翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AS2 証明書を管理する
このトピックでは、AS2 証明書をインポートして管理する方法について説明します。証明書のインポートは、Transfer Family の AS2 プロセスの最初のステップです。
-
証明書のインポート
AS2 証明書のインポート
Transfer Family AS2 プロセスでは、転送された情報の暗号化と署名の両方に証明書キーを使用します。パートナーは両方の目的で同じキーを使用することも、それぞれに別のキーを使用することもできます。災害やセキュリティ侵害が発生した場合にデータを復号化できるように、信頼できる第三者が共通の暗号鍵をエスクローに保管している場合は、別々の署名鍵を用意することをおすすめします。個別の署名鍵 (エスクローは行わない) を使用することで、電子署名の否認防止機能を損なうことがなくなります。
注記
AS2 証明書のキー長は 2048 ビット以上、最大で 4096 ビットでなければなりません。
次の点では、この処理中に AS2 証明書がどのように使用されるかを詳しく説明します。
-
インバウンド AS2
-
取引相手は署名証明書の公開鍵を送信し、この鍵はパートナープロファイルにインポートされます。
-
ローカルパーティは、暗号化証明書と署名証明書用の公開鍵を送信します。その後、パートナーは 1 つまたは複数の秘密鍵をインポートします。ローカルパーティは、署名用と暗号化用に別々の証明書キーを送信することも、両方の目的で同じキーを使用することもできます。
-
-
アウトバウンド AS2
-
パートナーは暗号化証明書の公開鍵を送信し、この鍵はパートナープロファイルにインポートされます。
-
ローカルパーティは証明書の公開鍵を署名用に送信し、証明書の秘密鍵をインポートして署名します。
-
HTTPS を使用している場合は、自己署名 Transport Layer Security (TLS) 証明書をインポートできます。
-
証明書を作成する方法については、ステップ 1: AS2 の証明書を作成する を参照してください。
この手順では、Transfer Family コンソールを使用して証明書をインポートする方法について説明します。 AWS CLI 代わりに を使用する場合は、「」を参照してくださいステップ 3: 証明書を Transfer Family 証明書リソースとしてインポートする。
AS2 対応証明書を指定するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
左側のナビゲーションペインで、「AS2 トレーディングパートナー」の下にある「証明書」を選択します。
-
[証明書のインポート] を選択します。
-
証明書設定セクションの証明書の説明に、証明書の識別しやすい名前を入力します。説明から証明書の目的を特定できることを確認します。さらに、証明書の役割を選択します。
-
「証明書の使用方法」セクションで、この証明書の目的を選択します。暗号化、署名、またはその両方に使用できます。
ヒント: 使用量の暗号化と署名を選択すると、Transfer Family は 2 つの同一の証明書を作成します (それぞれに独自の ID があります)。1 つは使用量値が で、
ENCRYPTIONもう 1 つは使用量値が ですSIGNING。 -
「証明書コンテンツ」セクションで、取引相手からの公開証明書、またはローカル証明書の公開鍵と秘密鍵を入力します。
「証明書の内容」セクションに適切な詳細を入力します。
-
「自己署名証明書」を選択した場合は、証明書チェーンを提供しません。
-
証明書テキストとそのチェーンを証明書と証明書チェーンフィールドに貼り付けます。
-
この証明書がローカル証明書の場合は、秘密鍵を貼り付けます。
-
-
[証明書のインポート] を選択して処理を完了し、インポートした証明書の詳細を保存します。
注記
TLS 証明書は、パートナーのパブリック証明書としてのみインポートできます。パートナーからパブリック証明書を選択し、使用のために Transport Layer Security (TLS) を選択すると、警告が表示されます。また、TLS 証明書は自己署名である必要があります (つまり、TLS 証明書をインポートするには自己署名証明書を選択する必要があります)。
AS2 証明書のローテーション
多くの場合、証明書は 6 か月から 1 年間有効です。プロファイルを設定して、長期間保存したい場合があります。これを容易にするために、Transfer Familyは証明書のローテーションを提供しています。プロファイルには複数の証明書を指定できるため、プロファイルを複数年間使用し続けることができます。Transfer Familyは、署名(オプション)と暗号化(必須)に証明書を使用します。希望すれば、両方の目的で単一の証明書を指定できます。
証明書のローテーションは、期限切れの古い証明書を新しい証明書に置き換えるプロセスです。契約のパートナーがアウトバウンド転送用の新しい証明書をまだ設定していない場合や、新しい証明書が使用されている可能性のある期間に、古い証明書で署名または暗号化されたペイロードを送信している可能性がある場合に、転送が中断されないように、移行は段階的に行われます。古い証明書と新しい証明書の両方が有効になる中間期間を「猶予期間」と呼びます。
X.509 証明書には Not Before 日付と Not After 日付があります。ただし、これらのパラメータでは管理者が十分に制御できない場合があります。Transfer Family は、アウトバウンドのペイロードにどの証明書を使用し、インバウンドのペイロードにど の証明書を受け入れるかを制御するために、Active Date および Inactive Date 設定を提供します。
証明書の有効期限のモニタリング
Transfer Family は、証明書をインポートDaysUntilExpiryした後に Amazon CloudWatch メトリクスを発行します。メトリクスは、現在の日付から証明書InactiveDateで として指定された日付までの日数を出力します。メトリクスは、CloudWatch メトリクスダッシュボードTransfer AWS の名前空間にあります。
このメトリクスには、常に CertificateId のメトリクスディメンションがあり、証明書に顧客から提供された場合は、オプションで説明ディメンションが含まれます。CloudWatch メトリクスディメンションの詳細については、CloudWatch API リファレンスの「ディメンション」を参照してください。
注記
Transfer Family の証明書をインポートしてから、このメトリクスを顧客アカウントに発行するまでに最大 1 日かかる場合があります。
このメトリクスを使用して、証明書の有効期限が近づいたときに通知する CloudWatch アラームを作成できます。
アウトバウンド証明書の選択では、転送日より前の最大値が Inactive Date として使用されます。インバウンドプロセスでは、Not Before および Not
After の範囲内、Active Date および Inactive Date の範囲内の証明書を受け付けます。
証明書ローテーションの例
次の表は、1 つのプロファイルに 2 つの証明書を設定する方法の 1 つを示しています。
| 名前 | NOT BEFORE(認証局による管理) | ACTIVE DATE(Transfer Family が設定) | INACTIVE DATE(Transfer Family が設定) | NOT AFTER(認証局によって設定される) |
|---|---|---|---|---|
| Cert1 (古い証明書) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 |
| 証明書 2 (新しい証明書) | 2020 年 11 月 1 日 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
次の点に注意してください:
-
証明書に
Active DateとInactive Dateを指定する場合、範囲はNot BeforeとNot Afterの間の範囲内である必要があります。 -
プロファイルごとに複数の証明書を設定して、すべての証明書を組み合わせた有効な日付範囲がプロファイルを使用する期間をカバーするようにすることをお勧めします。
-
古い証明書が非アクティブになってから新しい証明書が有効になるまでの間にある程度の猶予時間を設定することをお勧めします。前の例では、最初の証明書は 2020-12-31 まで非アクティブにならず、2 番目の証明書は 2020-06-01 に有効になり、6 か月の猶予期間が与えられます。2020 年 6 月 1 日から 2020 年 12 月 31 日までの期間は、両方の証明書が有効です。
