创建启用 AS2 的服务器配置 - Amazon Transfer Family
AS2 使用案例AS2 入站流程AS2 出库流程文件名和位置示例 JSON 文件 创建启用 AS2 的服务器导入 AS2 证书AS2 证书轮换创建 AS2 配置文件创建 AS2 连接器创建 AS2 协议
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建启用 AS2 的服务器配置

适用性声明 2 (AS2) 是 RFC 定义的文件传输规范,包括强大的消息保护和验证机制。AS2 协议对于具有合规性要求的工作流程至关重要,这些工作流程依赖于在协议中内置数据保护和安全功能。

零售、生命科学、制造、金融服务和公用事业等依赖 AS2 提供供应链、物流和支付工作流程的行业的客户可以使用Amazon Transfer Family AS2 端点与其业务合作伙伴进行安全交易。交易后的数据可以在本地访问,Amazon用于处理、分析和机器学习。这些数据还可用于与运行的企业资源规划 (ERP) 和客户关系管理 (CRM) 系统集成Amazon。借助 AS2,客户可以大规模运行 business-to-business (B2B) 交易,Amazon同时保持现有业务合作伙伴的集成和合规性。

如果您是 Transfer Family 客户,想要与配置了支持 AS2 的服务器的合作伙伴交换文件,则设置包括生成一个用于加密的公私key pair,另一个用于与合作伙伴签名和交换公钥。

保护传输中的 AS2 有效负载通常涉及使用加密消息语法 (CMS),通常使用加密和数字签名来提供数据保护和对等身份验证。签名的消息处置通知 (MDN) 响应负载提供验证(不可否认性),以确认消息已收到并成功解密。

这些 CMS 有效负载和 MDN 响应通过 HTTP 进行传输。

注意

目前不支持 HTTPS AS2 服务器端点。TLS 终止目前由客户负责。

要创建启用 AS2 的服务器,还必须指定以下组件:

  • 协议 — 双边贸易伙伴协议或伙伴关系定义了交换信息(文件)的双方之间的关系。为了定义协议,Transfer Family 结合了服务器、本地配置文件、合作伙伴配置文件和证书信息。Transfer Family AS2-入站流程使用协议。

  • 证书公钥 (X.509) 证书在 AS2 通信中用于消息加密和验证。证书也用于连接器端点。

  • 本地配置文件和合作伙伴配置文件本地配置文件定义本地(启用 AS2 的 Transfer Family 服务器)组织或 “团体”。同样,合作伙伴档案定义了 Transfer Family 外部的远程合作伙伴组织。

虽然并非所有启用 AS2 的服务器都需要,但对于出站传输,则需要连接器。连接器捕获出站连接的参数。发送文件到客户的外部非Amazon服务器时需要使用连接器。

下图显示了入站和出站流程中涉及的 AS2 对象之间的关系。

该图显示了入站和出站流程中涉及的 AS2 对象之间的关系。

有关 AS2 配置的 end-to-end 示例,请参见为 AS2 启用您的服务器端点

主题

AS2 使用案例

如果您是想要与配置了 AS2 服务器的合作伙伴交换文件的Amazon Transfer Family客户,则设置中最复杂的部分是生成一个用于加密的公私key pair,另一个用于与合作伙伴签名和交换公钥。

该图显示了使用公私密钥对进行加密和签名的情况。

Amazon Transfer Family与 AS2 一起使用时,请考虑以下变体。

注意

下表中所有提及 MDN 的内容都假定已签名 mDN。

仅限入站用例

  • 将加密的 AS2 消息从合作伙伴传输到 Transfer Family 服务器。

    在此情况下,您可以执行以下操作:

