AS2 パートナーを管理する - AWS Transfer Family
AS2 証明書をインポートするAS2 証明書のローテーションAS2 プロファイルの作成AS2 アグリーメントの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AS2 パートナーを管理する

このトピックでは、AS2証明書、プロファイル、およびアグリーメントを管理する方法について説明します。

AS2 証明書をインポートする

Transfer Family AS2プロセスは、転送された情報の暗号化と署名の両方に証明書キーを使用します。パートナーは両方の目的で同じキーを使用することも、それぞれに別のキーを使用することもできます。災害やセキュリティ侵害が発生した場合にデータを復号化できるように、信頼できる第三者が共通の暗号鍵をエスクローに保管している場合は、別々の署名鍵を用意することをおすすめします。個別の署名鍵 (エスクローは行わない) を使用することで、電子署名の否認防止機能を損なうことがなくなります。

注記

AS2 証明書のキーの長さは、少なくとも 2048 ビット、最大 4096 ビットである必要があります。

以下のポイントは、プロセス中にAS2証明書がどのように使用されるかについて詳しく説明します。

  • インバウンド AS2

    • 取引相手は署名証明書の公開鍵を送信し、この鍵はパートナープロファイルにインポートされます。

    • ローカルパーティは、暗号化証明書と署名証明書用の公開鍵を送信します。その後、パートナーは 1 つまたは複数の秘密鍵をインポートします。ローカルパーティは、署名用と暗号化用に別々の証明書キーを送信することも、両方の目的で同じキーを使用することもできます。

  • アウトバウンド AS2

    • パートナーは暗号化証明書の公開鍵を送信し、この鍵はパートナープロファイルにインポートされます。

    • ローカルパーティは証明書の公開鍵を署名用に送信し、証明書の秘密鍵をインポートして署名します。

証明書を作成する方法については、ステップ 1: の証明書を作成する AS2 を参照してください。

この手順では、Transfer Family コンソールを使用して証明書をインポートする方法について説明します。 AWS CLI 代わりに を使用する場合は、「」を参照してくださいステップ 3: 証明書を Transfer Family 証明書リソースとしてインポートする

AS2有効な証明書を指定するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. 左側のナビゲーションペインのAS2取引パートナー で、証明書 を選択します。

  3. [証明書のインポート] を選択します。

  4. 証明書の説明」セクションに、簡単に識別できる証明書の名前を入力します。説明から証明書の目的を特定できることを確認します。さらに、証明書の役割を選択します。

  5. 証明書コンテンツ」セクションで、取引相手からの公開証明書、またはローカル証明書の公開鍵と秘密鍵を入力します。

  6. 証明書の使用方法」セクションで、この証明書の目的を選択します。暗号化、署名、またはその両方に使用できます。

    注記

    使用方法として [暗号化と署名] を選択した場合、TTransfer Family ilyは2つの同一の証明書(それぞれに独自のIDを持つ)を作成します。1つは ENCRYPTION の使用値がで、もう1つは SIGNING の使用値です。

  7. 証明書の内容」セクションに適切な詳細を入力します。

    • 自己署名証明書」を選択した場合は、証明書チェーンを提供しません。

    • 証明書の内容を貼り付けます。

    • 証明書が自己署名証明書でない場合は、証明書チェーンを提供します。

    • この証明書がローカル証明書の場合は、秘密鍵を貼り付けます。

  8. [証明書のインポート] を選択して処理を完了し、インポートした証明書の詳細を保存します。

AS2 証明書のローテーション

多くの場合、証明書は 6 か月から 1 年間有効です。プロファイルを設定して、長期間保存したい場合があります。これを容易にするために、Transfer Familyは証明書のローテーションを提供しています。プロファイルには複数の証明書を指定できるため、プロファイルを複数年間使用し続けることができます。Transfer Familyは、署名(オプション)と暗号化(必須)に証明書を使用します。希望すれば、両方の目的で単一の証明書を指定できます。

証明書のローテーションは、期限切れの古い証明書を新しい証明書に置き換えるプロセスです。契約のパートナーがアウトバウンド転送用の新しい証明書をまだ設定していない場合や、新しい証明書が使用されている可能性のある期間に、古い証明書で署名または暗号化されたペイロードを送信している可能性がある場合に、転送が中断されないように、移行は段階的に行われます。古い証明書と新しい証明書の両方が有効になる中間期間を「猶予期間」と呼びます。

X.509 証明書には Not Before 日付と Not After 日付があります。ただし、これらのパラメータでは管理者が十分に制御できない場合があります。Transfer Family は、アウトバウンドのペイロードにどの証明書を使用し、インバウンドのペイロードにど の証明書を受け入れるかを制御するために、Active Date および Inactive Date 設定を提供します。

