本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AS2 合作夥伴
本主題討論如何管理 AS2 憑證、設定檔和合約。
匯入 AS2 憑證
Transfer Family AS2 程序會使用憑證金鑰來加密和簽署傳輸的資訊。合作夥伴可以為這兩個目的使用相同的金鑰,或為每個使用個別的金鑰。如果您的通用加密金鑰由受信任的第三方保存在委託中,以便在發生災難或安全漏洞時解密資料,我們建議您使用單獨的簽署金鑰。透過使用不同的簽署金鑰 (您不會委託),您不會損害數位簽章的不可否認性功能。
注意
AS2 憑證的金鑰長度必須至少為 2048 位元,且最多為 4096 個。
以下幾點詳細說明了在此過程中如何使用 AS2 證書。
-
入境
-
交易夥伴傳送其簽署憑證的公開金鑰,而此金鑰會匯入合作夥伴設定檔。
-
本機方傳送其加密和簽署憑證的公開金鑰。然後,合作夥伴導入一個或多個私鑰。本機方可以傳送個別的憑證金鑰進行簽署和加密,或者可以選擇使用相同的金鑰來達到這兩個目的。
-
-
出站 AS2
-
合作夥伴會傳送其加密憑證的公開金鑰,而此金鑰會匯入合作夥伴設定檔。
-
本機方傳送憑證的公開金鑰進行簽署,並匯入憑證的私密金鑰以進行簽署。
-
如果您使用 HTTPS,則可以匯入自我簽署的傳輸層安全性 (TLS) 憑證。
-
如需如何建立憑證的詳細資訊,請參閱步驟 1:為 AS2 建立憑證。
此程序說明如何使用 Transfer Family 主控台匯入憑證。如果您想要 AWS CLI 改用,請參閱步驟 3:將憑證匯入為 Transfer Family 憑證資源。
若要指定啟用 AS2 的憑證
-
請在以下位置開啟 AWS Transfer Family 主控台。
https://console.aws.amazon.com/transfer/ -
在左側導覽窗格的「AS2 交易夥伴」下,選擇「憑證」。
-
選擇 Import certificate (匯入憑證)。
-
在「憑證說明」區段中,輸入易於識別的憑證名稱。請確定您可以透過憑證的描述來識別憑證的用途。此外,請選擇憑證的角色。
-
在「憑證內容」區段中,提供來自交易夥伴的公開憑證,或提供本機憑證的公開和私密金鑰。
-
在 [憑證使用] 區段中,選擇此憑證的用途。它可以用於加密,簽名,或兩者兼而有之。
注意
如果您選擇加密並簽署用法,Transfer Family 會建立兩個相同的憑證 (每個憑證都有自己的 ID):一個使用值為,另一個使用值為
SIGNING
。ENCRYPTION
-
在「憑證內容」區段中填入適當的詳細資料。
-
如果您選擇自我簽署憑證,則不會提供憑證鏈結。
-
貼上憑證的內容。
-
如果憑證不是自我簽署憑證,請提供憑證鏈結。
-
如果此憑證是本機憑證,請貼上其私密金鑰。
-
-
選擇匯入憑證以完成程序並儲存匯入憑證的詳細資料。
注意
TLS 憑證只能匯入為合作夥伴的公開憑證。如果您從合作夥伴選取公用憑證,然後針對用途選取傳輸層安全性 (TLS),您會收到警告。此外,TLS 憑證必須是自我簽署的 (也就是說,您必須選取「自我簽署憑證」才能匯入 TLS 憑證)。
AS2 證書輪換
通常,憑證的有效期為六個月到一年。您可能已設定要保留較長時間的設定檔。為了便於此,Transfer Family 提供憑證輪替。您可以為一個設定檔指定多個憑證,讓您可以持續使用該設定檔多年。Transfer Family 使用憑證進行簽署 (選用) 和加密 (強制性)。如果您願意,您可以為這兩種目的指定單一憑證。
憑證輪替是以較新的憑證取代舊即將到期的憑證的程序。此轉換是一種循序漸進的方法,以避免在合約中的合作夥伴尚未設定輸出傳輸的新憑證,或者可能會在使用較新憑證的期間傳送使用舊憑證簽署或加密的承載。新舊憑證都有效的中繼期間稱為寬限期。
X.509 憑證具有Not Before
和Not After
日期。但是,這些參數可能無法為管理員提供足夠的控制。Transfer Family 提供Active Date
和Inactive Date
設定,可控制輸出承載使用哪個憑證,以及輸入承載可接受的憑證。
輸出憑證選擇會使用傳輸日期之前的最大值作為Inactive Date
。輸入程序接受範圍內的憑證,Not Before
Not After
且範圍在Active Date
和範圍內Inactive Date
。
下表說明針對單一設定檔設定兩個憑證的一種可能方法。
輪替中的兩個證書 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