    1. 为您的伴侣和您自己创建个人资料。

    2. 创建使用 AS2 协议的Transfer Family 服务器。

    3. 创建协议并将其添加到您的服务器。

    4. 导入带有私钥的证书并将其添加到您的个人资料中,然后将公钥发送给您的合作伙伴进行加密。

    5. 获得这些物品后,将证书的公钥发送给您的贸易伙伴。

    现在,您的合作伙伴可以向您发送加密的消息,您可以解密它们并将它们存储在您的 Amazon S3 存储桶中。

  • 将加密的 AS2 消息从合作伙伴传输到 Transfer Family 服务器并添加签名。

    在这种情况下,您仍然只进行入站传输,但现在您想让您的合作伙伴签署他们发送的消息。在这种情况下,导入合作伙伴的签名公钥(作为添加到合作伙伴个人资料的签名证书)。

  • 将加密的 AS2 消息从合作伙伴传输到 Transfer Family 服务器,添加签名和发送 MDN 响应。

    在这种情况下,您仍然只进行入站转账,但现在,除了接收已签名的有效负载外,您的贸易伙伴还希望收到已签名的 MDN 响应。

    1. 导入您的公有和私有签名密钥(作为签名证书到您的个人资料)。

    2. 将公共签名密钥发送给您的合作伙伴。

仅限出站用例

  • 将加密的 AS2 消息从 Transfer Family 服务器传输到合作伙伴。

    此案例与仅限入站传输用例类似,不同之处在于您创建的不是向 AS2 服务器添加协议,而是创建连接器。在这种情况下,您将合作伙伴的公钥导入他们的个人资料。

  • 将加密的 AS2 消息从 Transfer Family 服务器传输到合作伙伴并添加签名。

    您仍然只进行出站转账,但现在您的伴侣希望您在发送给他们的消息上签名。

    1. 导入您的签名私钥(作为添加到您的个人资料的签名证书)。

    2. 将您的公钥发送给您的伴侣。

  • 将加密的 AS2 消息从 Transfer Family 服务器传输到合作伙伴,添加签名并发送 MDN 响应。

    您仍然只进行出站传输,但现在,除了发送已签名的有效负载外,您还希望收到合作伙伴签名的 MDN 响应。

    1. 您的合作伙伴向您发送了他们的公共签名密钥。

    2. 导入合作伙伴的公钥(作为添加到合作伙伴个人资料的签名证书)。

入站和出站用例

  • 在 Transfer Family 服务器和合作伙伴之间双向传输加密的 AS2 消息。

    在此情况下,您可以执行以下操作:

    1. 为您的伴侣和您自己创建个人资料。

    2. 创建使用 AS2 协议的Transfer Family 服务器。

    3. 创建协议并将其添加到您的服务器。

    4. 创建连接器。

    5. 导入带有私钥的证书并将其添加到您的个人资料中,然后将公钥发送给您的合作伙伴进行加密。

    6. 从您的合作伙伴那里获得公钥并将其添加到他们的个人资料中进行加密。

    7. 获得这些物品后,将证书的公钥发送给您的贸易伙伴。

    现在,您和您的贸易伙伴可以交换加密的消息,并且您都可以解密它们。您可以将收到的消息存储在 Amazon S3 存储桶中,您的合作伙伴可以解密和存储您发送给他们的消息。

  • 在 Transfer Family 服务器和合作伙伴之间双向传输加密的 AS2 消息,并添加签名。

    现在,您和您的伴侣想要签名消息。

    1. 导入您的签名私钥(作为添加到您的个人资料的签名证书)。

    2. 将您的公钥发送给您的伴侣。

    3. 导入您的合作伙伴的签名公钥并将其添加到他们的个人资料中。

  • 在 Transfer Family 服务器和合作伙伴之间双向传输加密的 AS2 消息,添加签名并发送 MDN 响应。

    现在,你想交换签名的有效负载,而你和你的合作伙伴都想要 MDN 响应。

    1. 您的合作伙伴向您发送了他们的公共签名密钥。

    2. 导入合作伙伴的公钥(作为签名证书到合作伙伴的个人资料)。

    3. 将您的公有密钥发送给您的合作伙伴。

AS2 入站流程

入站进程被定义为传输到您的Amazon Transfer Family服务器的消息或文件。入站消息的顺序如下:

  1. 管理员或自动化流程在合作伙伴的远程 AS2 服务器上启动 AS2 文件传输。

  2. 合作伙伴的远程 AS2 服务器对文件内容进行签名和加密,然后向 Transfer Family 上托管的 AS2 入站端点发送 HTTP POST 请求。

  3. 使用服务器、合作伙伴、证书和协议的配置值,Transfer Family 解密并验证 AS2 负载。文件内容存储在配置的 Amazon S3 文件存储中。

  4. 签名的 MDN 响应要么与 HTTP 响应内联返回,要么通过单独的 HTTP POST 请求异步返回到原始服务器。

  5. 审计记录将写给亚马逊, CloudWatch 其中包含交易所的详细信息。

  6. 解密后的文件在名为的文件夹中可用inbox/processed

该图显示了入站邮件的处理顺序。

AS2 出库流程

出站过程定义为从Amazon外部客户端或服务发送消息或文件。出站消息的顺序如下:

