Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestisci AS2 i certificati
In questo argomento viene descritto come importare e gestire i AS2 certificati. L'importazione di certificati è il primo passo nel AS2 processo di Transfer Family.
1. Importazione di certificati
1. [Crea profili AS2](configure-as2-profile.md)
1. [Creare un AS2 server](create-as2-transfer-server.md)
1. [Creare un AS2 accordo](create-as2-transfer-server.md#as2-agreements)
1. [Configura i AS2 connettori](configure-as2-connector.md)
## Certificati di importazione AS2
Il AS2 processo Transfer Family utilizza chiavi di certificato sia per la crittografia che per la firma delle informazioni trasferite. I partner possono utilizzare la stessa chiave per entrambi gli scopi o una chiave separata per ciascuno. Se disponi di chiavi di crittografia comuni conservate in deposito da una terza parte affidabile in modo che i dati possano essere decrittografati in caso di emergenza o violazione della sicurezza, ti consigliamo di disporre di chiavi di firma separate. Utilizzando chiavi di firma separate (che non vengono affidate a garanzia), non compromettete le funzionalità di non ripudio delle vostre firme digitali.
**Nota**
La lunghezza della chiave per AS2 i certificati deve essere di almeno 2048 bit e al massimo di 4096.
I seguenti punti descrivono in dettaglio come vengono utilizzati AS2 i certificati durante il processo.
+ In entrata AS2
+ Il partner commerciale invia la propria chiave pubblica per il certificato di firma e questa chiave viene importata nel profilo del partner.
+ La parte locale invia la chiave pubblica per i certificati di crittografia e firma. Il partner importa quindi la chiave o le chiavi private. La parte locale può inviare chiavi di certificato separate per la firma e la crittografia oppure può scegliere di utilizzare la stessa chiave per entrambi gli scopi.
+ In uscita AS2
+ Il partner invia la chiave pubblica per il proprio certificato di crittografia e questa chiave viene importata nel profilo del partner.
+ La parte locale invia la chiave pubblica per il certificato da firmare e importa la chiave privata del certificato per la firma.
+ Se utilizzi HTTPS, puoi importare un certificato Transport Layer Security (TLS) autofirmato.
Per informazioni dettagliate su come creare certificati, consulta. [Fase 1: Creare certificati per AS2](as2-example-tutorial.md#as2-create-certs)
Questa procedura spiega come importare i certificati utilizzando la console Transfer Family. Se AWS CLI invece desideri utilizzare la, consulta[Fase 2: Importazione dei certificati come risorse di certificati Transfer Family](as2-example-tutorial.md#as2-import-certs-example).
**Per specificare un certificato AS2 abilitato**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione a sinistra, in **Partner AS2 commerciali**, scegli **Certificati**.
1. Selezionare **Import certificate (Importa certificato)**.
1. Nella sezione **Configurazione del certificato**, in **Descrizione del certificato**, inserisci un nome facilmente identificabile per il certificato. Assicurati di poter identificare lo scopo del certificato tramite la sua descrizione. Inoltre, scegli il ruolo per il certificato.
1. Nella sezione **Utilizzo del certificato**, scegli lo scopo di questo certificato. Può essere usato per la crittografia, la firma o entrambi.
**Suggerimento:** se scegli **Crittografia e firma** per l'utilizzo, Transfer Family crea due certificati identici (ognuno con il proprio ID): uno con un valore d'uso di `ENCRYPTION` e uno con un valore di utilizzo di`SIGNING`.
1. Nella sezione **Contenuto del certificato**, fornisci un certificato pubblico rilasciato da un partner commerciale o le chiavi pubbliche e private per un certificato locale.
Compila la sezione **Contenuto del certificato** con i dettagli appropriati.
+ Se scegli **Certificato autofirmato**, non fornisci la catena di certificati.
+ Incolla il testo del certificato e la relativa catena nel campo **Certificato e catena di certificati**.
+ Se questo certificato è un certificato locale, incollane la chiave privata.
1. Scegli **Importa certificato** per completare il processo e salvare i dettagli del certificato importato.
**Nota**
I certificati TLS possono essere importati solo come certificato pubblico del partner. Se si seleziona **Certificato pubblico di un partner** e quindi si seleziona **Transport Layer Security (TLS)** per l'utilizzo, viene visualizzato un avviso. Inoltre, i certificati TLS devono essere autofirmati (ovvero, è necessario selezionare Certificato **autofirmato per importare un certificato** TLS).
