翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AS2 パートナーを管理する
このトピックでは、AS2 証明書、プロファイル、および契約を管理する方法について説明します。
AS2 証明書のインポート
Transfer Family AS2 プロセスでは、転送された情報の暗号化と署名の両方に証明書キーを使用します。パートナーは両方の目的で同じキーを使用することも、それぞれに別のキーを使用することもできます。災害やセキュリティ侵害が発生した場合にデータを復号化できるように、信頼できる第三者が共通の暗号鍵をエスクローに保管している場合は、別々の署名鍵を用意することをおすすめします。個別の署名鍵 (エスクローは行わない) を使用することで、電子署名の否認防止機能を損なうことがなくなります。
注記
AS2 証明書のキー長は 2048 ビット以上、最大で 4096 ビットでなければなりません。
次の点では、この処理中に AS2 証明書がどのように使用されるかを詳しく説明します。
-
インバウンド AS2
-
取引相手は署名証明書の公開鍵を送信し、この鍵はパートナープロファイルにインポートされます。
-
ローカルパーティは、暗号化証明書と署名証明書用の公開鍵を送信します。その後、パートナーは 1 つまたは複数の秘密鍵をインポートします。ローカルパーティは、署名用と暗号化用に別々の証明書キーを送信することも、両方の目的で同じキーを使用することもできます。
-
-
アウトバウンド AS2
-
パートナーは暗号化証明書の公開鍵を送信し、この鍵はパートナープロファイルにインポートされます。
-
ローカルパーティは証明書の公開鍵を署名用に送信し、証明書の秘密鍵をインポートして署名します。
-
HTTPS を使用している場合は、自己署名 Transport Layer Security (TLS) 証明書をインポートできます。
-
証明書を作成する方法については、ステップ 1: AS2 の証明書を作成する を参照してください。
この手順では、Transfer Family コンソールを使用して証明書をインポートする方法について説明します。 AWS CLI 代わりに を使用する場合は、「」を参照してくださいステップ 3: 証明書を Transfer Family 証明書リソースとしてインポートする。
AS2 対応証明書を指定するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
左側のナビゲーションペインで、「AS2 トレーディングパートナー」の下にある「証明書」を選択します。
-
[証明書のインポート] を選択します。
-
「証明書の説明」セクションに、簡単に識別できる証明書の名前を入力します。説明から証明書の目的を特定できることを確認します。さらに、証明書の役割を選択します。
-
「証明書コンテンツ」セクションで、取引相手からの公開証明書、またはローカル証明書の公開鍵と秘密鍵を入力します。
-
「証明書の使用方法」セクションで、この証明書の目的を選択します。暗号化、署名、またはその両方に使用できます。
注記
使用方法として [暗号化と署名] を選択した場合、TTransfer Family ilyは2つの同一の証明書(それぞれに独自のIDを持つ)を作成します。1つは
ENCRYPTION
の使用値がで、もう1つはSIGNING
の使用値です。 -
「証明書の内容」セクションに適切な詳細を入力します。
-
「自己署名証明書」を選択した場合は、証明書チェーンを提供しません。
-
証明書の内容を貼り付けます。
-
証明書が自己署名証明書でない場合は、証明書チェーンを提供します。
-
この証明書がローカル証明書の場合は、秘密鍵を貼り付けます。
-
-
[証明書のインポート] を選択して処理を完了し、インポートした証明書の詳細を保存します。
注記
TLS 証明書は、パートナーのパブリック証明書としてのみインポートできます。パートナー からパブリック証明書を選択し、使用のために Transport Layer Security (TLS) を選択すると、警告が表示されます。また、TLS 証明書は自己署名する必要があります (つまり、TLS 証明書をインポートするには自己署名証明書を選択する必要があります)。
AS2 証明書のローテーション
多くの場合、証明書は 6 か月から 1 年間有効です。プロファイルを設定して、長期間保存したい場合があります。これを容易にするために、Transfer Familyは証明書のローテーションを提供しています。プロファイルには複数の証明書を指定できるため、プロファイルを複数年間使用し続けることができます。Transfer Familyは、署名(オプション)と暗号化(必須)に証明書を使用します。希望すれば、両方の目的で単一の証明書を指定できます。
証明書のローテーションは、期限切れの古い証明書を新しい証明書に置き換えるプロセスです。契約のパートナーがアウトバウンド転送用の新しい証明書をまだ設定していない場合や、新しい証明書が使用されている可能性のある期間に、古い証明書で署名または暗号化されたペイロードを送信している可能性がある場合に、転送が中断されないように、移行は段階的に行われます。古い証明書と新しい証明書の両方が有効になる中間期間を「猶予期間」と呼びます。
X.509 証明書には Not Before
日付と Not After
日付があります。ただし、これらのパラメータでは管理者が十分に制御できない場合があります。Transfer Family は、アウトバウンドのペイロードにどの証明書を使用し、インバウンドのペイロードにど の証明書を受け入れるかを制御するために、Active Date
および Inactive Date
設定を提供します。
アウトバウンド証明書の選択では、転送日より前の最大値が Inactive Date
として使用されます。インバウンドプロセスでは、Not Before
および Not After
の範囲内、Active Date
および Inactive Date