  1. 管理员调用start-file-transferAmazon Command Line Interface (Amazon CLI) 命令或StartFileTransfer API 操作。此操作引用了connector配置。

  2. Transfer Family 会检测到新的文件请求并找到该文件。文件经过压缩、签名和加密。

  3. 传输 HTTP 客户端执行 HTTP POST 请求,将有效负载传输到合作伙伴的 AS2 服务器。

  4. 该进程返回已签名的 MDN 响应,该响应与 HTTP 响应(同步 MDN)保持一致。

  5. 当文件在不同的传输阶段之间移动时,该过程会将 MDN 响应收据和处理详细信息传送给客户。

  6. 远程 AS2 服务器将解密和验证的文件提供给合作伙伴管理员。

该图显示了出站邮件的处理顺序。

AS2 处理支持许多 RFC 4130 协议,侧重于常见用例以及与现有支持 AS2 的服务器实现的集成。有关支持的配置的详细信息,请参阅AS2 支持的配置

文件名和位置

本部分讨论 AS2 传输的文件命名规则。

对于入站文件传输,需要注意以下方面:

  • 您在协议中指定基本目录。基本目录是 Amazon S3 存储桶名称和前缀(如果有)。例如,DOC-EXAMPLE-BUCKET/AS2-folder

  • 如果成功处理了传入文件,则该文件(和相应的 JSON 文件)将保存到该文件/processed夹。例如,DOC-EXAMPLE-BUCKET/AS2-folder/processed

    JSON 文件包含以下字段:

    • agreement-id

    • as2-from

    • as2-to

    • as2-message-id

    • transfer-id

    • client-ip

    • connector-id

    • failure-message

    • file-path

    • message-subject

    • mdn-message-id

    • mdn-subject

    • requester-file-name

    • requester-content-type

    • server-id

    • status-code

    • failure-code

    • transfer-size

  • 如果无法成功处理传入文件,则该文件(和相应的 JSON 文件)将保存到该文件/failed夹。例如,DOC-EXAMPLE-BUCKET/AS2-folder/failed

  • 传输的文件存储在processed文件夹中,如下所示original_filename.messageId.original_extension。也就是说,传输的消息 ID 附加到文件名后,位于其原始扩展名之前。

  • 创建 JSON 文件并将其另存为original_filename.messageId.original_extension.json。除了添加消息 ID 外,字符串.json还会附加到传输文件的名称中。

  • 创建邮件处置通知 (MDN) 文件并将其另存为original_filename.messageId.original_extension.mdn。除了添加消息 ID 外,字符串.mdn还会附加到传输文件的名称中。

  • 如果存在名为的入站文件ExampleFileInS3Payload.dat,则会创建以下文件:

    • 文件ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat

    • JSONExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.json

    • MDNExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.mdn

对于出站传输,命名是相似的,不同之处在于没有传入的消息文件,而且,已传输消息的传输 ID 会添加到文件名中。传输 ID 由StartFileTransfer API 操作(或者当其他进程或脚本调用此操作时)返回。

  • transfer-id是与文件传输相关的标识符。作为StartFileTransfer通话一部分的所有请求共享transfer-id

  • 基本目录与您用于源文件的路径相同。也就是说,基目录是您在StartFileTransfer API 操作或start-file-transferAmazon CLI命令中指定的路径。例如:

    aws transfer start-file-transfer --send-file-paths DOC-EXAMPLE-BUCKET/AS2-folder/file-to-send.txt

    如果您运行此命令,MDN 和 JSON 文件将保存在中DOC-EXAMPLE-BUCKET/AS2-folder/processed(用于成功传输)或DOC-EXAMPLE-BUCKET/AS2-folder/failed(用于传输失败)。

  • 创建 JSON 文件并将其另存为original_filename.transferId.messageId.original_extension.json

  • 创建 MDN 文件并将其另存为original_filename.transferId.messageId.original_extension.mdn

  • 如果有名为的出站文件ExampleFileOutTestOutboundSyncMdn.dat,则会创建以下文件:

    • JSONExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.json

    • MDNExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.mdn

您还可以查看 CloudWatch 日志以查看转账的详细信息,包括任何失败的转账。

示例 JSON 文件

本节列出了入站和出站传输的示例 JSON 文件,包括成功传输和失败传输的示例文件。

成功传输的出站文件示例:

{
  "requester-content-type": "application/octet-stream",
  "mesage-subject": "File xyzTest from MyCompany_OID to partner YourCompany",
  "requester-file-name": "TestOutboundSyncMdn-9lmCr79hV.dat",
  "as2-from": "MyCompany_OID",
  "connector-id": "c-c21c63ceaaf34d99b",
  "status-code": "COMPLETED",
  "disposition": "automatic-action/MDN-sent-automatically; processed",
  "transfer-size": 3198,
  "mdn-message-id": "OPENAS2-11072022063009+0000-df865189-1450-435b-9b8d-d8bc0cee97fd@PartnerA_OID_MyCompany_OID",
  "mdn-subject": "Message be18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa has been accepted",
  "as2-to": "PartnerA_OID",
  "transfer-id": "dedf4601-4e90-4043-b16b-579af35e0d83",
  "file-path": "/DOC-EXAMPLE-BUCKET/as2testcell0000/openAs2/TestOutboundSyncMdn-9lmCr79hV.dat",
  "as2-message-id": "fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa",
  "timestamp": "2022-07-11T06:30:10.791274Z"
}

传输失败的出站文件示例:

{
  "failure-code": "HTTP_ERROR_RESPONSE_FROM_PARTNER",
  "status-code": "FAILED",
  "requester-content-type": "application/octet-stream",
  "subject": "Test run from Id da86e74d6e57464aae1a55b8596bad0a to partner 9f8474d7714e476e8a46ce8c93a48c6c",
  "transfer-size": 3198,
  "requester-file-name": "openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
  "as2-message-id": "9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
  "failure-message": "http://Test123456789.us-east-1.elb.amazonaws.com:10080 returned status 500 for message with ID 9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
  "transfer-id": "07bd3e07-a652-4cc6-9412-73ffdb97ab92",
  "connector-id": "c-056e15cc851f4b2e9",
  "file-path": "/testbucket-4c1tq6ohjt9y/as2IntegCell0002/openAs2/openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
  "timestamp": "2022-07-11T21:17:24.802378Z"
}

成功传输的入站文件示例:

{
  "requester-content-type": "application/EDI-X12",
  "subject": "File openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat sent from MyCompany to PartnerA",
  "client-ip": "10.0.109.105",
  "requester-file-name": "openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat",
  "as2-from": "MyCompany_OID",
  "status-code": "COMPLETED",
  "disposition": "automatic-action/MDN-sent-automatically; processed",
  "transfer-size": 1050,
  "mdn-subject": "Message Disposition Notification",
  "as2-message-id": "OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID",
  "as2-to": "PartnerA_OID",
  "agreement-id": "a-f5c5cbea5f7741988",
  "file-path": "processed/openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID.dat",
  "server-id": "s-5f7422b04c2447ef9",
  "timestamp": "2022-07-11T23:36:36.105030Z"
}

传输失败的入站文件示例:

{
  "failure-code": "INVALID_REQUEST",
  "status-code": "FAILED",
  "subject": "Sending a request from InboundHttpClientTests",
  "client-ip": "10.0.117.27",
  "as2-message-id": "testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
  "as2-to": "0beff6af56c548f28b0e78841dce44f9",
  "failure-message": "Unsupported date format: 2022/123/456T",
  "agreement-id": "a-0ceec8ca0a3348d6a",
  "as2-from": "ab91a398aed0422d9dd1362710213880",
  "file-path": "failed/01187f15-523c-43ac-9fd6-51b5ad2b08f3.testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
  "server-id": "s-0582af12e44540b9b",
  "timestamp": "2022-07-11T06:30:03.662939Z"
}

创建启用 AS2 的服务器

此过程介绍如何使用 Transfer Family 控制台创建支持 AS2 的服务器。如果您想Amazon CLI改用,请参阅步骤 2:创建使用 AS2 协议的Transfer Family 服务器

