Gérer les AS2 partenaires - AWS Transfer Family
AS2Certificats d'importationAS2rotation des certificatsCréation de AS2 profilsCréez des AS2 accords

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les AS2 partenaires

Cette rubrique explique comment gérer les AS2 certificats, les profils et les accords.

AS2Certificats d'importation

Le AS2 processus Transfer Family utilise des clés de certificat pour le chiffrement et la signature des informations transférées. Les partenaires peuvent utiliser la même clé dans les deux cas, ou une clé distincte pour chacune d'entre elles. Si vous disposez de clés de chiffrement communes conservées sous séquestre par un tiers de confiance afin que les données puissent être déchiffrées en cas de sinistre ou de faille de sécurité, nous vous recommandons de disposer de clés de signature distinctes. En utilisant des clés de signature distinctes (que vous ne transférez pas), vous ne compromettez pas les fonctionnalités de non-répudiation de vos signatures numériques.

Note

La longueur de la clé pour les AS2 certificats doit être d'au moins 2 048 bits et d'au plus 4 096 bits.

Les points suivants détaillent la manière dont les AS2 certificats sont utilisés au cours du processus.

  • Entrant AS2

    • Le partenaire commercial envoie sa clé publique pour le certificat de signature, et cette clé est importée dans le profil du partenaire.

    • La partie locale envoie la clé publique pour ses certificats de chiffrement et de signature. Le partenaire importe ensuite la ou les clés privées. La partie locale peut envoyer des clés de certificat distinctes pour la signature et le chiffrement, ou choisir d'utiliser la même clé dans les deux cas.

  • Sortant AS2

    • Le partenaire envoie la clé publique pour son certificat de chiffrement, et cette clé est importée dans le profil du partenaire.

    • La partie locale envoie la clé publique du certificat à signer et importe la clé privée du certificat à signer.

Pour plus de détails sur la création de certificats, consultezÉtape 1 : créer des certificats pour AS2.

Cette procédure explique comment importer des certificats à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultezÉtape 3 : Importer des certificats en tant que ressources de certificats Transfer Family.

Pour spécifier un AS2 certificat activé

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation de gauche, sous Partenaires AS2 commerciaux, sélectionnez Certificats.

  3. Sélectionnez Importer un certificat.

  4. Dans la section Description du certificat, entrez un nom facilement identifiable pour le certificat. Assurez-vous de pouvoir identifier l'objectif du certificat grâce à sa description. Choisissez également le rôle du certificat.

  5. Dans la section Contenu du certificat, fournissez un certificat public d'un partenaire commercial ou les clés publiques et privées d'un certificat local.

  6. Dans la section Utilisation du certificat, choisissez l'objectif de ce certificat. Il peut être utilisé pour le chiffrement, la signature ou les deux.

    Note

    Si vous choisissez le chiffrement et la signature pour l'utilisation, Transfer Family crée deux certificats identiques (chacun ayant son propre identifiant) : l'un avec une valeur d'utilisation de ENCRYPTION et l'autre avec une valeur d'utilisation deSIGNING.

  7. Renseignez la section Contenu du certificat avec les informations appropriées.

    • Si vous choisissez Certificat auto-signé, vous ne fournissez pas la chaîne de certificats.

    • Collez le contenu du certificat.

    • S'il ne s'agit pas d'un certificat auto-signé, fournissez la chaîne de certificats.

    • S'il s'agit d'un certificat local, collez sa clé privée.

  8. Choisissez Importer le certificat pour terminer le processus et enregistrer les détails du certificat importé.

AS2rotation des certificats

Souvent, les certificats sont valides pour une période de six mois à un an. Vous avez peut-être configuré des profils que vous souhaitez conserver plus longtemps. Pour faciliter cela, Transfer Family propose une rotation des certificats. Vous pouvez spécifier plusieurs certificats pour un profil, ce qui vous permet de continuer à utiliser le profil pendant plusieurs années. Transfer Family utilise des certificats pour la signature (facultatif) et le chiffrement (obligatoire). Vous pouvez spécifier un seul certificat pour les deux objectifs, si vous le souhaitez.

La rotation des certificats consiste à remplacer un ancien certificat expirant par un certificat plus récent. La transition est progressive afin d'éviter de perturber les transferts lorsqu'un partenaire de l'accord n'a pas encore configuré de nouveau certificat pour les transferts sortants ou pourrait envoyer des charges utiles signées ou chiffrées avec un ancien certificat alors qu'un certificat plus récent pourrait également être utilisé. La période intermédiaire pendant laquelle les anciens et les nouveaux certificats sont valides est appelée période de grâce.

Les certificats X.509 ont Not Before et Not After datent. Toutefois, il est possible que ces paramètres ne fournissent pas un contrôle suffisant aux administrateurs. Transfer Family fournit Active Date des Inactive Date paramètres permettant de contrôler quel certificat est utilisé pour les charges utiles sortantes et lequel est accepté pour les charges utiles entrantes.

