Administrar AS2 socios - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar AS2 socios

En este tema se explica cómo administrar AS2 los certificados, los perfiles y los acuerdos.

Importar AS2 certificados

El AS2 proceso Transfer Family utiliza claves de certificado tanto para el cifrado como para la firma de la información transferida. Los socios pueden usar la misma clave con ambos fines o una clave independiente para cada uno. Si tiene claves de cifrado comunes que un tercero de confianza guarda en custodia para poder descifrar los datos en caso de desastre o violación de la seguridad, le recomendamos que tenga claves de firma independientes. Al utilizar claves de firma independientes (que no deposite en custodia), no compromete las características de no repudio de sus firmas digitales.

nota

La longitud de la clave de AS2 los certificados debe ser de al menos 2048 bits y, como máximo, de 4096.

En los puntos siguientes se detalla cómo se utilizan AS2 los certificados durante el proceso.

  • Entrante AS2

    • El socio comercial envía su clave pública para el certificado de firma y esta clave se importa al perfil del socio.

    • La parte local envía la clave pública para sus certificados de cifrado y firma. A continuación, el socio importa la(s) clave(s) privada(s). La parte local puede enviar claves de certificado independientes para firmarlas y cifrarlas, o puede optar por utilizar la misma clave con ambos fines.

  • Saliente AS2

    • El socio envía la clave pública de su certificado de cifrado y esta clave se importa al perfil del socio.

    • La parte local envía la clave pública del certificado para firmarlo e importa la clave privada del certificado para firmarlo.

Para obtener información detallada acerca de la forma de crear certificados, consulte Paso 1: Cree certificados para AS2.

En este procedimiento, se explica cómo importar certificados mediante la consola Transfer Family. Si desea utilizar el AWS CLI en su lugar, consultePaso 3: importación de certificados como recursos de certificados de Transfer Family.

Para especificar un AS2 certificado habilitado
  1. Abra la AWS Transfer Family consola en. https://console.aws.amazon.com/transfer/

  2. En el panel de navegación izquierdo, en Socios AS2 comerciales, elija Certificados.

  3. Seleccione Importar certificado.

  4. En la sección Descripción del certificado, introduzca un nombre fácilmente identificable para el certificado. Asegúrese de poder identificar el propósito del certificado por su descripción. Además, elija el rol del certificado.

  5. En la sección Contenido del certificado, proporcione un certificado público de un socio comercial o las claves pública y privada de un certificado local.

  6. En la sección Uso del certificado, elija el propósito de este certificado. Se puede usar para cifrar, firmar o ambas cosas.

    nota

    Si elige Cifrado y la firma para el uso, Transfer Family crea dos certificados idénticos (cada uno con su propio ID): uno con un valor de uso ENCRYPTION y otro con un valor de uso de SIGNING.

  7. Rellene la sección Contenido del certificado con los detalles correspondientes.

    • Si elige Certificado autofirmado, no proporciona una cadena de certificados.

    • Se pega en el contenido del archivo del certificado.

    • Si el certificado no está autofirmado, proporcione una cadena de certificados.

    • Si este certificado es un certificado local, pegue su clave privada.

  8. Elija Importar certificado para completar el proceso y guardar los detalles del certificado importado.

AS2rotación de certificados

Los certificados suelen ser válidos durante un período de seis meses a un año. Es posible que haya configurado perfiles que desee conservar durante más tiempo. Para facilitar esto, Transfer Family ofrece la rotación de certificados. Puede especificar varios certificados para un perfil, lo que le permitirá seguir utilizando el perfil durante varios años. Transfer Family utiliza certificados para la firma (opcional) y el cifrado (obligatorio). Si lo desea, puede especificar un único certificado con ambos fines.

La rotación de certificados es el proceso de reemplazar un certificado antiguo que ha caducado por uno más nuevo. La transición es gradual para evitar interrumpir las transferencias cuando una de las partes del acuerdo aún no ha configurado un nuevo certificado para las transferencias salientes o puede que esté enviando cargas útiles firmadas o cifradas con un certificado antiguo durante un período en el que también se esté utilizando un certificado más nuevo. El período intermedio en el que son válidos tanto los certificados antiguos como los nuevos se denomina período de gracia.

Los certificados X.509 tienen fechas Not Before y Not After. Sin embargo, es posible que estos parámetros no proporcionen un control suficiente a los administradores. Transfer Family proporciona Active Date y Inactive Date configuración para controlar qué certificado se usa para las cargas útiles salientes y cuál se acepta para las cargas útiles entrantes.

La selección del certificado de salida utiliza el valor máximo anterior a la fecha de la transferencia como Inactive Date. Los procesos entrantes aceptan certificados dentro del rango de Not Before y Not After y dentro del rango de Active Date y Inactive Date.