创建启用 AS2 的服务器

  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中,选择 server(服务器),然后选择 Cretserver(创建服务器)。

  3. 在 “选择协议” 页面上,选择 AS2(适用性声明 2),然后选择 “下一步”。

    此图像显示选择了 AS2 协议的 “选择协议” 屏幕。

  4. “选择身份提供商” 页面上,选择 “下一步”。

    注意

    对于 AS2,您无法选择身份提供商,因为 AS2 协议不支持基本身份验证。相反,您可以通过虚拟私有云 (VPC) 安全组控制访问。

  5. 在 Choos e a Destin ation 页面上,执行以下操作:

    显示选择托管 VPC 的终端节点页面的控制台屏幕截图。

    1. 对于终端节点类型,选择 VPC 托管来托管您的服务器的终端节点。有关设置 VPC 托管终端节点的信息,请参阅在虚拟私有云中创建服务器

      注意

      AS2 协议不支持可公开访问的端点。要使您的 VPC 终端节点可通过互联网访问,请在 “访问” 下选择 “面向互联网”,然后提供您的弹性 IP 地址。

    2. 对于访问,请选择以下选项之一:

      • 内部 — 选择此选项可在您的 VPC 和 VPC 连接环境中提供访问权限,例如本地数据中心Amazon Direct Connect或 VPN。

      • 面向互联网 — 选择此选项可通过互联网以及在您的 VPC 和 VPC 连接环境中提供访问权限,例如通过本地数据中心Amazon Direct Connect或 VPN 进行访问。

        如果您选择面向 Internet,请在出现提示时提供您的弹性 IP 地址。

    3. 对于 VPC,要么选择现有 VPC,要么选择创建 VPC 来创建新的 VPC。

    4. 对于已启用 FIPS,请清除 “启用 FIPS 的端点” 复选框。

      注意

      AS2 协议不支持启用 FIPS 的端点。

    5. 选择下一步

  6. 选择域页面上,选择 Amazon S3 以使用所选协议将您的文件作为对象存储和访问。

    选择下一步

  7. 配置其他详细信息页面上,选择所需的设置。

    注意

    如果您与 AS2 一起配置任何其他协议,则所有附加详细信息设置都适用。但是,对于 AS2 协议,唯一适用的设置是CloudWatch 日志标签部分中的设置。

    尽管设置 CloudWatch 日志角色是可选的,但我们强烈建议您对其进行设置,以便您可以查看消息状态并解决配置问题。

  8. 在 “查看并创建” 页面上,查看您的选择以确保其正确无误。

    • 如果要编辑任何设置,请选择要更改的步骤旁边的 “编辑”

      注意

      如果您编辑步骤,我们建议您查看选择编辑的步骤之后的每个步骤。

    • 如果您没有更改,请选择 “创建服务器” 来创建您的服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

      控制台屏幕截图显示 “服务器” 页面,其新服务器 ID 的状态为 “正在启动”。

      新服务器的状态可能需要几分钟才能更改为 “机”。到时候,您的服务器可以执行用户的文件操作。

导入 AS2 证书

Transfer Family AS2 流程使用证书密钥对传输的信息进行加密和签名。合作伙伴可以将相同的密钥用于这两个目的,也可以为每个目的使用单独的密钥。如果您拥有由可信第三方托管的常用加密密钥,以便在发生灾难或安全漏洞时解密数据,我们建议您使用单独的签名密钥。通过使用单独的签名密钥(您不托管),您不会损害数字签名的不可否认功能。

以下几点详细说明了在此过程中如何使用 AS2 证书。

  • 入站的 AS2

    • 贸易伙伴发送其签名证书的公钥,并将此密钥导入到合作伙伴配置文件中。

    • 本地方发送用于加密和签名证书的公钥。然后,合作伙伴导入一个或多个私钥。本地方可以发送单独的证书密钥进行签名和加密,也可以选择将相同的密钥用于这两种用途。

  • 出站的 AS2

    • 合作伙伴发送其加密证书的公钥,并将此密钥导入到合作伙伴配置文件中。

    • 本地方发送证书的公钥进行签名,并导入证书的私钥进行签名。

有关如何创建证书的详细信息,请参阅步骤 1:为 AS2 创建证书

此过程介绍如何使用 Transfer Family 控制台导入证书。如果您想Amazon CLI改用,请参阅步骤 3:将证书作为Transfer Family 证书资源导入

