管理 AS2 合作伙伴 - Amazon Transfer Family
导入 AS2 证书AS2 证书轮换创建 AS2 配置文件创建 AS2 协议
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 AS2 合作伙伴

本主题讨论如何管理 AS2 证书、配置文件和协议。

导入 AS2 证书

Transfer Family AS2 流程使用证书密钥对传输的信息进行加密和签名。合作伙伴可以为两个目的使用相同的密钥,也可以为每个目的使用单独的密钥。如果您的通用加密密钥由受信任的第三方托管,以便在发生灾难或安全漏洞时可以对数据进行解密,我们建议您使用单独的签名密钥。通过使用单独的签名密钥(您不托管),您不会损害数字签名的不可否认性功能。

注意

AS2 证书的密钥长度必须至少为 2048 位,最多为 4096 位。

以下几点详细说明了在此过程中如何使用 AS2 证书。

  • 入站的 AS2

    • 交易伙伴发送签名证书的公有密钥,该密钥将导入至合作伙伴配置文件中。

    • 本地方发送用于其加密和签名证书的公有密钥。然后,合作伙伴导入一个或多个私有密钥。本地方可以发送单独的证书密钥进行签名和加密,也可以选择将相同的密钥用于两种用途。

  • 出站的 AS2

    • 合作伙伴发送其加密证书的公有密钥,该密钥将导入至合作伙伴配置文件中。

    • 本地方发送证书的公有密钥进行签名,并导入证书的私有密钥进行签名。

    • 如果您使用的是 HTTPS,则可以导入自签名的传输层安全 (TLS) 证书。

有关如何创建证书的详细信息,请参阅步骤 1:创建 AS2 证书

此步骤说明了如何使用 Transfer Family 控制台导入证书。如果要 Amazon CLI 改用,请参阅第 3 步:将证书作为 Transfer Family 证书资源导入

要指定启用 AS2 的证书

  1. 打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格中,在 AS2 交易合作伙伴下选择证书

  3. 选择导入证书

  4. 证书描述部分,输入易于识别的证书名称。确保您可以通过其描述来识别证书的用途。此外,选择证书的角色。

  5. 证书内容部分,提供交易伙伴提供的公有证书,或本地证书的公有和私有密钥。

  6. 证书使用部分中,选择此证书的用途。它可以用于加密、签名或两者兼而有之。

    注意

    如果您选择加密和签名进行使用,Transfer Family 会创建两个相同的证书(每个证书都有自己的 ID):一个使用值为ENCRYPTION,另一个使用值为SIGNING

  7. 证书内容部分填写相应的详细信息。

    • 如果选择自签名证书,则不提供证书链。

    • 粘贴证书的内容。

    • 如果证书不是自签名证书,请提供证书链。

    • 如果此证书是本地证书,请粘贴其私有密钥。

  8. 选择导入证书以完成该流程并保存导入证书的详细信息。

注意

TLS 证书只能作为合作伙伴的公共证书导入。如果您选择合作伙伴提供的公共证书,然后为使用选择传输层安全 (TLS),则会收到警告。此外,TLS 证书必须是自签名的(也就是说,您必须选择自签名证书才能导入 TLS 证书)。

AS2 证书轮换

通常,证书的有效期为六个月至一年。您可能已经设置想要保留更长时间的配置文件。为此,Transfer Family 提供了证书轮换功能。您可以为一个配置文件指定多个证书,以便您可以连续多年使用该配置文件。Transfer Family 使用证书进行签名(可选)和加密(必填)。如果您愿意,可以为这两个目的指定一个证书。

证书轮换是将即将过期的旧证书替换为较新的证书的过程。过渡是渐进的,以避免协议中的合作伙伴尚未为出站传输配置新证书,或者可能在使用新证书的时期发送使用旧证书签名或加密的有效负载,从而避免中断传输。新旧证书均有效的中间期称为宽限期

X.509 证书有Not Before日期和Not After日期。但是,这些参数可能无法为管理员提供足够的控制。Transfer Family 提供Active DateInactive Date设置以控制哪些证书用于出站负载,哪些证书被接受用于入站负载。

