour l'utilisation, vous recevez un avertissement. En outre, les certificats TLS doivent être auto-signés (c'est-à-dire que vous devez sélectionner Certificat autosigné pour importer un certificat TLS).

AS2 rotation des certificats

Souvent, les certificats sont valides pour une période de six mois à un an. Vous avez peut-être configuré des profils que vous souhaitez conserver plus longtemps. Pour faciliter cela, Transfer Family propose une rotation des certificats. Vous pouvez spécifier plusieurs certificats pour un profil, ce qui vous permet de continuer à utiliser le profil pendant plusieurs années. Transfer Family utilise des certificats pour la signature (facultatif) et le chiffrement (obligatoire). Vous pouvez spécifier un seul certificat pour les deux objectifs, si vous le souhaitez.

La rotation des certificats est le processus de remplacement d'un ancien certificat expirant par un certificat plus récent. La transition est progressive afin d'éviter de perturber les transferts lorsqu'un partenaire de l'accord n'a pas encore configuré de nouveau certificat pour les transferts sortants ou pourrait envoyer des charges utiles signées ou chiffrées avec un ancien certificat alors qu'un certificat plus récent pourrait également être utilisé. La période intermédiaire pendant laquelle les anciens et les nouveaux certificats sont valides est appelée période de grâce.

Les certificats X.509 ont Not Before et Not After datent. Toutefois, il est possible que ces paramètres ne fournissent pas un contrôle suffisant aux administrateurs. Transfer Family fournit Active Date des Inactive Date paramètres permettant de contrôler quel certificat est utilisé pour les charges utiles sortantes et lequel est accepté pour les charges utiles entrantes.

Surveillance de l'expiration des certificats

Transfer Family publie une CloudWatch métrique Amazon DaysUntilExpiry après avoir importé un certificat. La métrique émet le nombre de jours entre la date actuelle et la date spécifiée InactiveDate sur le certificat. La métrique se trouve sous l'espace de Transfer AWS noms dans le tableau de bord des CloudWatch métriques.

Cette métrique comportera toujours une dimension métrique pour CertificateIdet inclura éventuellement une dimension de description si le client l'indique sur le certificat. Pour plus d'informations sur les dimensions CloudWatch métriques, consultez la section Dimension dans la référence de l'CloudWatch API.

Note

L'importation d'un certificat peut prendre jusqu'à une journée complète pour que Transfer Family émette cette métrique sur le compte client.

Vous pouvez utiliser cette métrique pour créer des CloudWatch alarmes qui vous avertissent lorsque les certificats approchent de l'expiration.

La sélection des certificats sortants utilise la valeur maximale antérieure à la date du transfert en tant Inactive Date que. Les processus entrants acceptent les certificats compris entre Active Date etInactive Date. Not Before Not After

Exemple de rotation de certificats

Le tableau suivant décrit une méthode possible pour configurer deux certificats pour un même profil.

Deux certificats en rotation
Nom NOT BEFORE(contrôlé par l'autorité de certification) ACTIVE DATE(défini par Transfer Family) INACTIVE DATE(défini par Transfer Family) NOT AFTER(défini par l'autorité de certification)
Cert1 (ancien certificat) 2019-11-01 01/01/2020 31 décembre 2020 01/01/2021
Cert2 (certificat plus récent) 2020-11-01 2020-06-01 01-06-2021 01/01/2025

Remarques :

  • Lorsque vous spécifiez un Active Date et Inactive Date pour un certificat, la plage doit être comprise entre Not Before etNot After.

  • Nous vous recommandons de configurer plusieurs certificats pour chaque profil, en vous assurant que la plage de dates d'activité de tous les certificats combinés couvre la durée pendant laquelle vous souhaitez utiliser le profil.

  • Nous vous recommandons de spécifier un délai de grâce entre le moment où votre ancien certificat devient inactif et le moment où votre nouveau certificat devient actif. Dans l'exemple précédent, le premier certificat ne devient inactif qu'au 31 décembre 2020, tandis que le second devient actif le 01/06/2020, offrant une période de grâce de 6 mois. Pendant la période allant du 01/06/2020 au 31/12/2020, les deux certificats sont actifs.