指定启用 AS2 的证书

  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中的 AS2 贸易伙伴下,选择 Certificates(证书)。

  3. 选择 Import certificate (导入证书)

  4. 证书描述部分中,为证书输入易于识别的名称。确保您可以通过证书的描述来识别证书的用途。此外,选择证书的角色。

  5. 证书内容部分中,提供来自贸易伙伴的公共证书或本地证书的公钥和私钥。

  6. 证书使用部分中,选择此证书的用途。它可以用于加密、签名或两者兼而有之。

    注意

    如果您选择 “加密和签名” 作为用法,Transfer Family 会创建两个相同的证书(每个证书都有自己的 ID):一个的使用值为ENCRYPTION,另一个的使用值为SIGNING

  7. 证书内容部分填写相应的详细信息。

    • 如果您选择自签名证书,则不提供证书链。

    • 粘贴证书的内容。

    • 如果证书不是自签名证书,请提供证书链。

    • 如果此证书是本地证书,请粘贴其私钥。

  8. 选择导入证书以完成该过程并保存导入证书的详细信息。

AS2 证书轮换

通常,证书的有效期为六个月到一年。您可能已经设置了想要保留更长时间的配置文件。为了便于做到这一点,Transfer Family 提供了证书轮换。您可以为一个配置文件指定多个证书,这样您就可以连续使用该配置文件多年。Transfer Family 使用证书进行签名(可选)和加密(必选)。如果你愿意,你可以为这两种目的指定一个证书。

证书轮换是将即将过期的旧证书替换为较新的证书的过程。过渡是渐进的,目的是避免中断传输,因为协议中的合作伙伴尚未为出站传输配置新证书,或者在可能还使用新证书的时期内可能正在发送使用旧证书签名或加密的有效负载。新旧证书均有效的中间期称为宽限期

X.509 证书有Not BeforeNot After日期。但是,这些参数可能无法为管理员提供足够的控制。Transfer Family 提供Active DateInactive Date设置来控制哪个证书用于出站负载,哪些证书被接受用于入站负载。

出站证书选择使用传输日期之前的最大值作为Inactive Date. 入站进程接受Not Before和范围内Not AfterActive Date和范围内的证书Inactive Date

下表描述了为单个配置文件配置两个证书的一种可能方法。

轮流颁发两份证书
名称 NOT BEFORE(由证书颁发机构控制) ACTIVE DATE(由Transfer Family 设置) INACTIVE DATE(由Transfer Family 设置) NOT AFTER(由证书颁发机构设置)
Cert1(较旧的证书) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2(较新的证书) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

请注意以下几点:

  • Inactive Date为证书指定Active Date和时,范围必须介于Not Before和之间的范围内Not After

  • 我们建议您为每个配置文件配置多个证书,确保所有证书的有效日期范围涵盖您想要使用该配置文件的时长。

  • 我们建议您在旧证书变为非活动状态和新证书生效之间指定一段宽限时间。在前面的示例中,第一个证书直到 2020-12-31 才变为非活动状态,而第二个证书在 2020-06-01 生效,提供 6 个月的宽限期。在2020-06-01至2020-12-31期间,这两个证书都处于有效状态。

创建 AS2 配置文件

使用此过程创建本地和合作伙伴配置文件。此过程说明如何使用 Transfer Family 控制台创建 AS2 配置文件。如果您想Amazon CLI改用,请参阅第 4 步:为您和您的贸易伙伴创建个人资料

创建 AS2 配置文件

  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格的 AS2 Trading Partner s 下,选择配置文件,然后选择创建配置文件

  3. 配置文件配置部分中,输入配置文件的 AS2 ID。此值用于特定于 AS2 协议的 HTTP 标头as2-fromas2-to用于标识贸易伙伴关系,后者决定要使用的证书等。

