Gestisci AS2 i certificati - AWS Transfer Family
Certificati di importazione AS2 AS2 rotazione dei certificati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci AS2 i certificati

In questo argomento viene descritto come importare e gestire i AS2 certificati. L'importazione di certificati è il primo passo nel AS2 processo di Transfer Family.

  1. Importazione di certificati

  2. Crea profili AS2

  3. Creare un AS2 server

  4. Creare un AS2 accordo

  5. Configura i AS2 connettori

Certificati di importazione AS2

Il AS2 processo Transfer Family utilizza chiavi di certificato sia per la crittografia che per la firma delle informazioni trasferite. I partner possono utilizzare la stessa chiave per entrambi gli scopi o una chiave separata per ciascuno. Se disponi di chiavi di crittografia comuni conservate in deposito da una terza parte affidabile in modo che i dati possano essere decrittografati in caso di emergenza o violazione della sicurezza, ti consigliamo di disporre di chiavi di firma separate. Utilizzando chiavi di firma separate (che non vengono affidate a garanzia), non compromettete le funzionalità di non ripudio delle vostre firme digitali.

Nota

La lunghezza della chiave per AS2 i certificati deve essere di almeno 2048 bit e al massimo di 4096.

I seguenti punti descrivono in dettaglio come vengono utilizzati AS2 i certificati durante il processo.

  • In entrata AS2

    • Il partner commerciale invia la propria chiave pubblica per il certificato di firma e questa chiave viene importata nel profilo del partner.

    • La parte locale invia la chiave pubblica per i certificati di crittografia e firma. Il partner importa quindi la chiave o le chiavi private. La parte locale può inviare chiavi di certificato separate per la firma e la crittografia oppure può scegliere di utilizzare la stessa chiave per entrambi gli scopi.

  • In uscita AS2

    • Il partner invia la chiave pubblica per il proprio certificato di crittografia e questa chiave viene importata nel profilo del partner.

    • La parte locale invia la chiave pubblica per il certificato da firmare e importa la chiave privata del certificato per la firma.

    • Se utilizzi HTTPS, puoi importare un certificato Transport Layer Security (TLS) autofirmato.

Per informazioni dettagliate su come creare certificati, consulta. Fase 1: Creare certificati per AS2

Questa procedura spiega come importare i certificati utilizzando la console Transfer Family. Se AWS CLI invece desideri utilizzare la, consultaFase 3: Importazione dei certificati come risorse di certificati Transfer Family.

Per specificare un certificato AS2 -enabled

  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione a sinistra, in Partner AS2 commerciali, scegli Certificati.

  3. Selezionare Import certificate (Importa certificato).

  4. Nella sezione Configurazione del certificato, in Descrizione del certificato, inserisci un nome facilmente identificabile per il certificato. Assicurati di poter identificare lo scopo del certificato tramite la sua descrizione. Inoltre, scegli il ruolo per il certificato.

  5. Nella sezione Utilizzo del certificato, scegli lo scopo di questo certificato. Può essere usato per la crittografia, la firma o entrambi.

    Suggerimento: se scegli Crittografia e firma per l'utilizzo, Transfer Family crea due certificati identici (ognuno con il proprio ID): uno con un valore d'uso di ENCRYPTION e uno con un valore di utilizzo diSIGNING.

  6. Nella sezione Contenuto del certificato, fornisci un certificato pubblico rilasciato da un partner commerciale o le chiavi pubbliche e private per un certificato locale.

    Compila la sezione Contenuto del certificato con i dettagli appropriati.

    • Se scegli Certificato autofirmato, non fornisci la catena di certificati.

    • Incolla il testo del certificato e la relativa catena nel campo Certificato e catena di certificati.

    • Se questo certificato è un certificato locale, incollane la chiave privata.

  7. Scegli Importa certificato per completare il processo e salvare i dettagli del certificato importato.

Nota

I certificati TLS possono essere importati solo come certificato pubblico del partner. Se si seleziona Certificato pubblico di un partner e quindi si seleziona Transport Layer Security (TLS) per l'utilizzo, viene visualizzato un avviso. Inoltre, i certificati TLS devono essere autofirmati (ovvero, è necessario selezionare Certificato autofirmato per importare un certificato TLS).

