管理AS2合作伙伴 - AWS Transfer Family
导入AS2证书AS2证书轮换创建AS2个人资料创建AS2协议

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理AS2合作伙伴

本主题讨论如何管理AS2证书、配置文件和协议。

导入AS2证书

Transf AS2 er Family 流程使用证书密钥对传输的信息进行加密和签名。合作伙伴可以为两个目的使用相同的密钥,也可以为每个目的使用单独的密钥。如果您的通用加密密钥由受信任的第三方托管,以便在发生灾难或安全漏洞时可以对数据进行解密,我们建议您使用单独的签名密钥。通过使用单独的签名密钥(您不托管),您不会损害数字签名的不可否认性功能。

注意

AS2证书的密钥长度必须至少为 2048 位,最多为 4096 位。

以下几点详细说明了在此过程中如何使用AS2证书。

  • 入境 AS2

    • 交易伙伴发送签名证书的公有密钥,该密钥将导入至合作伙伴配置文件中。

    • 本地方发送用于其加密和签名证书的公有密钥。然后,合作伙伴导入一个或多个私有密钥。本地方可以发送单独的证书密钥进行签名和加密,也可以选择将相同的密钥用于两种用途。

  • 出境 AS2

    • 合作伙伴发送其加密证书的公有密钥,该密钥将导入至合作伙伴配置文件中。

    • 本地方发送证书的公有密钥进行签名,并导入证书的私有密钥进行签名。

有关如何创建证书的详细信息,请参阅 步骤 1:为创建证书 AS2

此步骤说明了如何使用 Transfer Family 控制台导入证书。如果要 AWS CLI 改用,请参阅第 3 步:将证书作为 Transfer Family 证书资源导入

指定AS2启用了的证书

  1. 打开 AWS Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格的 “AS2贸易伙伴” 下,选择 “证书”。

  3. 选择导入证书

  4. 证书描述部分,输入易于识别的证书名称。确保您可以通过其描述来识别证书的用途。此外,选择证书的角色。

  5. 证书内容部分,提供交易伙伴提供的公有证书,或本地证书的公有和私有密钥。

  6. 证书使用部分中,选择此证书的用途。它可以用于加密、签名或两者兼而有之。

    注意

    如果您选择加密和签名进行使用,Transfer Family 会创建两个相同的证书(每个证书都有自己的 ID):一个使用值为 ENCRYPTION,另一个使用值为 SIGNING

  7. 证书内容部分填写相应的详细信息。

    • 如果选择自签名证书,则不提供证书链。

    • 粘贴证书的内容。

    • 如果证书不是自签名证书,请提供证书链。

    • 如果此证书是本地证书,请粘贴其私有密钥。

  8. 选择导入证书以完成该流程并保存导入证书的详细信息。

AS2证书轮换

通常,证书的有效期为六个月至一年。您可能已经设置想要保留更长时间的配置文件。为此,Transfer Family 提供了证书轮换功能。您可以为一个配置文件指定多个证书,以便您可以连续多年使用该配置文件。Transfer Family 使用证书进行签名(可选)和加密(必填)。如果您愿意,可以为这两个目的指定一个证书。

证书轮换是将即将过期的旧证书替换为较新的证书的过程。过渡是渐进的,以避免协议中的合作伙伴尚未为出站传输配置新证书,或者可能在使用新证书的时期发送使用旧证书签名或加密的有效负载,从而避免中断传输。新旧证书均有效的中间期称为宽限期

X.509 证书有 Not Before 日期和 Not After 日期。但是,这些参数可能无法为管理员提供足够的控制。Transfer Family 提供 Active DateInactive Date 设置以控制哪些证书用于出站负载,哪些证书被接受用于入站负载。

出站证书选择使用转移日期之前的最大值作为 Inactive Date。入站流程接受 Not BeforeNot After 范围内的证书,以及 Active DateInactive Date 范围内的证书。

下表描述了为单个配置文件配置两个证书的一种可能方法。

两个证书轮换
名称 NOT BEFORE (由证书颁发机构控制) ACTIVE DATE (由 Transfer Family 设定) INACTIVE DATE (由 Transfer Family 设定) NOT AFTER (由证书颁发机构设置)
证书 1(旧证书) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
证书 2(新证书) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

请注意以下几点:

  • 为证书指定 Active DateInactive Date 时,该范围必须介于 Not BeforeNot After 之间。

  • 我们建议您为每个配置文件配置多个证书,确保所有证书的有效日期范围涵盖您要使用该配置文件的时间。

  • 我们建议您在旧证书变为非活动状态和新证书处于活动状态之间指定一段宽限时间。在前面的示例中,第一个证书直到 2020 年 12 月 31 才处于非活动状态,而第二个证书在 2020 年 6 月 1 日生效,提供了 6 个月的宽限期。在 2020 年 6 月 1 日至 2020 年 12 月 31 日期间,两个证书均处于活动状态。

创建AS2个人资料

使用此步骤创建本地和合作伙伴配置文件。此过程说明了如何使用 Transfer Family 控制台创建AS2配置文件。如果要改用 AWS CLI ,请参阅 第 4 步:为您和您的交易伙伴创建配置文件

创建个人AS2资料

  1. 打开 AWS Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格的 “AS2贸易伙伴” 下,选择个人资料,然后选择创建个人资料

  3. 配置文件配置部分,输入配置文件的 AS2 ID。此值用于AS2协议特定的HTTP标头,as2-fromas2-to用于标识交易伙伴关系,后者决定要使用的证书等。

  4. 配置文件类型部分,选择本地配置文件合作伙伴配置文件

  5. 证书部分,从下拉菜单中选择一个或多个证书。

    注意

    如果要导入未在下拉菜单中列出的证书,请选择导入新证书。这将在导入证书屏幕上打开一个新的浏览器窗口。有关导入证书的步骤,请参阅导入AS2证书

  6. (可选)在标签部分中,指定一个或多个键值对以帮助标识此配置文件。

  7. 选择创建配置文件以完成该流程并保存新的配置文件。

创建AS2协议

协议与 Transfer Family 服务器相关联。它们为使用该AS2协议通过Transfer Family交换消息或文件的贸易伙伴以及入站传输(将AS2文件从合作伙伴拥有的外部来源发送到Transfer Family服务器)提供了详细信息。

此过程说明了如何使用 Transfer Family 控制台创建AS2协议。如果要 AWS CLI 改用,请参阅第 5 步:创建您与合作伙伴之间的协议

要为 Transfer Family 服务器创建协议

  1. 打开 AWS Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格中,选择服务器,然后选择使用该AS2协议的服务器。

  3. 在服务器详细信息页面上,向下滚动到协议部分。

    控制台屏幕截图显示 “协议” 部分,协议编号和状态为ACTIVE。

  4. 选择添加协议

  5. 填写协议参数,如下所示:

    1. 协议配置部分中,输入描述性名称。确保您可以通过协议名称来识别协议的目的。此外,还要设置协议的状态活动(默认选中)或非活动

    2. 通信配置部分,选择本地配置文件和合作伙伴配置文件。

    3. 收件箱文件夹配置部分,选择用于存储传入文件的 Amazon S3 存储桶和可以访问该存储桶的IAM角色。或者,您可以输入用于在存储桶中存储文件的前缀(文件夹)。

      例如,如果您为存储桶输入 DOC-EXAMPLE-BUCKET,为前缀输入 incoming,则传入的文件将保存到该 /DOC-EXAMPLE-BUCKET/incoming 文件夹。

    4. (可选)在标签部分中,添加标签。

    5. 输入协议的所有信息后,选择创建协议

新协议显示在服务器详细信息页面的协议部分。