Gerenciar AS2 certificados - AWS Transfer Family
AS2 Certificados de importaçãoAS2 rotação de certificados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar AS2 certificados

Este tópico discute como importar e gerenciar AS2 certificados. A importação de certificados é a primeira etapa do AS2 processo do Transfer Family.

  1. Importar certificados

  2. Crie AS2 perfis

  3. Crie um AS2 servidor

  4. Crie um AS2 contrato

  5. Configurar AS2 conectores

AS2 Certificados de importação

O AS2 processo Transfer Family usa chaves de certificado para criptografia e assinatura das informações transferidas. Os parceiros podem usar a mesma chave para ambas as finalidades ou uma chave separada para cada uma. Se você tiver chaves de criptografia comuns mantidas sob custódia por um terceiro confiável para que os dados possam ser descriptografados em caso de desastre ou violação de segurança, recomendamos ter chaves de assinatura separadas. Ao usar chaves de assinatura separadas (que você não deposita em garantia), você não compromete os recursos de não repúdio de suas assinaturas digitais.

nota

O tamanho da chave para AS2 certificados deve ser de pelo menos 2048 bits e no máximo 4096.

Os pontos a seguir detalham como os AS2 certificados são usados durante o processo.

  • Entrada AS2

    • O parceiro comercial envia sua chave pública para o certificado de assinatura, e essa chave é importada para o perfil do parceiro.

    • A parte local envia a chave pública para seus certificados de criptografia e assinatura. Em seguida, o parceiro importa a chave ou as chaves privadas. A parte local pode enviar chaves de certificado separadas para assinatura e criptografia, ou pode optar por usar a mesma chave para ambas as finalidades.

  • Saída AS2

    • O parceiro envia a chave pública para seu certificado de criptografia, e essa chave é importada para o perfil do parceiro.

    • A parte local envia a chave pública do certificado para assinatura e importa a chave privada do certificado para assinatura.

    • Se você estiver usando HTTPS, poderá importar um certificado TLS (Transport Layer Security) autoassinado.

Para obter detalhes sobre como criar certificados, consulte Etapa 1: criar certificados para AS2.

Este procedimento explica como importar certificados usando o console Transfer Family. Se você quiser usar o AWS CLI em vez disso, consulteEtapa 2: Importar certificados como recursos de certificados do Transfer Family.

Para especificar um certificado AS2 habilitado

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/.

  2. No painel de navegação esquerdo, em Parceiros AS2 comerciais, escolha Certificados.

  3. Escolha Importar certificado.

  4. Na seção Configuração do certificado, em Descrição do certificado, insira um nome facilmente identificável para o certificado. Certifique-se de que você possa identificar a finalidade do certificado por meio de sua descrição. Além disso, escolha a função para o certificado.

  5. Na seção Uso do certificado, escolha a finalidade desse certificado. Ele pode ser usado para criptografia, assinatura ou ambos.

    Dica: se você escolher Criptografia e assinatura para o uso, o Transfer Family cria dois certificados idênticos (cada um com seu próprio ID): um com um valor de uso de ENCRYPTION e outro com um valor de uso deSIGNING.

  6. Na seção Conteúdo do certificado, forneça um certificado público de um parceiro comercial ou as chaves públicas e privadas de um certificado local.

    Preencha a seção Conteúdo do certificado com os detalhes apropriados.

    • Se você escolher Certificado autoassinado, não fornecerá a cadeia de certificados.

    • Cole o texto do certificado e sua cadeia no campo Certificado e cadeia de certificados.

    • Se esse certificado for um certificado local, cole sua chave privada.

  7. Escolha Importar certificado para concluir o processo e salvar os detalhes do certificado importado.

nota

Os certificados TLS só podem ser importados como um certificado público do parceiro. Se você selecionar Certificado público de um parceiro e, em seguida, selecionar Transport Layer Security (TLS) para o uso, receberá um aviso. Além disso, os certificados TLS devem ser autoassinados (ou seja, você deve selecionar Certificado autoassinado para importar um certificado TLS).

AS2 rotação de certificados

Frequentemente, os certificados são válidos por um período de seis meses a um ano. Talvez você tenha configurado perfis que deseja manter por mais tempo. Para facilitar isso, o Transfer Family fornece rotação de certificados. É possível especificar vários certificados para um perfil, permitindo que você continue usando o perfil por vários anos. O Transfer Family usa certificados para assinatura (opcional) e criptografia (obrigatória). É possível especificar um único certificado para ambas as finalidades, se quiser.

A rotação de certificados é o processo de substituição de um certificado antigo expirado por um certificado mais recente. A transição é gradual para evitar a interrupção das transferências em que um parceiro no contrato ainda não configurou um novo certificado para transferências externas ou pode estar enviando cargas assinadas ou criptografadas com um certificado antigo durante um período em que um certificado mais novo também pode estar em uso. O período intermediário em que os certificados antigos e novos são válidos é chamado de período de carência.

Os certificados X.509 têm datas Not Before e Not After. No entanto, esses parâmetros podem não fornecer controle suficiente para os administradores. O Transfer Family fornece configurações Active Date e Inactive Date para controlar qual certificado é usado para cargas de saída e qual é aceito para cargas de entrada.

Monitoramento da expiração do certificado

A Transfer Family publica uma CloudWatch métrica da Amazon DaysUntilExpiry depois de importar um certificado. A métrica emite o número de dias entre a data atual e a data especificada InactiveDate no certificado. A métrica é encontrada no Transfer AWS namespace no painel de CloudWatch métricas.

Essa métrica sempre terá uma dimensão métrica para CertificateIde, opcionalmente, incluirá uma dimensão Descrição, se fornecida pelo cliente no certificado. Para obter mais informações sobre dimensões CloudWatch métricas, consulte Dimensão na Referência CloudWatch da API.

nota

Após a importação de um Certificado do Transfer Family, pode levar até um dia inteiro para emitir essa métrica para a conta do cliente.

Você pode usar essa métrica para criar CloudWatch alarmes que o notificam quando os certificados estão prestes a expirar.

A seleção do certificado de saída usa o valor máximo anterior à data da transferência como um Inactive Date. Os processos de entrada aceitam certificados dentro da faixa de Not Before e Not After e e dentro da faixa de Active Date e Inactive Date.

Exemplo de rotação de certificados

A tabela a seguir descreve uma forma possível de configurar dois certificados para um único perfil.

Dois certificados em rotação
Name NOT BEFORE (controlado pela autoridade certificadora) ACTIVE DATE (definido pelo Transfer Family) INACTIVE DATE (definido pelo Transfer Family) NOT AFTER (definido pela autoridade de certificação)
Cert1 (certificado antigo) 01/11/2019 2020-01-01 2020-12-31 2024-01-01
Cert2 (certificado mais recente) 01-11-2020 2020-06-01 2021-06-01 2025-01-01

Observe o seguinte:

  • Quando você especifica um Active Date e Inactive Date para um certificado, o intervalo deve estar dentro do intervalo entre Not Before e Not After.

  • Recomendamos que você configure vários certificados para cada perfil, certificando-se de que o intervalo de datas ativo de todos os certificados combinados cubra a quantidade de tempo durante a qual você deseja usar o perfil.

  • Recomendamos que você especifique algum tempo de carência entre o momento em que seu certificado antigo se torna inativo e o momento em que seu certificado mais novo se torna ativo. No exemplo anterior, o primeiro certificado não se torna inativo até 31/12/2020, enquanto o segundo certificado se torna ativo em 01/06/2020, fornecendo um período de carência de 6 meses. Durante o período de 01/06/2020 a 31/12/2020, ambos os certificados estão ativos.