名稱 | NOT BEFORE(由憑證授權單位控制) | ACTIVE DATE(由 Transfer Family 設置) | INACTIVE DATE(由 Transfer Family 設置) | NOT AFTER(由憑證授權單位設定) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
驗證碼 1 (較舊的憑證) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
證書 2(較新的證書) | 2020-11-01 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
注意下列事項:
當您為憑證指
Inactive Date
定Active Date
和時,範圍必須在Not Before
和之間的範圍內Not After
。-
建議您為每個設定檔設定數個憑證,確定所有合併憑證的有效日期範圍涵蓋您要使用設定檔的時間長度。
-
我們建議您指定從舊憑證變成非作用中狀態到新憑證啟用之間的寬限時間。在前面的範例中,第一個憑證在 2020-12-31 之前不會變成非作用中狀態,而第二個憑證在 2020-06-01 上啟用,提供 6 個月的寬限期。在 2020 年 6 月 1 日至 2020 年 12 月 31 日期間,兩個憑證均處於有效狀態。
建立 AS2 設定檔
使用此程序來建立本機和合作夥伴設定檔。此程序說明如何使用「Transfer Family」主控台建立 AS2 設定檔。如果您想要 AWS CLI 改用,請參閱步驟 4:為您和您的交易夥伴建立個人檔案。
建立 AS2 設定檔的步驟
-
請在以下位置開啟 AWS Transfer Family 主控台。
https://console.aws.amazon.com/transfer/ -
在左側導覽窗格的「AS2 交易夥伴」下,選擇「設定檔」,然後選擇「建立設定檔」。
-
在「設定檔組態」區段中,輸入設定檔的 AS2 ID。此值用於 AS2 通訊協定特定的 HTTP 標頭,
as2-to
以as2-from
及識別交易夥伴關係 (決定要使用的憑證等)。 -
在 [設定檔類型] 區段中,選擇 [本機設定檔] 或 [合作夥伴
-
在「憑證」區段中,從下拉式功能表中選擇一或多個憑證。
注意
如果您要匯入下拉式功能表中未列出的憑證,請選取「匯入新憑證」。這會在「匯入憑證」畫面上開啟新的瀏覽器視窗。如需有關匯入憑證的程序,請參閱匯入 AS2 憑證。
-
(選擇性) 在「標籤」區段中,指定一或多個索引鍵值配對,以協助識別此設定檔。
-
選擇「創建配置文件」以完成該過程並保存新配置文件。
建立 AS2 協議
合約與 Transfer Family 伺服器相關聯。他們會為使用 AS2 通訊協定來交換訊息或檔案的交易夥伴指定詳細資料,使用 Transfer Family 進行輸入傳輸 — 將 AS2 檔案從外部合作夥伴擁有的來源傳送至 Transfer Family 伺服器。
此程序說明如何使用「Transfer Family」主控台建立 AS2 合約。如果您想要 AWS CLI 改用,請參閱步驟 5:建立您與合作夥伴之間的協議。
建立 Transfer Family 伺服器的合約
-
請在以下位置開啟 AWS Transfer Family 主控台。
https://console.aws.amazon.com/transfer/ -
在左側導覽窗格中,選擇 [伺服器],然後選擇使用 AS2 通訊協定的伺服器。
-
在伺服器詳細資訊頁面上,向下捲動至「合約」區段。
-
選擇「新增協議」。
-
填寫協議參數,如下所示:
-
在「合約組態」區段中,輸入描述性名稱。請確定您可以透過合約的名稱來識別合約的用途。此外,請設定協定的「狀態」:「作用中」(預設選取) 或「非作用中」。
-
在「通訊設定」區段中,選擇本機設定檔和合作夥伴設定檔。
-
在「收件匣資料夾設定」區段中,選擇 Amazon S3 儲存貯體來存放傳入檔案,以及可存取儲存貯體的 IAM 角色。您可以選擇性地輸入字首 (資料夾),以用來儲存值區中的檔案。
例如,如果您
DOC-EXAMPLE-BUCKET
為值區和incoming
字首輸入,則傳入的檔案會儲存至資/
料夾。DOC-EXAMPLE-BUCKET
/incoming -
(選擇性) 在「標籤」區段中新增標籤。
-
輸入協議的所有資訊之後,請選擇「建立協議」。
-
新合約會顯示在伺服器詳細資訊頁面的「合約」區段中。