Kelola AS2 sertifikat - AWS Transfer Family

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola AS2 sertifikat

Topik ini membahas cara mengimpor dan mengelola AS2 sertifikat. Mengimpor sertifikat adalah langkah pertama dalam AS2 proses Transfer Family.

Impor AS2 sertifikat

AS2 Proses Transfer Family menggunakan kunci sertifikat untuk enkripsi dan penandatanganan informasi yang ditransfer. Mitra dapat menggunakan kunci yang sama untuk kedua tujuan, atau kunci terpisah untuk masing-masing. Jika Anda memiliki kunci enkripsi umum yang disimpan di escrow oleh pihak ketiga tepercaya sehingga data dapat didekripsi jika terjadi bencana atau pelanggaran keamanan, sebaiknya Anda memiliki kunci penandatanganan terpisah. Dengan menggunakan kunci penandatanganan terpisah (yang tidak Anda escrow), Anda tidak mengkompromikan fitur non-penolakan tanda tangan digital Anda.

catatan

Panjang kunci untuk AS2 sertifikat harus setidaknya 2048 bit, dan paling banyak 4096.

Poin-poin berikut merinci bagaimana AS2 sertifikat digunakan selama proses berlangsung.

  • Masuk AS2

    • Mitra dagang mengirimkan kunci publik mereka untuk sertifikat penandatanganan, dan kunci ini diimpor ke profil mitra.

    • Pihak lokal mengirimkan kunci publik untuk enkripsi dan sertifikat penandatanganan mereka. Mitra kemudian mengimpor kunci pribadi atau kunci. Pihak lokal dapat mengirim kunci sertifikat terpisah untuk penandatanganan dan enkripsi, atau dapat memilih untuk menggunakan kunci yang sama untuk kedua tujuan tersebut.

  • Keluar AS2

    • Mitra mengirimkan kunci publik untuk sertifikat enkripsi mereka, dan kunci ini diimpor ke profil mitra.

    • Pihak lokal mengirimkan kunci publik untuk sertifikat untuk ditandatangani, dan mengimpor kunci pribadi sertifikat untuk ditandatangani.

    • Jika Anda menggunakan HTTPS, Anda dapat mengimpor sertifikat Transport Layer Security (TLS) yang ditandatangani sendiri.

Untuk detail tentang cara membuat sertifikat, lihatLangkah 1: Buat sertifikat untuk AS2.

Prosedur ini menjelaskan cara mengimpor sertifikat dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihatLangkah 3: Impor sertifikat sebagai sumber sertifikat Transfer Family.

Untuk menentukan sertifikat AS2 -enabled
  1. Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

  2. Di panel navigasi kiri, di bawah Mitra AS2 Dagang, pilih Sertifikat.

  3. Pilih Impor sertifikat.

  4. Di bagian konfigurasi Sertifikat, untuk deskripsi Sertifikat, masukkan nama yang mudah diidentifikasi untuk sertifikat. Pastikan Anda dapat mengidentifikasi tujuan sertifikat dengan deskripsinya. Selain itu, pilih peran untuk sertifikat.

  5. Di bagian Penggunaan sertifikat, pilih tujuan sertifikat ini. Ini dapat digunakan untuk enkripsi, penandatanganan, atau keduanya.

    Tip: Jika Anda memilih Enkripsi dan menandatangani untuk penggunaan, Transfer Family akan membuat dua sertifikat identik (masing-masing memiliki ID sendiri): satu dengan nilai penggunaan ENCRYPTION dan satu dengan nilai penggunaanSIGNING.

  6. Di bagian Konten Sertifikat, berikan sertifikat publik dari mitra dagang, atau kunci publik dan pribadi untuk sertifikat lokal.

    Isi bagian Isi sertifikat dengan detail yang sesuai.

    • Jika Anda memilih Sertifikat yang ditandatangani sendiri, Anda tidak memberikan rantai sertifikat.

    • Tempelkan teks sertifikat dan rantainya ke bidang rantai Sertifikat dan Sertifikat.

    • Jika sertifikat ini adalah sertifikat lokal, tempel di kunci pribadinya.

  7. Pilih Impor sertifikat untuk menyelesaikan proses dan menyimpan rincian untuk sertifikat yang diimpor.

catatan

Sertifikat TLS hanya dapat diimpor sebagai sertifikat publik mitra. Jika Anda memilih sertifikat Publik dari mitra, lalu pilih Transport Layer Security (TLS) untuk penggunaan, Anda akan menerima peringatan. Selain itu, sertifikat TLS harus ditandatangani sendiri (yaitu, Anda harus memilih Self Signed Certificate untuk mengimpor sertifikat TLS).

