管理AS2合作夥伴 - AWS Transfer Family
匯入AS2憑證AS2 憑證輪換建立AS2設定檔建立AS2協議

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理AS2合作夥伴

本主題討論如何管理AS2憑證、設定檔和協議。

匯入AS2憑證

Transfer Family AS2 程序會使用憑證金鑰來加密和簽署傳輸的資訊。合作夥伴可以將相同的金鑰用於這兩個目的,或對每個目的使用單獨的金鑰。如果您有受信任第三方託管中存放的常見加密金鑰,以便在發生災難或安全漏洞時解密資料,我們建議您使用單獨的簽署金鑰。使用單獨的簽署金鑰 (您不代書),不會損害數位簽章的不可否認功能。

注意

AS2 憑證的金鑰長度必須至少為 2048 位元,最多為 4096 位元。

下列各點詳細說明在程序期間如何使用AS2憑證。

  • 傳入 AS2

    • 交易合作夥伴會傳送簽署憑證的公有金鑰,此金鑰會匯入合作夥伴設定檔。

    • 本機方會傳送其加密和簽署憑證的公有金鑰。然後,合作夥伴匯入私有金鑰或金鑰。本機方可以傳送單獨的憑證金鑰以進行簽署和加密,也可以選擇將相同的金鑰用於這兩個目的。

  • 傳出 AS2

    • 合作夥伴會傳送其加密憑證的公有金鑰,此金鑰會匯入合作夥伴設定檔。

    • 本機方會傳送憑證的公有金鑰以供簽署,並匯入憑證的私有金鑰以供簽署。

如需如何建立憑證的詳細資訊,請參閱 步驟 1:為 建立憑證 AS2

此程序說明如何使用 Transfer Family 主控台匯入憑證。如果您想要 AWS CLI 改為使用 ,請參閱 步驟 3:將憑證匯入為 Transfer Family 憑證資源

若要指定已啟用 AS2的憑證

  1. 在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/

  2. 在左側導覽窗格中的交易AS2合作夥伴 下,選擇憑證

  3. 選擇 Import certificate (匯入憑證)

  4. 憑證描述區段中,輸入憑證的易識別名稱。請確定您可以透過憑證的描述來識別憑證的目的。此外,選擇憑證的角色。

  5. 憑證內容區段中,提供貿易合作夥伴的公有憑證,或本機憑證的公有和私有金鑰。

  6. 憑證使用區段中,選擇此憑證的目的。它可用於加密、簽署或兩者。

    注意

    如果您選擇加密並簽署使用,Transfer Family 會建立兩個相同的憑證 (每個憑證都有自己的 ID):一個使用值為 ENCRYPTION,另一個使用值為 SIGNING

  7. 將適當的詳細資訊填入憑證內容區段。

    • 如果您選擇自我簽署憑證 ,則不會提供憑證鏈。

    • 貼上憑證的內容。

    • 如果憑證不是自我簽署憑證,請提供憑證鏈。

    • 如果此憑證是本機憑證,請貼在其私有金鑰中。

  8. 選擇匯入憑證以完成程序,並儲存匯入憑證的詳細資訊。

AS2 憑證輪換

通常,憑證的有效期為六個月到一年。您可能已設定要長時間保留的設定檔。為了方便此操作,Transfer Family 提供憑證輪換。您可以為設定檔指定多個憑證,讓您繼續使用設定檔多年。Transfer Family 使用憑證簽署 (選用) 和加密 (必要)。如果您願意,可以為這兩個目的指定單一憑證。

憑證輪換是使用較新的憑證取代舊過期憑證的程序。如果協議中的合作夥伴尚未為傳出傳輸設定新憑證,或可能正在傳送使用較新的憑證的期間內使用舊憑證簽署或加密的承載,則轉換是一種逐步的轉換,以避免中斷傳輸。新舊憑證都有效的中期稱為寬限期

X.509 憑證具有 Not BeforeNot After 日期。不過,這些參數可能無法為管理員提供足夠的控制。Transfer Family 提供 Active DateInactive Date設定,以控制哪些憑證用於傳出承載,以及哪些憑證接受傳入承載。

傳出憑證選擇會使用傳輸日期之前的值上限作為 Inactive Date。傳入程序接受介於 Not Before和 範圍內的憑證,Not After以及介於 Active Date和 範圍內的憑證Inactive Date