AS2 rotazione dei certificati

Spesso i certificati sono validi per un periodo da sei mesi a un anno. È possibile che tu abbia impostato profili che desideri mantenere per un periodo più lungo. Per facilitare ciò, Transfer Family offre la rotazione dei certificati. È possibile specificare più certificati per un profilo, in modo da continuare a utilizzare il profilo per più anni. Transfer Family utilizza i certificati per la firma (opzionale) e la crittografia (obbligatoria). Se lo desideri, puoi specificare un singolo certificato per entrambi gli scopi.

La rotazione dei certificati è il processo di sostituzione di un vecchio certificato in scadenza con un certificato più recente. La transizione è graduale per evitare di interrompere i trasferimenti, laddove un partner dell'accordo non abbia ancora configurato un nuovo certificato per i trasferimenti in uscita o stia inviando payload firmati o crittografati con un vecchio certificato in un periodo in cui potrebbe essere in uso anche un certificato più recente. Il periodo intermedio in cui sono validi sia i vecchi che i nuovi certificati viene definito periodo di grazia.

I certificati X.509 hanno Not Before e date. Not After Tuttavia, questi parametri potrebbero non fornire un controllo sufficiente per gli amministratori. Transfer Family fornisce Active Date Inactive Date impostazioni per controllare quale certificato viene utilizzato per i payload in uscita e quale è accettato per i payload in entrata.

Monitoraggio della scadenza dei certificati

Transfer Family pubblica una CloudWatch metrica Amazon DaysUntilExpiry dopo l'importazione di un certificato. La metrica indica il numero di giorni tra la data corrente e la data specificata nel certificato. InactiveDate La metrica si trova nello spazio dei Transfer AWS nomi nella dashboard delle metriche. CloudWatch

Questa metrica avrà sempre una dimensione metrica CertificateIde facoltativamente includerà una dimensione Descrizione, se fornita dal cliente nel certificato. Per ulteriori informazioni sulle dimensioni CloudWatch metriche, consulta Dimension nel riferimento API. CloudWatch

Nota

Può essere necessario fino a un giorno intero dopo l'importazione di un Certificate for Transfer Family per emettere questa metrica sull'account del cliente.

Puoi utilizzare questa metrica per creare CloudWatch allarmi che ti avvisano quando i certificati stanno per scadere.

La selezione dei certificati in uscita utilizza il valore massimo precedente alla data del trasferimento come. Inactive Date I processi in entrata accettano certificati nell'intervallo di Not Before e Not After e nell'intervallo di Active Date e. Inactive Date

Esempio di rotazione dei certificati

La tabella seguente descrive un modo possibile per configurare due certificati per un singolo profilo.

Due certificati a rotazione
Nome NOT BEFORE(controllato dall'autorità di certificazione) ACTIVE DATE(impostato da Transfer Family) INACTIVE DATE(impostato da Transfer Family) NOT AFTER(impostato dall'autorità di certificazione)
Cert1 (certificato precedente) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2 (certificato più recente) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

Tieni presente quanto segue:

  • Quando si specifica un Active Date e Inactive Date per un certificato, l'intervallo deve essere compreso tra e. Not Before Not After

  • Ti consigliamo di configurare diversi certificati per ogni profilo, assicurandoti che l'intervallo di date attivo per tutti i certificati combinati copra il periodo di tempo per il quale desideri utilizzare il profilo.

  • Ti consigliamo di specificare un periodo di tolleranza tra il momento in cui il certificato precedente diventa inattivo e il momento in cui il certificato più recente diventa attivo. Nell'esempio precedente, il primo certificato non diventa inattivo fino al 31/12/2020, mentre il secondo certificato diventa attivo il 01/06/2020, garantendo un periodo di grazia di 6 mesi. Nel periodo dal 01/06/2020 al 31/12/2020, entrambi i certificati sono attivi.