本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 AS2 憑證
本主題討論如何匯入和管理 AS2 憑證。匯入憑證是 Transfer Family 的 AS2 程序的第一步。
1. 匯入憑證
1. [建立 AS2 設定檔](configure-as2-profile.md)
1. [建立 AS2 伺服器](create-as2-transfer-server.md)
1. [建立 AS2 協議](create-as2-transfer-server.md#as2-agreements)
1. [設定 AS2 連接器](configure-as2-connector.md)
## 匯入 AS2 憑證
Transfer Family AS2 程序使用憑證金鑰來加密和簽署傳輸的資訊。合作夥伴可以針對這兩個目的使用相同的金鑰,或針對每個目的使用個別的金鑰。如果您有由可信任的第三方保存在託管中的常見加密金鑰,以便在發生災難或安全漏洞時解密資料,我們建議您使用單獨的簽署金鑰。透過使用單獨的簽署金鑰 (您不託管的金鑰),您不會損害數位簽章的不可否認功能。
**注意**
AS2 憑證的金鑰長度必須至少為 2048 位元,最多為 4096 位元。
下列幾點詳細說明如何在程序期間使用 AS2 憑證。
+ 傳入 AS2
+ 交易合作夥伴會傳送簽署憑證的公有金鑰,而此金鑰會匯入合作夥伴設定檔。
+ 本機方會傳送其加密和簽署憑證的公有金鑰。然後,合作夥伴會匯入私有金鑰或金鑰。本機方可以傳送單獨的憑證金鑰以進行簽署和加密,也可以選擇將相同的金鑰用於這兩個目的。
+ 傳出 AS2
+ 合作夥伴會傳送其加密憑證的公有金鑰,而此金鑰會匯入合作夥伴設定檔。
+ 本機方會傳送憑證的公有金鑰以進行簽署,並匯入憑證的私有金鑰以進行簽署。
+ 如果您使用的是 HTTPS,則可以匯入自我簽署的 Transport Layer Security (TLS) 憑證。
如需如何建立憑證的詳細資訊,請參閱 [步驟 1:建立 AS2 的憑證](as2-example-tutorial.md#as2-create-certs)。
此程序說明如何使用 Transfer Family 主控台匯入憑證。如果您想要 AWS CLI 改用 ,請參閱 [步驟 2:將憑證匯入為 Transfer Family 憑證資源](as2-example-tutorial.md#as2-import-certs-example)。
**指定AS2-enabled憑證**
1. 在 https://[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台。
1. 在左側導覽窗格的 **AS2 交易合作夥伴**下,選擇**憑證**。
1. 選擇 **Import certificate (匯入憑證)**。
1. 在**憑證組態**區段中,針對**憑證描述**,輸入憑證易於識別的名稱。請確定您可以透過憑證的描述來識別憑證的用途。此外,選擇憑證的角色。
1. 在**憑證使用**量區段中,選擇此憑證的用途。它可用於加密、簽署或兩者。
**秘訣:**如果您為用量選擇**加密和簽署**,Transfer Family 會建立兩個相同的憑證 (每個憑證都有自己的 ID):一個使用值為 `ENCRYPTION`,另一個使用值為 `SIGNING`。
1. 在**憑證內容**區段中,提供來自交易合作夥伴的公有憑證,或本機憑證的公有和私有金鑰。
在**憑證內容**區段中填入適當的詳細資訊。
+ 如果您選擇**自我簽署憑證**,則不會提供憑證鏈。
+ 將憑證文字及其鏈貼到**憑證和憑證鏈**欄位中。
+ 如果此憑證是本機憑證,請貼上其私有金鑰。
1. 選擇**匯入憑證**以完成程序,並儲存匯入憑證的詳細資訊。
**注意**
TLS 憑證只能匯入為合作夥伴的公有憑證。如果您**從合作夥伴選取公有憑證**,然後選取使用量的 **Transport Layer Security (TLS)**,您會收到警告。此外,TLS 憑證必須是自我簽署 (也就是說,您必須選取**自我簽署憑證**才能匯入 TLS 憑證)。
## AS2 憑證輪換
通常,憑證的有效期為六個月到一年。您可能已設定要長時間保留的設定檔。為了方便此操作,Transfer Family 提供憑證輪換。您可以為設定檔指定多個憑證,讓您繼續使用設定檔多年。Transfer Family 使用憑證簽署 (選用) 和加密 (強制性)。如果您願意,可以為這兩個目的指定單一憑證。
憑證輪換是將舊過期憑證取代為較新憑證的程序。如果協議中的合作夥伴尚未為傳出傳輸設定新憑證,或可能在也可能使用較新憑證的期間傳送使用舊憑證簽署或加密的承載,則轉換是一項漸進式轉換,以避免中斷傳輸。新舊憑證都有效的中繼期間稱為*寬限期*。
X.509 憑證具有 `Not Before`和 `Not After` 日期。不過,這些參數可能無法為管理員提供足夠的控制。Transfer Family 提供 `Active Date`和 `Inactive Date`設定,以控制哪些憑證用於傳出承載,以及哪些憑證接受傳入承載。
### 憑證過期監控
Transfer Family 會在匯入憑證`DaysUntilExpiry`後發佈 Amazon CloudWatch 指標。指標會發出目前日期與憑證`InactiveDate`上指定為 的日期之間的天數。指標位於 CloudWatch 指標儀表板的`Transfer` AWS 命名空間下。
此指標一律具有 **CertificateId** 的指標維度,如果客戶在憑證上提供**描述**維度,則選擇性包含描述維度。如需 CloudWatch 指標維度的詳細資訊,請參閱 *CloudWatch API 參考*中的[維](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html)度。
**注意**
在匯入 Transfer Family 的憑證之後,最多可能需要一整天的時間,才能將此指標傳送到客戶帳戶。
您可以使用此指標來建立 CloudWatch 警示,以便在憑證即將過期時通知您。
傳出憑證選擇會使用傳輸日期之前的值上限做為 `Inactive Date`。傳入程序接受 `Not Before`和 範圍內的憑證`Not After`,以及 `Active Date`和 範圍內的憑證`Inactive Date`。
### 憑證輪換範例
下表說明為單一設定檔設定兩個憑證的一種可能方式。
**兩個輪換中的憑證**
| 名稱 | NOT BEFORE (由憑證授權單位控制) | ACTIVE DATE (由 Transfer Family 設定) | INACTIVE DATE (由 Transfer Family 設定) | NOT AFTER (由憑證授權單位設定) |
| --- | --- | --- | --- | --- |
| Cert1 (較舊的憑證) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 |
| Cert2 (較新的憑證) | 2020-11-01 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
注意下列事項:
+ 當您`Inactive Date`為憑證指定 `Active Date`和 時,範圍必須在 `Not Before`和 之間的範圍內`Not After`。
+ 我們建議您為每個設定檔設定多個憑證,確保所有憑證的作用中日期範圍都涵蓋您想要使用該設定檔的時間長度。
+ 建議您在較舊的憑證變為非作用中和較新的憑證變為作用中之間指定一些寬限期。在上述範例中,第一個憑證在 2020-12-31 之前不會變成非作用中,而第二個憑證在 2020-06-01 變為作用中,提供 6 個月的寬限期。在 2020-06-01 到 2020-12-31 期間,這兩個憑證都是作用中的。