Kelola mitra AS2 - AWS Transfer Family

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola mitra AS2

Topik ini membahas cara mengelola sertifikat, profil, dan perjanjian AS2.

Impor sertifikat AS2

Proses Transfer Family AS2 menggunakan kunci sertifikat untuk enkripsi dan penandatanganan informasi yang ditransfer. Mitra dapat menggunakan kunci yang sama untuk kedua tujuan, atau kunci terpisah untuk masing-masing. Jika Anda memiliki kunci enkripsi umum yang disimpan di escrow oleh pihak ketiga tepercaya sehingga data dapat didekripsi jika terjadi bencana atau pelanggaran keamanan, sebaiknya Anda memiliki kunci penandatanganan terpisah. Dengan menggunakan kunci penandatanganan terpisah (yang tidak Anda escrow), Anda tidak mengkompromikan fitur non-penolakan tanda tangan digital Anda.

catatan

Panjang kunci untuk sertifikat AS2 harus minimal 2048 bit, dan paling banyak 4096.

Poin-poin berikut merinci bagaimana sertifikat AS2 digunakan selama proses berlangsung.

  • AS2 masuk

    • Mitra dagang mengirimkan kunci publik mereka untuk sertifikat penandatanganan, dan kunci ini diimpor ke profil mitra.

    • Pihak lokal mengirimkan kunci publik untuk enkripsi dan sertifikat penandatanganan mereka. Mitra kemudian mengimpor kunci pribadi atau kunci. Pihak lokal dapat mengirim kunci sertifikat terpisah untuk penandatanganan dan enkripsi, atau dapat memilih untuk menggunakan kunci yang sama untuk kedua tujuan tersebut.

  • AS2 Keluar

    • Mitra mengirimkan kunci publik untuk sertifikat enkripsi mereka, dan kunci ini diimpor ke profil mitra.

    • Pihak lokal mengirimkan kunci publik untuk sertifikat untuk ditandatangani, dan mengimpor kunci pribadi sertifikat untuk ditandatangani.

    • Jika Anda menggunakan HTTPS, Anda dapat mengimpor sertifikat Transport Layer Security (TLS) yang ditandatangani sendiri.

Untuk detail tentang cara membuat sertifikat, lihatLangkah 1: Buat sertifikat untuk AS2.

Prosedur ini menjelaskan cara mengimpor sertifikat dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihatLangkah 3: Impor sertifikat sebagai sumber sertifikat Transfer Family.

Untuk menentukan sertifikat AS2
  1. Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

  2. Di panel navigasi kiri, di bawah Mitra Dagang AS2, pilih Sertifikat.

  3. Pilih Impor sertifikat.

  4. Di bagian Deskripsi sertifikat, masukkan nama yang mudah diidentifikasi untuk sertifikat. Pastikan Anda dapat mengidentifikasi tujuan sertifikat dengan deskripsinya. Selain itu, pilih peran untuk sertifikat.

  5. Di bagian Konten Sertifikat, berikan sertifikat publik dari mitra dagang, atau kunci publik dan pribadi untuk sertifikat lokal.

  6. Di bagian Penggunaan sertifikat, pilih tujuan untuk sertifikat ini. Ini dapat digunakan untuk enkripsi, penandatanganan, atau keduanya.

    catatan

    Jika Anda memilih Enkripsi dan menandatangani untuk penggunaan, Transfer Family akan membuat dua sertifikat identik (masing-masing memiliki ID sendiri): satu dengan nilai penggunaan ENCRYPTION dan satu dengan nilai penggunaanSIGNING.

  7. Isi bagian Isi sertifikat dengan detail yang sesuai.

    • Jika Anda memilih Sertifikat yang ditandatangani sendiri, Anda tidak memberikan rantai sertifikat.

    • Tempel di isi sertifikat.

    • Jika sertifikat bukan sertifikat yang ditandatangani sendiri, berikan rantai sertifikat.

    • Jika sertifikat ini adalah sertifikat lokal, tempel di kunci pribadinya.

  8. Pilih Impor sertifikat untuk menyelesaikan proses dan menyimpan rincian untuk sertifikat yang diimpor.

catatan

Sertifikat TLS hanya dapat diimpor sebagai sertifikat publik mitra. Jika Anda memilih sertifikat Publik dari mitra, lalu pilih Transport Layer Security (TLS) untuk penggunaan, Anda akan menerima peringatan. Selain itu, sertifikat TLS harus ditandatangani sendiri (yaitu, Anda harus memilih Self Signed Certificate untuk mengimpor sertifikat TLS).

Rotasi sertifikat AS2

Seringkali, sertifikat berlaku untuk jangka waktu enam bulan hingga satu tahun. Anda mungkin telah menyiapkan profil yang ingin Anda pertahankan untuk durasi yang lebih lama. Untuk memfasilitasi hal ini, Transfer Family menyediakan rotasi sertifikat. Anda dapat menentukan beberapa sertifikat untuk profil, memungkinkan Anda untuk tetap menggunakan profil selama beberapa tahun. Transfer Family menggunakan sertifikat untuk penandatanganan (opsional) dan enkripsi (wajib). Anda dapat menentukan satu sertifikat untuk kedua tujuan, jika Anda mau.

Rotasi sertifikat adalah proses penggantian sertifikat lama yang kedaluwarsa dengan sertifikat yang lebih baru. Transisi adalah transisi bertahap untuk menghindari gangguan transfer di mana mitra dalam perjanjian belum mengonfigurasi sertifikat baru untuk transfer keluar atau mungkin mengirim muatan yang ditandatangani atau dienkripsi dengan sertifikat lama selama periode ketika sertifikat yang lebih baru mungkin juga digunakan. Periode menengah di mana sertifikat lama dan baru valid disebut sebagai masa tenggang.