  4. 配置文件类型部分中,选择本地配置文件合作伙伴配置文件

  5. 证书部分中,从下拉菜单中选择一个或多个证书。

    注意

    如果要导入下拉菜单中未列出的证书,请选择导入新证书。这将在 “导入证书” 屏幕上打开一个新的浏览器窗口。有关导入证书的过程,请参见导入 AS2 证书

  6. (可选)在 Tags(标签)部分中,指定一个或多个键/值对以帮助识别此配置文件。

  7. 选择 “创建配置文件” 以完成该过程并保存新的配置文件。

创建 AS2 连接器

连接器的目的是在贸易伙伴之间建立一种用于出站传输的关系,即将 AS2 文件从 Transfer Family 服务器发送到合作伙伴拥有的外部目的地。对于连接器,您可以指定本地方、远程合作伙伴及其证书(通过创建本地和合作伙伴配置文件)。连接器到位后,可以在贸易伙伴之间传输信息。

注意

贸易伙伴收到的消息大小与 Amazon S3 中的对象大小不匹配。之所以出现这种差异,是因为 AS2 消息在发送之前将文件包装在信封中。因此,即使文件是以压缩方式发送的,文件大小也可能会增加。因此,请确保贸易伙伴的最大文件大小大于您发送的文件的大小。

此过程说明如何使用 Transfer Family 控制台创建 AS2 连接器。如果您想Amazon CLI改用,请参阅步骤 6:在您和您的伴侣之间创建连接器

创建 AS2 连接器

  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中,选择 Concinfer(连接器)。

  3. 在顶部,指定以下信息:

    • URL — 输入出站连接的 URL。

    • 访问角色-选择想要使用(IAM)角色的 Amazon 资源名称Amazon Identity and Access Management(ARN)。确保此角色提供对StartFileTransfer请求中所使用文件位置父目录的读取和写入权限。此外,还需要确保角色提供对您想要使用的文件父目录的读取和写入权限StartFileTransfer

    • 日志角色(可选)— 为连接器选择 IAM 角色以将事件推送到您的 CloudWatch 日志。

  4. AS2 配置部分中,选择本地和合作伙伴配置文件、加密和签名算法以及是否压缩传输的信息。

    注意

    在使用连接器发送的 AS2 消息中,主题用作subject HTTP 标头属性。

    此外,如果您选择创建不使用加密算法的连接器,则必须将 HTTPS 指定为协议。

  5. MDN 配置部分中,指定以下信息:

    • 请求 MDN — 您可以选择要求您的贸易伙伴通过 AS2 成功收到您的消息后向您发送 MDN。

    • 已@@ 签名的 MDN — 您可以选择要求签名 mDN。此选项仅在您选择 ResutMDN 时可用。

  6. 确认所有设置后,选择 “创建连接器” 以创建连接器。

将出现 “连接器” 页面,并将新连接器的 ID 添加到列表中。要查看连接器的详细信息,请参阅查看连接器详细信息

创建 AS2 协议

协议与 Transfer Family 服务器相关联。它们为使用 AS2 协议通过 Transfer Family 交换消息或文件的贸易伙伴指定详细信息,用于入站传输,即将 AS2 文件从合作伙伴拥有的外部来源发送到 Transfer Family 服务器。

此过程说明如何使用 Transfer Family 控制台创建 AS2 协议。如果您想Amazon CLI改用,请参阅步骤 5:在您与合作伙伴之间创建协议

为 Transfer Family 服务器创建协议

  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中,选择 Server(服务器),然后选择使用 AS2 协议的服务器。

  3. 在服务器详细信息页面上,向下滚动到协议部分。

    显示协议部分的控制台屏幕截图,协议 ID 和状态为 “有效”。

  4. 选择 “添加协议”

  5. 填写协议参数,如下所示:

    1. 协议配置部分中,输入一个描述性名称。确保您可以通过协议的名称来识别协议的目的。此外,设置协议的状态:“有效”(默认情况下选中)或 “无效”

    2. 通信配置部分中,选择本地配置文件和合作伙伴配置文件。

    3. 收件箱文件夹配置部分,选择用于存储传入文件的 Amazon S3 存储桶和可以访问该存储桶的 IAM 角色。或者,您可以输入用于在存储桶中存储文件的前缀(文件夹)。

      例如,如果您为存储段和incoming前缀输入DOC-EXAMPLE-BUCKET,则您的传入文件将保存到该文件/DOC-EXAMPLE-BUCKET/incoming夹。

    4. (可选)在 Tags(标签)部分添加标签

    5. 输入协议的所有信息后,选择 “创建协议”。

新协议显示在服务器详细信息页面的协议部分中。