下表說明為單一設定檔設定兩個憑證的一種可能方法。

兩個輪換中的憑證
名稱 NOT BEFORE (由憑證授權機構控制) ACTIVE DATE (由 Transfer Family 設定) INACTIVE DATE (由 Transfer Family 設定) NOT AFTER (由憑證授權機構設定)
Cert1 (舊憑證) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2 (較新的憑證) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

注意下列事項:

  • 當您Inactive Date為憑證指定 Active Date和 時,範圍必須在介於 Not Before和 之間的範圍內Not After

  • 建議您為每個設定檔設定多個憑證,確保合併後所有憑證的有效日期範圍涵蓋您想要使用該設定檔的時間長度。

  • 建議您在較舊的憑證變為非作用中和較新的憑證變為作用中之間指定一些寬限期。在上述範例中,第一個憑證在 2020-12-31 之前不會變成非作用中,而第二個憑證在 2020-06-01 變為作用中,提供 6 個月的寬限期。從 2020-06-01 到 2020-12-31 期間,這兩個憑證都是作用中的。

建立AS2設定檔

使用此程序來建立本機和合作夥伴設定檔。此程序說明如何使用 Transfer Family 主控台建立AS2設定檔。如果您想要改為使用 AWS CLI ,請參閱 步驟 4:為您和交易合作夥伴建立設定檔

建立AS2設定檔

  1. 在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/

  2. 在左側導覽窗格AS2的交易合作夥伴 下,選擇設定檔 ,然後選擇建立設定檔

  3. 設定檔組態區段中,輸入設定檔的 AS2 ID。此值用於AS2通訊協定特定的HTTP標頭as2-fromas2-to,並識別交易合作夥伴關係,這會決定要使用的憑證等。

  4. 設定檔類型區段中,選擇本機設定檔合作夥伴設定檔

  5. 憑證區段中,從下拉式選單中選擇一或多個憑證。

    注意

    如果您想要匯入未列在下拉式功能表中的憑證,請選取匯入新的憑證 。這會在匯入憑證畫面上開啟新的瀏覽器視窗。如需匯入憑證的程序,請參閱 匯入AS2憑證

  6. (選用) 在標籤區段中,指定一或多個鍵值對,以協助識別此設定檔。

  7. 選擇建立設定檔以完成程序並儲存新設定檔。

建立AS2協議

協議與 Transfer Family 伺服器相關聯。它們指定使用AS2通訊協定交換訊息或檔案的交易合作夥伴詳細資訊,方法是使用 Transfer Family 進行傳入傳輸,將AS2檔案從外部、合作夥伴擁有的來源傳送至 Transfer Family 伺服器。

此程序說明如何使用 Transfer Family 主控台建立AS2協議。如果您想要 AWS CLI 改為使用 ,請參閱 步驟 5:建立您與合作夥伴之間的協議

為 Transfer Family 伺服器建立協議

  1. 在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/

  2. 在左側導覽窗格中,選擇伺服器 ,然後選擇使用AS2通訊協定的伺服器。

  3. 在伺服器詳細資訊頁面上,向下捲動至協議區段。

    主控台螢幕擷取畫面顯示協議區段,其中協議 ID 和狀態為 ACTIVE。

  4. 選擇新增協議

  5. 填寫協議參數,如下所示:

    1. 協議組態區段中,輸入描述性名稱。請確定您可以根據協議的名稱來識別協議的目的。此外,請設定協議的狀態作用中 (依預設選取) 或非作用中

    2. 通訊組態區段中,選擇本機設定檔和合作夥伴設定檔。

    3. 收件匣資料夾組態區段中,選擇 Amazon S3 儲存貯體來存放傳入檔案,以及可存取儲存貯體IAM的角色。或者,您可以輸入要用來將檔案儲存在儲存貯體中的字首 (資料夾)。

      例如,如果您DOC-EXAMPLE-BUCKET為儲存貯體輸入 incoming ,並為字首輸入 ,傳入的檔案會儲存至 /DOC-EXAMPLE-BUCKET/incoming 資料夾。

    4. (選用) 在標籤區段中新增標籤

    5. 輸入協議的所有資訊後,請選擇建立協議。

新協議會出現在伺服器詳細資訊頁面的協議區段中。