En la siguiente tabla, se describe una forma posible de configurar dos certificados para un único perfil.

Dos certificados en rotación
Nombre NOT BEFORE (controlado por la autoridad de certificación) ACTIVE DATE (producida por Transfer Family) INACTIVE DATE (producida por Transfer Family) NOT AFTER (establecido por la autoridad de certificación)
Cert1 (certificado anterior) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2 (certificado más reciente) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

Tenga en cuenta lo siguiente:

  • Al especificar un certificado Active Date y Inactive Date para un certificado, el rango debe estar dentro del rango entre Not Before y Not After.

  • Se recomienda configurar varios certificados para cada perfil, asegurándose de que el intervalo de fechas activo de todos los certificados combinados abarque el período de tiempo durante el que desea utilizar el perfil.

  • Le recomendamos que especifique un período de gracia entre el momento en que el certificado anterior pasa a estar inactivo y el certificado más nuevo se activa. En el ejemplo anterior, el primer certificado no queda inactivo hasta el 31/12/2020, mientras que el segundo se activa el 1/06/2020, lo que proporciona un período de gracia de 6 meses. Durante el período comprendido entre el 1/06/2020 y el 31/12/2020, ambos certificados estarán activos.

Crear perfiles AS2

Utilice este procedimiento para crear perfiles locales y de socios. En este procedimiento se explica cómo crear AS2 perfiles mediante la consola Transfer Family. Si desea utilizar la AWS CLI en su lugar, consulte la Paso 4: creación de perfiles para usted y su socio comercial.

Para crear un AS2 perfil
  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación izquierdo, en Socios AS2 comerciales, elija Perfiles y, a continuación, seleccione Crear perfil.

  3. En la sección de configuración del perfil, introduzca el AS2 ID del perfil. Este valor se utiliza para los HTTP encabezados AS2 específicos del protocolo as2-from y as2-to para identificar la asociación comercial, que determina los certificados que se van a utilizar, etc.

  4. En la sección Tipo de perfil, elija Perfil local o Perfil de socio.

  5. En la sección Certificados, elija uno o más certificados en el menú desplegable.

    nota

    Si desea importar un certificado que no aparece en el menú desplegable, seleccione Importar un certificado nuevo. Esto abre una nueva ventana del navegador en la pantalla de importación de certificados. Para obtener información sobre el procedimiento de importación de certificados, consulte Importar AS2 certificados.

  6. (Opcional) En la sección Etiquetas, especifique uno o más pares de clave-valor para ayudar a identificar este perfil.

  7. Seleccione Crear perfil para completar el proceso y guardar el nuevo perfil.

Cree acuerdos AS2

Los acuerdos están asociados a los servidores Transfer Family. Especifican los detalles de los socios comerciales que utilizan el AS2 protocolo para intercambiar mensajes o archivos mediante Transfer Family, para las transferencias entrantes, es decir, el envío de AS2 archivos desde una fuente externa propiedad del socio a un servidor de Transfer Family.

En este procedimiento se explica cómo crear AS2 acuerdos mediante la consola Transfer Family. Si desea utilizar la AWS CLI en su lugar, consultePaso 5: creación de un acuerdo entre usted y su socio.

Creación de un acuerdo para un servidor de Transfer Family
  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación izquierdo, elija Servidores y, a continuación, elija un servidor que utilice el AS2 protocolo.

  3. En la página de detalles del servidor, desplácese hacia abajo hasta la sección Acuerdos.

    Captura de pantalla de la consola que muestra la sección de acuerdos con un ID de acuerdo y un estado de ACTIVE.
  4. Seleccione Añadir acuerdo.

  5. Complete los parámetros del acuerdo de la siguiente manera:

    1. En la sección Configuración del acuerdo, introduzca un nombre descriptivo. Asegúrese de poder identificar el propósito del acuerdo por su nombre. Además, defina el estado del acuerdo: Activo (seleccionado de forma predeterminada) o Inactivo.

    2. En la sección Configuración de la comunicación, elija un perfil local y un perfil de socio.

    3. En la sección de configuración de la carpeta Inbox, elija un bucket de Amazon S3 para almacenar los archivos entrantes y un IAM rol que pueda acceder al bucket. Si lo desea, puede introducir un prefijo (carpeta) para almacenar los archivos en el bucket.

      Por ejemplo, si escribe DOC-EXAMPLE-BUCKET para su bucket y incoming para su prefijo, los archivos entrantes se guardarán en la carpeta /DOC-EXAMPLE-BUCKET/incoming.

    4. (Opcional) En la sección Etiquetas, agregue etiquetas a su secreto.

    5. Una vez haya introducido toda la información del acuerdo, elija Crear acuerdo.

El nuevo acuerdo aparece en la sección Acuerdos de la página de detalles del servidor.