出站证书选择使用转移日期之前的最大值作为Inactive Date。入站流程接受Not BeforeNot After范围内的证书,以及Active DateInactive Date范围内的证书。

下表描述了为单个配置文件配置两个证书的一种可能方法。

两个证书轮换
名称 NOT BEFORE(由证书颁发机构控制) ACTIVE DATE(由 Transfer Family 设置) INACTIVE DATE(由 Transfer Family 设置) NOT AFTER(由证书颁发机构设置)
证书 1(旧证书) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
证书 2(新证书) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

请注意以下几点:

  • 为证书指定Active DateInactive Date时,该范围必须介于Not BeforeNot After之间。

  • 我们建议您为每个配置文件配置多个证书,确保所有证书的有效日期范围涵盖您要使用该配置文件的时间。

  • 我们建议您在旧证书变为非活动状态和新证书处于活动状态之间指定一段宽限时间。在前面的示例中,第一个证书直到 2020 年 12 月 31 才处于非活动状态,而第二个证书在 2020 年 6 月 1 日生效,提供了 6 个月的宽限期。在 2020 年 6 月 1 日至 2020 年 12 月 31 日期间,两个证书均处于活动状态。

创建 AS2 配置文件

使用此步骤创建本地和合作伙伴配置文件。此步骤说明了如何使用 Transfer Family 控制台创建 AS2 配置文件。如果要改用 Amazon CLI ,请参阅 第 4 步:为您和您的交易伙伴创建配置文件

要创建 AS2 配置文件

  1. 打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格的 AS2 交易伙伴下,选择配置文件,然后选择创建配置文件

  3. 配置文件配置部分,输入配置文件的 AS2 ID。此值用于特定于 AS2 协议的 HTTP 标头as2-fromas2-to以用于标识交易伙伴关系,后者决定要使用的证书,依此类推。

  4. 配置文件类型部分,选择本地配置文件合作伙伴配置文件

  5. 证书部分,从下拉菜单中选择一个或多个证书。

    注意

    如果要导入未在下拉菜单中列出的证书,请选择导入新证书。这将在导入证书屏幕上打开一个新的浏览器窗口。有关导入证书的步骤,请参阅导入 AS2 证书

  6. (可选)在标签部分中,指定一个或多个键值对以帮助标识此配置文件。

  7. 选择创建配置文件以完成该流程并保存新的配置文件。

创建 AS2 协议

协议与 Transfer Family 服务器相关联。它们为使用 AS2 协议使用 Transfer Family 交换消息或文件的交易伙伴以及入站传输(将 AS2 文件从合作伙伴拥有的外部源发送到 Transfer Family 服务器)提供了详细信息。

此步骤说明了如何使用 Transfer Family 控制台创建 AS2 协议。如果要 Amazon CLI 改用,请参阅第 5 步:创建您与合作伙伴之间的协议

要为 Transfer Family 服务器创建协议

  1. 打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格中,选择服务器,然后选择使用 AS2 协议的服务器。

  3. 在服务器详细信息页面上,向下滚动到协议部分。

    控制台屏幕截图显示协议部分,协议 ID 和状态为活动。

  4. 选择添加协议

  5. 填写协议参数,如下所示:

    1. 协议配置部分中,输入描述性名称。确保您可以通过协议名称来识别协议的目的。此外,还要设置协议的状态活动(默认选中)或非活动

    2. 通信配置部分,选择本地配置文件和合作伙伴配置文件。

    3. 收件箱文件夹配置部分,选择用于存储传入文件的 Amazon S3 存储桶和可以访问该存储桶的 IAM 角色。或者,您可以输入用于在存储桶中存储文件的前缀(文件夹)。

      例如,如果您为存储桶输入DOC-EXAMPLE-BUCKET,为前缀输入incoming,则传入的文件将保存到该/DOC-EXAMPLE-BUCKET/incoming文件夹。

    4. (可选)在标签部分中,添加标签。

    5. 输入协议的所有信息后,选择创建协议

新协议显示在服务器详细信息页面的协议部分。