Administre AS2 los certificados - AWS Transfer Family
AS2 Certificados de importaciónAS2 rotación de certificados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administre AS2 los certificados

En este tema se explica cómo importar y administrar AS2 los certificados. La importación de certificados es el primer paso del AS2 proceso de Transfer Family.

  1. Importar certificados

  2. Crear perfiles AS2

  3. Crear un AS2 servidor

  4. Crea un AS2 acuerdo

  5. Configure AS2 los conectores

AS2 Certificados de importación

El AS2 proceso Transfer Family utiliza claves de certificado tanto para el cifrado como para la firma de la información transferida. Los socios pueden usar la misma clave con ambos fines o una clave independiente para cada uno. Si tiene claves de cifrado comunes que un tercero de confianza guarda en custodia para poder descifrar los datos en caso de desastre o violación de la seguridad, le recomendamos que tenga claves de firma independientes. Al utilizar claves de firma independientes (que no deposite en custodia), no compromete las características de no repudio de sus firmas digitales.

nota

La longitud de la clave de AS2 los certificados debe ser de al menos 2048 bits y, como máximo, de 4096.

En los puntos siguientes se detalla cómo se utilizan AS2 los certificados durante el proceso.

  • Entrante AS2

    • El socio comercial envía su clave pública para el certificado de firma y esta clave se importa al perfil del socio.

    • La parte local envía la clave pública para sus certificados de cifrado y firma. A continuación, el socio importa la(s) clave(s) privada(s). La parte local puede enviar claves de certificado independientes para firmarlas y cifrarlas, o puede optar por utilizar la misma clave con ambos fines.

  • Saliente AS2

    • El socio envía la clave pública de su certificado de cifrado y esta clave se importa al perfil del socio.

    • La parte local envía la clave pública del certificado para firmarlo e importa la clave privada del certificado para firmarlo.

    • Si utiliza HTTPS, puede importar un certificado de seguridad de capa de transporte (TLS) autofirmado.

Para obtener información detallada acerca de la forma de crear certificados, consulte Paso 1: Cree certificados para AS2.

En este procedimiento, se explica cómo importar certificados mediante la consola Transfer Family. Si desea utilizar el en su AWS CLI lugar, consulte. Paso 2: Importar certificados como recursos de certificados de Transfer Family

Para especificar un AS2 certificado habilitado

  1. Abra la AWS Transfer Family consola en. https://console.aws.amazon.com/transfer/

  2. En el panel de navegación izquierdo, en Socios AS2 comerciales, elija Certificados.

  3. Seleccione Importar certificado.

  4. En la sección de configuración del certificado, en Descripción del certificado, introduzca un nombre fácilmente identificable para el certificado. Asegúrese de poder identificar el propósito del certificado por su descripción. Además, elija el rol del certificado.

  5. En la sección Uso del certificado, elija el propósito de este certificado. Se puede usar para cifrar, firmar o ambas cosas.

    Consejo: Si eliges el cifrado y la firma para el uso, Transfer Family crea dos certificados idénticos (cada uno con su propio identificador): uno con un valor de uso ENCRYPTION y otro con un valor de uso deSIGNING.

  6. En la sección Contenido del certificado, proporcione un certificado público de un socio comercial o las claves pública y privada de un certificado local.

    Rellene la sección Contenido del certificado con los detalles correspondientes.

    • Si elige Certificado autofirmado, no proporciona una cadena de certificados.

    • Pegue el texto del certificado y su cadena en el campo Certificado y cadena de certificados.

    • Si este certificado es un certificado local, pegue su clave privada.

  7. Elija Importar certificado para completar el proceso y guardar los detalles del certificado importado.

nota

Los certificados TLS solo se pueden importar como certificado público de un socio. Si selecciona un certificado público de un socio y, a continuación, selecciona Transport Layer Security (TLS) para su uso, recibirá una advertencia. Además, los certificados TLS deben estar autofirmados (es decir, debe seleccionar el certificado autofirmado para importar un certificado TLS).

AS2 rotación de certificados

Los certificados suelen ser válidos durante un período de seis meses a un año. Es posible que haya configurado perfiles que desee conservar durante más tiempo. Para facilitar esto, Transfer Family ofrece la rotación de certificados. Puede especificar varios certificados para un perfil, lo que le permitirá seguir utilizando el perfil durante varios años. Transfer Family utiliza certificados para la firma (opcional) y el cifrado (obligatorio). Si lo desea, puede especificar un único certificado con ambos fines.

La rotación de certificados es el proceso de reemplazar un certificado antiguo que ha caducado por uno más nuevo. La transición es gradual para evitar interrumpir las transferencias cuando una de las partes del acuerdo aún no ha configurado un nuevo certificado para las transferencias salientes o puede que esté enviando cargas útiles firmadas o cifradas con un certificado antiguo durante un período en el que también se esté utilizando un certificado más nuevo. El período intermedio en el que son válidos tanto los certificados antiguos como los nuevos se denomina período de gracia.

Los certificados X.509 tienen fechas Not Before y Not After. Sin embargo, es posible que estos parámetros no proporcionen un control suficiente a los administradores. Transfer Family proporciona Active Date y Inactive Date configuración para controlar qué certificado se usa para las cargas útiles salientes y cuál se acepta para las cargas útiles entrantes.

Supervisión del vencimiento de los certificados

Transfer Family publica una CloudWatch métrica DaysUntilExpiry de Amazon tras importar un certificado. La métrica emite el número de días entre la fecha actual y la fecha especificada InactiveDate en el certificado. La métrica se encuentra en el espacio de Transfer AWS nombres del panel de métricas. CloudWatch

Esta métrica siempre tendrá una dimensión métrica CertificateIdy, de forma opcional, incluirá una dimensión de descripción si el cliente la proporciona en el certificado. Para obtener más información sobre las dimensiones CloudWatch métricas, consulte Dimensión en la referencia de la CloudWatch API.

nota

Una vez importado un certificado, Transfer Family puede tardar hasta un día completo en emitir esta métrica a la cuenta del cliente.

Puede usar esta métrica para crear CloudWatch alarmas que le notifiquen cuando los certificados estén a punto de caducar.

La selección del certificado de salida utiliza el valor máximo anterior a la fecha de la transferencia como Inactive Date. Los procesos entrantes aceptan certificados dentro del rango de Not Before y Not After y dentro del rango de Active Date y Inactive Date.

Ejemplo de rotación de certificados

En la siguiente tabla, se describe una forma posible de configurar dos certificados para un único perfil.

Dos certificados en rotación
Nombre NOT BEFORE (controlado por la autoridad de certificación) ACTIVE DATE (producida por Transfer Family) INACTIVE DATE (producida por Transfer Family) NOT AFTER (producida por una entidad de certificación)
Cert1 (certificado anterior) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2 (certificado más reciente) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

Tenga en cuenta lo siguiente:

  • Al especificar un certificado Active Date y Inactive Date para un certificado, el rango debe estar dentro del rango entre Not Before y Not After.

  • Se recomienda configurar varios certificados para cada perfil, asegurándose de que el intervalo de fechas activo de todos los certificados combinados abarque el período de tiempo durante el que desea utilizar el perfil.

  • Le recomendamos que especifique un período de gracia entre el momento en que el certificado anterior pasa a estar inactivo y el certificado más nuevo se activa. En el ejemplo anterior, el primer certificado no queda inactivo hasta el 31/12/2020, mientras que el segundo se activa el 1/06/2020, lo que proporciona un período de gracia de 6 meses. Durante el período comprendido entre el 1/06/2020 y el 31/12/2020, ambos certificados estarán activos.