AS2 rotasi sertifikat

Seringkali, sertifikat berlaku untuk jangka waktu enam bulan hingga satu tahun. Anda mungkin telah menyiapkan profil yang ingin Anda pertahankan untuk durasi yang lebih lama. Untuk memfasilitasi hal ini, Transfer Family menyediakan rotasi sertifikat. Anda dapat menentukan beberapa sertifikat untuk profil, memungkinkan Anda untuk tetap menggunakan profil selama beberapa tahun. Transfer Family menggunakan sertifikat untuk penandatanganan (opsional) dan enkripsi (wajib). Anda dapat menentukan satu sertifikat untuk kedua tujuan, jika Anda mau.

Rotasi sertifikat adalah proses penggantian sertifikat kedaluwarsa lama dengan sertifikat yang lebih baru. Transisi adalah transisi bertahap untuk menghindari gangguan transfer di mana mitra dalam perjanjian belum mengonfigurasi sertifikat baru untuk transfer keluar atau mungkin mengirim muatan yang ditandatangani atau dienkripsi dengan sertifikat lama selama periode ketika sertifikat yang lebih baru mungkin juga digunakan. Periode menengah di mana sertifikat lama dan baru valid disebut sebagai masa tenggang.

Sertifikat X.509 memiliki Not Before dan tanggal. Not After Namun, parameter ini mungkin tidak memberikan kontrol yang cukup untuk administrator. Transfer Family Inactive Date menyediakan Active Date dan mengatur untuk mengontrol sertifikat mana yang digunakan untuk muatan keluar dan mana yang diterima untuk muatan masuk.

Pemantauan kedaluwarsa sertifikat

Transfer Family menerbitkan CloudWatch metrik Amazon DaysUntilExpiry setelah mengimpor sertifikat. Metrik memancarkan jumlah hari antara tanggal saat ini dan tanggal yang ditentukan sebagai InactiveDate pada Sertifikat. Metrik ditemukan di bawah Transfer AWS namespace di dasbor CloudWatch metrik.

Metrik ini akan selalu memiliki dimensi metrik untuk CertificateIddan secara opsional akan menyertakan dimensi Deskripsi jika disediakan oleh pelanggan pada sertifikat. Untuk informasi selengkapnya tentang dimensi CloudWatch metrik, lihat Dimensi di Referensi CloudWatch API.

catatan

Diperlukan waktu hingga satu hari penuh setelah mengimpor Sertifikat untuk Transfer Family untuk memancarkan metrik ini ke akun pelanggan.

Anda dapat menggunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda saat sertifikat mendekati kedaluwarsa.

Pemilihan sertifikat keluar menggunakan nilai maksimum yang sebelum tanggal transfer sebagaiInactive Date. Proses masuk menerima sertifikat dalam kisaran Not Before dan Not After dan dalam kisaran Active Date danInactive Date.

Contoh rotasi sertifikat

Tabel berikut menjelaskan satu cara yang mungkin untuk mengkonfigurasi dua sertifikat untuk satu profil.

Dua sertifikat dalam rotasi
Nama NOT BEFORE(dikendalikan oleh otoritas sertifikat) ACTIVE DATE(diatur oleh Transfer Family) INACTIVE DATE(diatur oleh Transfer Family) NOT AFTER(ditetapkan oleh otoritas sertifikat)
Cert1 (sertifikat lama) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2 (sertifikat yang lebih baru) 01/11/2020 2020-06-01 2021-06-01 2025-01-01

Perhatikan hal berikut:

  • Saat Anda menentukan Active Date dan Inactive Date untuk sertifikat, rentang harus berada di dalam rentang antara Not Before danNot After.

  • Kami menyarankan Anda mengonfigurasi beberapa sertifikat untuk setiap profil, memastikan bahwa rentang tanggal aktif untuk semua sertifikat yang digabungkan mencakup jumlah waktu yang ingin Anda gunakan profil.

  • Kami menyarankan Anda menentukan waktu tenggang antara saat sertifikat lama Anda menjadi tidak aktif dan ketika sertifikat Anda yang lebih baru menjadi aktif. Dalam contoh sebelumnya, sertifikat pertama tidak menjadi tidak aktif hingga 2020-12-31, sedangkan sertifikat kedua menjadi aktif pada 2020-06-01, memberikan masa tenggang 6 bulan. Selama periode 2020-06-01 hingga 2020-12-31, kedua sertifikat aktif.