## AS2 rotazione dei certificati
Spesso i certificati sono validi per un periodo da sei mesi a un anno. È possibile che tu abbia impostato profili che desideri mantenere per un periodo più lungo. Per facilitare ciò, Transfer Family offre la rotazione dei certificati. È possibile specificare più certificati per un profilo, in modo da continuare a utilizzare il profilo per più anni. Transfer Family utilizza i certificati per la firma (opzionale) e la crittografia (obbligatoria). Se lo desideri, puoi specificare un singolo certificato per entrambi gli scopi.
La rotazione dei certificati è il processo di sostituzione di un vecchio certificato in scadenza con un certificato più recente. La transizione è graduale per evitare di interrompere i trasferimenti, laddove un partner dell'accordo non abbia ancora configurato un nuovo certificato per i trasferimenti in uscita o stia inviando payload firmati o crittografati con un vecchio certificato in un periodo in cui potrebbe essere in uso anche un certificato più recente. *Il periodo intermedio in cui sono validi sia i vecchi che i nuovi certificati viene definito periodo di grazia.*
I certificati X.509 hanno `Not Before` e date. `Not After` Tuttavia, questi parametri potrebbero non fornire un controllo sufficiente per gli amministratori. Transfer Family fornisce `Active Date` `Inactive Date` impostazioni per controllare quale certificato viene utilizzato per i payload in uscita e quale è accettato per i payload in entrata.
### Monitoraggio della scadenza dei certificati
Transfer Family pubblica una CloudWatch metrica Amazon `DaysUntilExpiry` dopo l'importazione di un certificato. La metrica indica il numero di giorni tra la data corrente e la data specificata nel certificato. `InactiveDate` La metrica si trova nello spazio dei `Transfer` AWS nomi nella dashboard delle metriche. CloudWatch
Questa metrica avrà sempre una dimensione metrica **CertificateId**e facoltativamente includerà una dimensione **Descrizione**, se fornita dal cliente nel certificato. *Per ulteriori informazioni sulle dimensioni CloudWatch metriche, consulta [Dimension](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html) nel riferimento API. CloudWatch *
**Nota**
Può essere necessario fino a un giorno intero dopo l'importazione di un Certificate for Transfer Family per emettere questa metrica sull'account del cliente.
Puoi utilizzare questa metrica per creare CloudWatch allarmi che ti avvisano quando i certificati stanno per scadere.
La selezione dei certificati in uscita utilizza il valore massimo precedente alla data del trasferimento come. `Inactive Date` I processi in entrata accettano certificati nell'intervallo di `Not Before` e `Not After` e nell'intervallo di `Active Date` e. `Inactive Date`
### Esempio di rotazione dei certificati
La tabella seguente descrive un modo possibile per configurare due certificati per un singolo profilo.
**Due certificati a rotazione**
| Nome | NOT BEFORE(controllato dall'autorità di certificazione) | ACTIVE DATE(impostato da Transfer Family) | INACTIVE DATE(impostato da Transfer Family) | NOT AFTER(impostato dall'autorità di certificazione) |
| --- | --- | --- | --- | --- |
| Cert1 (certificato precedente) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 |
| Cert2 (certificato più recente) | 2020-11-01 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
Tenere presente quanto segue:
+ Quando si specifica un `Active Date` e `Inactive Date` per un certificato, l'intervallo deve essere compreso tra e. `Not Before` `Not After`
+ Ti consigliamo di configurare diversi certificati per ogni profilo, assicurandoti che l'intervallo di date attivo per tutti i certificati combinati copra il periodo di tempo per il quale desideri utilizzare il profilo.
+ Ti consigliamo di specificare un periodo di tolleranza tra il momento in cui il certificato precedente diventa inattivo e il momento in cui il certificato più recente diventa attivo. Nell'esempio precedente, il primo certificato non diventa inattivo fino al 31/12/2020, mentre il secondo certificato diventa attivo il 01/06/2020, garantendo un periodo di grazia di 6 mesi. Nel periodo dal 01/06/2020 al 31/12/2020, entrambi i certificati sono attivi.