アウトバウンド証明書の選択では、転送日より前の最大値が Inactive Date として使用されます。インバウンドプロセスでは、Not Before および Not After の範囲内、Active Date および Inactive Date の範囲内の証明書を受け付けます。

次の表は、1 つのプロファイルに 2 つの証明書を設定する方法の 1 つを示しています。

2 つの証明書をローテーション中
名前 NOT BEFORE (認証局によって管理) ACTIVE DATE (Transfer Family によって設定) INACTIVE DATE (Transfer Family によって設定) NOT AFTER (認証局によって設定)
Cert1 (古い証明書) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
証明書 2 (新しい証明書) 2020 年 11 月 1 日 2020-06-01 2021-06-01 2025-01-01

次の点に注意してください。

  • 証明書に Active DateInactive Date を指定する場合、範囲は Not BeforeNot After の間の範囲内である必要があります。

  • プロファイルごとに複数の証明書を設定して、すべての証明書を組み合わせた有効な日付範囲がプロファイルを使用する期間をカバーするようにすることをお勧めします。

  • 古い証明書が非アクティブになってから新しい証明書が有効になるまでの間にある程度の猶予時間を設定することをお勧めします。前の例では、最初の証明書は 2020-12-31 まで非アクティブにならず、2 番目の証明書は 2020-06-01 に有効になり、6 か月の猶予期間が与えられます。2020 年 6 月 1 日から 2020 年 12 月 31 日までの期間は、両方の証明書が有効です。

AS2 プロファイルの作成

この手順を使用して、ローカルプロファイルとパートナープロファイルの両方を作成します。この手順では、Transfer Family コンソールを使用してAS2プロファイルを作成する方法について説明します。 AWS CLI を代わりに使いたい場合は、ステップ 4: 自分と取引相手のプロフィールを作成する を参照してください。

AS2 プロファイルを作成するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. 左側のナビゲーションペインのAS2取引パートナー で、プロファイル を選択し、プロファイルの作成 を選択します。

  3. プロファイル設定セクションで、プロファイルの AS2 ID を入力します。この値は、AS2プロトコル固有のHTTPヘッダーas2-fromと、使用する証明書を決定する取引パートナーシップas2-toを識別するために使用されます。

  4. [プロファイルタイプ] セクションで、[ローカルプロファイル] または [パートナープロファイル] を選択します。

  5. 証明書」セクションで、ドロップダウンメニューから 1 つまたは複数の証明書を選択します。

    注記

    ドロップダウンメニューに表示されていない証明書をインポートする場合は、[新しい証明書をインポートする] を選択します。これにより、「証明書のインポート」画面に新しいブラウザウィンドウが開きます。証明書をインポートする手順については、AS2 証明書をインポートする を参照してください。

  6. (オプション) [Tags] セクションで、このプロファイルを識別するためにキーと値のペアを 1 つ以上指定します。

  7. [プロファイルの作成] を選択してプロセスを完了し、新しいプロファイルを保存します。

AS2 アグリーメントの作成

契約はTransfer Family サーバーに関連付けられています。これらは、AS2プロトコルを使用してメッセージまたはファイルを交換するために Transfer Family を使用して、インバウンド転送のために、外部のパートナー所有のソースから Transfer Family サーバーにAS2ファイルを送信する取引相手の詳細を指定します。

この手順では、Transfer Family コンソールを使用してAS2アグリーメントを作成する方法について説明します。 AWS CLI 代わりに を使用する場合は、「」を参照してくださいステップ 5: 自分とパートナーとの間で契約を作成する

Transfer Family サーバーの契約を作成するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. 左側のナビゲーションペインで、サーバー を選択し、AS2プロトコルを使用するサーバーを選択します。

  3. [サーバー詳細] ページで、[契約] セクションまで下にスクロールします。

    契約 ID とステータスが の契約セクションを示すコンソールのスクリーンショットACTIVE。

  4. 契約を追加」を選択します。

  5. 契約パラメータを次のように入力します。

    1. [契約設定] セクションで、説明的な名前を入力します。契約の目的を特定できることを確認します。また、契約書の [ステータス][有効](デフォルトで選択されている)または [無効] のいずれかに設定します。

    2. コミュニケーション設定」セクションで、ローカルプロファイルとパートナープロファイルを選択します。

    3. 受信トレイフォルダ設定セクションで、受信ファイルを保存する Amazon S3 バケットと、バケットにアクセスできるIAMロールを選択します。オプションで、バケットにファイルを保存するために使用するプレフィックス (フォルダ) を入力できます。

      例えば、バケットに DOC-EXAMPLE-BUCKET、プレフィックスに incoming を入力すると、受信ファイルは /DOC-EXAMPLE-BUCKET/incoming フォルダに保存されます。

    4. (オプション)「タグ」セクションにタグを追加します。

    5. 契約書のすべての情報を入力したら、「契約を作成」を選択します。

新しい契約がサーバー詳細ページの「契約」セクションに表示されます。