の範囲内の証明書を受け付けます。
次の表は、1 つのプロファイルに 2 つの証明書を設定する方法の 1 つを示しています。
2 つの証明書をローテーション中 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
名前 | NOT BEFORE(認証局による管理) | ACTIVE DATE(Transfer Family が設定) | INACTIVE DATE(Transfer Family が設定) | NOT AFTER(認証局によって設定される) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cert1 (古い証明書) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
証明書 2 (新しい証明書) | 2020 年 11 月 1 日 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
次の点に注意してください。
証明書に
Active Date
とInactive Date
を指定する場合、範囲はNot Before
とNot After
の間の範囲内である必要があります。-
プロファイルごとに複数の証明書を設定して、すべての証明書を組み合わせた有効な日付範囲がプロファイルを使用する期間をカバーするようにすることをお勧めします。
-
古い証明書が非アクティブになってから新しい証明書が有効になるまでの間にある程度の猶予時間を設定することをお勧めします。前の例では、最初の証明書は 2020-12-31 まで非アクティブにならず、2 番目の証明書は 2020-06-01 に有効になり、6 か月の猶予期間が与えられます。2020 年 6 月 1 日から 2020 年 12 月 31 日までの期間は、両方の証明書が有効です。
AS2 プロファイルの作成
この手順を使用して、ローカルプロファイルとパートナープロファイルの両方を作成します。ここでは、Transfer Family コンソールを使用して AS2 プロファイルを作成する方法について説明します。 AWS CLI を代わりに使いたい場合は、ステップ 4: 自分と取引相手のプロフィールを作成する を参照してください。
AS2 プロファイルを作成するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
左側のナビゲーションペインの「AS2 Trading Partners」で、「プロフィール」を選択し、「プロフィールを作成」を選択します。
-
「プロファイル設定」セクションで、プロファイルの AS2 ID を入力します。この値は、AS2 プロトコル固有の HTTP ヘッダ
as2-from
とas2-to
に使用され、取引パートナーシップを識別し、使用する証明書などを決定します。 -
[プロファイルタイプ] セクションで、[ローカルプロファイル] または [パートナープロファイル] を選択します。
-
「証明書」セクションで、ドロップダウンメニューから 1 つまたは複数の証明書を選択します。
注記
ドロップダウンメニューに表示されていない証明書をインポートする場合は、[新しい証明書をインポートする] を選択します。これにより、「証明書のインポート」画面に新しいブラウザウィンドウが開きます。証明書をインポートする手順については、AS2 証明書のインポート を参照してください。
-
(オプション) [Tags] セクションで、このプロファイルを識別するためにキーと値のペアを 1 つ以上指定します。
-
[プロファイルの作成] を選択してプロセスを完了し、新しいプロファイルを保存します。
AS2 契約の作成
契約はTransfer Family サーバーに関連付けられています。AS2プロトコルを使用してTransferFamilyを使用してメッセージまたはファイルを交換する取引パートナー向けの詳細を指定します。「インバウンド」転送(パートナー所有の外部ソースからTransTransfer Family ilyサーバーへのAS2ファイルの送信)
ここでは、Transfer Family コンソールを使用して AS2 契約を作成する方法について説明します。 AWS CLI 代わりに を使用する場合は、「」を参照してくださいステップ 5: 自分とパートナーとの間で契約を作成する。
Transfer Family サーバーの契約を作成するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
左側のナビゲーションペインで、[Servers] を選択し、AS2 プロトコルを使用するサーバーを選択します。
-
[サーバー詳細] ページで、[契約] セクションまで下にスクロールします。
-
「契約を追加」を選択します。
-
契約パラメータを次のように入力します。
-
[契約設定] セクションで、説明的な名前を入力します。契約の目的を特定できることを確認します。また、契約書の [ステータス] を [有効](デフォルトで選択されている)または [無効] のいずれかに設定します。
-
「コミュニケーション設定」セクションで、ローカルプロファイルとパートナープロファイルを選択します。
-
[Inbox フォルダ設定] セクションで、受信ファイルを保存する Amazon S3 バケットと、バケットにアクセスできる IAM ロールを選択します。オプションで、バケットにファイルを保存するために使用するプレフィックス (フォルダ) を入力できます。
例えば、バケットに
DOC-EXAMPLE-BUCKET
、プレフィックスにincoming
を入力すると、受信ファイルは/
フォルダに保存されます。DOC-EXAMPLE-BUCKET
/incoming -
(オプション)「タグ」セクションにタグを追加します。
-
契約書のすべての情報を入力したら、「契約を作成」を選択します。
-
新しい契約がサーバー詳細ページの「契約」セクションに表示されます。