本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 AS2 证书
本主题讨论如何导入和管理 AS2 证书。导入证书是 Transfer Family AS2 流程的第一步。
1. 导入证书
1. [创建 AS2 个人资料](configure-as2-profile.md)
1. [创建 AS2 服务器](create-as2-transfer-server.md)
1. [创建 AS2 协议](create-as2-transfer-server.md#as2-agreements)
1. [配置 AS2 连接器](configure-as2-connector.md)
## 导入 AS2 证书
Transf AS2 er Family 流程使用证书密钥对传输的信息进行加密和签名。合作伙伴可以为两个目的使用相同的密钥,也可以为每个目的使用单独的密钥。如果您的通用加密密钥由受信任的第三方托管,以便在发生灾难或安全漏洞时可以对数据进行解密,我们建议您使用单独的签名密钥。通过使用单独的签名密钥(您不托管),您不会损害数字签名的不可否认性功能。
**注意**
AS2 证书的密钥长度必须至少为 2048 位,最多为 4096 位。
以下几点详细说明了在此过程中如何使用 AS2 证书。
+ 入境 AS2
+ 交易伙伴发送签名证书的公有密钥,该密钥将导入至合作伙伴配置文件中。
+ 本地方发送用于其加密和签名证书的公有密钥。然后,合作伙伴导入一个或多个私有密钥。本地方可以发送单独的证书密钥进行签名和加密,也可以选择将相同的密钥用于两种用途。
+ 出境 AS2
+ 合作伙伴发送其加密证书的公有密钥,该密钥将导入至合作伙伴配置文件中。
+ 本地方发送证书的公有密钥进行签名,并导入证书的私有密钥进行签名。
+ 如果您使用的是 HTTPS,则可以导入自签名的传输层安全 (TLS) 证书。
有关如何创建证书的详细信息,请参阅 [步骤 1:为创建证书 AS2](as2-example-tutorial.md#as2-create-certs)。
此步骤说明了如何使用 Transfer Family 控制台导入证书。如果要 AWS CLI 改用,请参阅[第 2 步:将证书作为 Transfer Family 证书资源导入](as2-example-tutorial.md#as2-import-certs-example)。
**指定 AS2启用了的证书**
1. 打开 AWS Transfer Family 控制台,网址为[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)。
1. 在左侧导航窗格的 “**AS2 贸易伙伴**” 下,选择 “**证书**”。
1. 选择**导入证书**。
1. 在**证书配置**部分的**证书描述**中,输入一个易于识别的证书名称。确保您可以通过其描述来识别证书的用途。此外,选择证书的角色。
1. 在**证书使用**部分中,选择此证书的用途。它可以用于加密、签名或两者兼而有之。
**提示:**如果您为使用选择**加密和签名**,Transfer Family 会创建两个相同的证书(每个证书都有自己的 ID):一个使用值为,另一个使用值为`SIGNING`。`ENCRYPTION`
1. 在**证书内容**部分,提供交易伙伴提供的公有证书,或本地证书的公有和私有密钥。
在**证书内容**部分填写相应的详细信息。
+ 如果选择**自签名证书**,则不提供证书链。
+ 将证书文本及其链粘贴到**证书和证书链**字段中。
+ 如果此证书是本地证书,请粘贴其私有密钥。
1. 选择**导入证书**以完成该流程并保存导入证书的详细信息。
**注意**
TLS 证书只能作为合作伙伴的公共证书导入。如果您选择**合作伙伴提供的公共证书**,然后为使用选择**传输层安全 (TLS)**,则会收到警告。此外,TLS 证书必须是自签名的(也就是说,您必须选择**自签名证书**才能导入 TLS 证书)。
## AS2 证书轮换
通常,证书的有效期为六个月至一年。您可能已经设置想要保留更长时间的配置文件。为此,Transfer Family 提供了证书轮换功能。您可以为一个配置文件指定多个证书,以便您可以连续多年使用该配置文件。Transfer Family 使用证书进行签名(可选)和加密(必填)。如果您愿意,可以为这两个目的指定一个证书。
证书轮换是将即将过期的旧证书替换为较新的证书的过程。过渡是渐进的,以避免协议中的合作伙伴尚未为出站传输配置新证书,或者可能在使用新证书的时期发送使用旧证书签名或加密的有效负载,从而避免中断传输。新旧证书均有效的中间期称为*宽限期*。
X.509 证书有 `Not Before` 日期和 `Not After` 日期。但是,这些参数可能无法为管理员提供足够的控制。Transfer Family 提供 `Active Date` 和 `Inactive Date` 设置以控制哪些证书用于出站负载,哪些证书被接受用于入站负载。
### 证书到期监控
Transfer Famil CloudWatch y `DaysUntilExpiry` 在导入证书后会发布亚马逊指标。该指标显示当前日期与证书`InactiveDate`上指定的日期之间的天数。该指标位于 CloudWatch指标控制面板的`Transfer` AWS 命名空间下。
此指标将始终有一个指标维度 **CertificateId**,如果客户在证书上提供了**描述**维度,则可以选择包含描述维度。有关 CloudWatch 指标维度的更多信息,请参阅 *CloudWatch API 参考*中的[维度](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html)。
**注意**
导入 Transfer Family 证书后,可能需要整整一天的时间才能将该指标发送到客户账户。
您可以使用此指标创建 CloudWatch 警报,在证书即将到期时通知您。
出站证书选择使用转移日期之前的最大值作为 `Inactive Date`。入站流程接受 `Not Before` 和 `Not After` 范围内的证书,以及 `Active Date` 和 `Inactive Date` 范围内的证书。
### 证书轮换示例
下表描述了为单个配置文件配置两个证书的一种可能方法。
**两个证书轮换**
| Name | NOT BEFORE(由证书颁发机构控制) | ACTIVE DATE(由 Transfer Family 设置) | INACTIVE DATE(由 Transfer Family 设置) | NOT AFTER(由证书颁发机构设置) |
| --- | --- | --- | --- | --- |
| 证书 1(旧证书) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 |
| 证书 2(新证书) | 2020-11-01 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
注意以下几点:
+ 为证书指定 `Active Date` 和 `Inactive Date` 时,该范围必须介于 `Not Before` 和 `Not After` 之间。
+ 我们建议您为每个配置文件配置多个证书,确保所有证书的有效日期范围涵盖您要使用该配置文件的时间。
+ 我们建议您在旧证书变为非活动状态和新证书处于活动状态之间指定一段宽限时间。在前面的示例中,第一个证书直到 2020 年 12 月 31 才处于非活动状态,而第二个证书在 2020 年 6 月 1 日生效,提供了 6 个月的宽限期。在 2020 年 6 月 1 日至 2020 年 12 月 31 日期间,两个证书均处于活动状态。