Sertifikat X.509 memiliki Not Before dan tanggal. Not After Namun, parameter ini mungkin tidak memberikan kontrol yang cukup untuk administrator. Transfer Family Inactive Date menyediakan Active Date dan mengatur untuk mengontrol sertifikat mana yang digunakan untuk muatan keluar dan mana yang diterima untuk muatan masuk.

Pemilihan sertifikat keluar menggunakan nilai maksimum yang sebelum tanggal transfer sebagaiInactive Date. Proses masuk menerima sertifikat dalam kisaran Not Before dan Not After dan dalam kisaran Active Date danInactive Date.

Tabel berikut menjelaskan satu cara yang mungkin untuk mengkonfigurasi dua sertifikat untuk satu profil.

Dua sertifikat dalam rotasi
Nama NOT BEFORE(dikendalikan oleh otoritas sertifikat) ACTIVE DATE(diatur oleh Transfer Family) INACTIVE DATE(diatur oleh Transfer Family) NOT AFTER(ditetapkan oleh otoritas sertifikat)
Cert1 (sertifikat lama) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2 (sertifikat yang lebih baru) 01/11/2020 2020-06-01 2021-06-01 2025-01-01

Perhatikan hal berikut:

  • Saat Anda menentukan Active Date dan Inactive Date untuk sertifikat, rentang harus berada di dalam rentang antara Not Before danNot After.

  • Kami menyarankan Anda mengonfigurasi beberapa sertifikat untuk setiap profil, memastikan bahwa rentang tanggal aktif untuk semua sertifikat yang digabungkan mencakup jumlah waktu yang ingin Anda gunakan profil.

  • Kami menyarankan Anda menentukan waktu tenggang antara saat sertifikat lama Anda menjadi tidak aktif dan ketika sertifikat Anda yang lebih baru menjadi aktif. Dalam contoh sebelumnya, sertifikat pertama tidak menjadi tidak aktif hingga 2020-12-31, sedangkan sertifikat kedua menjadi aktif pada 2020-06-01, memberikan masa tenggang 6 bulan. Selama periode 2020-06-01 hingga 2020-12-31, kedua sertifikat aktif.

Buat profil AS2

Gunakan prosedur ini untuk membuat profil lokal dan mitra. Prosedur ini menjelaskan cara membuat profil AS2 dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihatLangkah 4: Buat profil untuk Anda dan mitra dagang Anda.

Untuk membuat profil AS2
  1. Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

  2. Di panel navigasi kiri, di bawah AS2 Trading Partners, pilih Profil, lalu pilih Buat profil.

  3. Di bagian Konfigurasi profil, masukkan ID AS2 untuk profil. Nilai ini digunakan untuk header HTTP khusus protokol AS2 as2-from dan as2-to untuk mengidentifikasi kemitraan perdagangan, yang menentukan sertifikat yang akan digunakan, dan sebagainya.

  4. Di bagian Jenis profil, pilih Profil lokal atau Profil mitra.

  5. Di bagian Sertifikat, pilih satu atau beberapa sertifikat dari menu tarik-turun.

    catatan

    Jika Anda ingin mengimpor sertifikat yang tidak tercantum dalam menu tarik-turun, pilih Impor Sertifikat baru. Ini membuka jendela browser baru di layar Impor sertifikat. Untuk prosedur tentang mengimpor sertifikat lihatImpor sertifikat AS2.

  6. (Opsional) Di tag bagian, tentukan satu atau beberapa pasangan nilai kunci untuk membantu mengidentifikasi profil ini.

  7. Pilih Buat profil untuk menyelesaikan proses dan menyimpan profil baru.

Buat perjanjian AS2

Perjanjian terkait dengan server Transfer Family. Mereka menentukan detail untuk mitra dagang yang menggunakan protokol AS2 untuk bertukar pesan atau file dengan menggunakan Transfer Family, untuk transfer masuk—mengirim file AS2 dari sumber eksternal milik mitra ke server Transfer Family.

Prosedur ini menjelaskan cara membuat perjanjian AS2 dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihatLangkah 5: Buat kesepakatan antara Anda dan pasangan.

Untuk membuat perjanjian untuk server Transfer Family
  1. Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

  2. Di panel navigasi kiri, pilih Server, lalu pilih server yang menggunakan protokol AS2.

  3. Pada halaman detail server, gulir ke bawah ke bagian Perjanjian.

    Tangkapan layar konsol yang menampilkan bagian Perjanjian dengan ID perjanjian dan status AKTIF.
  4. Pilih Tambahkan perjanjian.

  5. Isi parameter perjanjian, sebagai berikut:

    1. Di bagian Konfigurasi Perjanjian, masukkan nama deskriptif. Pastikan bahwa Anda dapat mengidentifikasi tujuan perjanjian dengan namanya. Juga, tetapkan Status untuk perjanjian: Aktif (dipilih secara default) atau Tidak Aktif.

    2. Di bagian Konfigurasi komunikasi, pilih profil lokal dan profil mitra.

    3. Di bagian konfigurasi folder Kotak Masuk, pilih bucket Amazon S3 untuk menyimpan file masuk dan peran IAM yang dapat mengakses bucket. Secara opsional, Anda dapat memasukkan awalan (folder) yang akan digunakan untuk menyimpan file di ember.

      Misalnya, jika Anda memasukkan DOC-EXAMPLE-BUCKET bucket dan incoming awalan, file masuk Anda akan disimpan ke folder/DOC-EXAMPLE-BUCKET/incoming.

    4. (Opsional) Tambahkan tag di bagian Tag.

    5. Setelah Anda memasukkan semua informasi untuk perjanjian, pilih Buat perjanjian.

Perjanjian baru muncul di bagian Perjanjian pada halaman detail server.