La sélection des certificats sortants utilise la valeur maximale antérieure à la date du transfert en tant Inactive Date que. Les processus entrants acceptent les certificats compris entre Active Date etInactive Date. Not Before Not After

Le tableau suivant décrit une méthode possible pour configurer deux certificats pour un même profil.

Deux certificats en rotation
Nom NOT BEFORE (contrôlé par l'autorité de certification) ACTIVE DATE (défini par Transfer Family) INACTIVE DATE (défini par Transfer Family) NOT AFTER (défini par l'autorité de certification)
Cert1 (ancien certificat) 2019-11-01 01/01/2020 31 décembre 2020 01/01/2021
Cert2 (certificat plus récent) 2020-11-01 2020-06-01 01-06-2021 01/01/2025

Notez ce qui suit :

  • Lorsque vous spécifiez un Active Date et Inactive Date pour un certificat, la plage doit être comprise entre Not Before etNot After.

  • Nous vous recommandons de configurer plusieurs certificats pour chaque profil, en vous assurant que la plage de dates d'activité de tous les certificats combinés couvre la durée pendant laquelle vous souhaitez utiliser le profil.

  • Nous vous recommandons de spécifier un délai de grâce entre le moment où votre ancien certificat devient inactif et le moment où votre nouveau certificat devient actif. Dans l'exemple précédent, le premier certificat ne devient inactif qu'au 31 décembre 2020, tandis que le second devient actif le 01/06/2020, offrant une période de grâce de 6 mois. Pendant la période allant du 01/06/2020 au 31/12/2020, les deux certificats sont actifs.

Création de AS2 profils

Utilisez cette procédure pour créer des profils locaux et partenaires. Cette procédure explique comment créer des AS2 profils à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultezÉtape 4 : Créez des profils pour vous et votre partenaire commercial.

Pour créer un AS2 profil

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation de gauche, sous Partenaires AS2 commerciaux, sélectionnez Profils, puis Créer un profil.

  3. Dans la section Configuration du profil, entrez l'AS2ID du profil. Cette valeur est utilisée pour les HTTP en-têtes AS2 spécifiques au protocole as2-from et as2-to pour identifier le partenariat commercial, qui détermine les certificats à utiliser, etc.

  4. Dans la section Type de profil, sélectionnez Profil local ou Profil partenaire.

  5. Dans la section Certificats, choisissez un ou plusieurs certificats dans le menu déroulant.

    Note

    Si vous souhaitez importer un certificat qui ne figure pas dans le menu déroulant, sélectionnez Importer un nouveau certificat. Cela ouvre une nouvelle fenêtre de navigateur sur l'écran Importer le certificat. Pour la procédure d'importation de certificats, voirAS2Certificats d'importation.

  6. (Facultatif) Dans la section Tags, spécifiez une ou plusieurs paires clé-valeur pour aider à identifier ce profil.

  7. Choisissez Créer un profil pour terminer le processus et enregistrer le nouveau profil.

Créez des AS2 accords

Les accords sont associés aux serveurs Transfer Family. Ils précisent les détails pour les partenaires commerciaux qui utilisent le AS2 protocole pour échanger des messages ou des fichiers à l'aide de Transfer Family, pour les transferts entrants, c'est-à-dire l'envoi de AS2 fichiers depuis une source externe appartenant au partenaire vers un serveur Transfer Family.

Cette procédure explique comment créer des AS2 accords à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultezÉtape 5 : Créez un accord entre vous et votre partenaire.

Pour créer un accord pour un serveur Transfer Family

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation de gauche, choisissez Servers, puis choisissez un serveur qui utilise le AS2 protocole.

  3. Sur la page des détails du serveur, faites défiler la page vers le bas jusqu'à la section Accords.

    Capture d'écran de la console montrant la section Accords avec un ID d'accord et un statut de ACTIVE.

  4. Choisissez Ajouter un accord.

  5. Renseignez les paramètres de l'accord comme suit :

    1. Dans la section Configuration de l'accord, entrez un nom descriptif. Assurez-vous de pouvoir identifier le but de l'accord par son nom. Définissez également le statut de l'accord : actif (sélectionné par défaut) ou inactif.

    2. Dans la section Configuration des communications, choisissez un profil local et un profil partenaire.

    3. Dans la section Configuration du dossier de boîte de réception, choisissez un compartiment Amazon S3 pour stocker les fichiers entrants et un IAM rôle pouvant accéder au compartiment. Vous pouvez éventuellement saisir un préfixe (dossier) à utiliser pour stocker les fichiers dans le compartiment.

      Par exemple, si vous entrez DOC-EXAMPLE-BUCKET votre bucket et incoming votre préfixe, vos fichiers entrants sont enregistrés /DOC-EXAMPLE-BUCKET/incoming dans le dossier.

    4. (Facultatif) Ajoutez des balises dans la section Tags.

    5. Après avoir saisi toutes les informations relatives à l'accord, choisissez Créer un accord.

Le nouvel accord apparaît dans la section Accords de la page de détails du serveur.