本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

本主题为创建和配置Amazon Transfer Family AS2 服务器提供了两种路径：

您可以快速创建Amazon CloudFormation堆栈用于演示目的。如中所述使用模板创建演示 Transfer Family AS2 堆栈。

您可以按照详细的 step-by-step 示例进行操作。如中所述AS2 step-by-step 示例设置。

我们提供了一个独立的Amazon CloudFormation模板，用于快速创建支持 AS2 的 Transfer Family 服务器。该模板使用公有 Amazon VPC 终端节点、证书、本地和合作伙伴配置文件、协议和连接器配置服务器。

在使用此模板之前，请注意以下事项：

如果您通过本模板创建堆栈，则需为使用的Amazon资源支付相应费用。

该模板创建多个证书并将它们放入其中Amazon Secrets Manager以安全地存储它们。如果你愿意，你可以从 Secrets Manager 中删除这些证书，因为你需要为使用此服务付费。在 Secrets Manager 中删除这些证书并不会将其从 Transfer Family 服务器中删除。因此，演示堆栈的功能不受影响。但是，对于要在生产 AS2 服务器上使用的证书，您可能需要使用 Secrets Manager 来管理和定期轮换存储的证书。

我们建议您仅将模板作为基础，主要用于演示目的。如果您想在生产中使用此演示堆栈，我们建议您修改模板的 YAML 代码以创建更强大的堆栈。例如，创建生产级证书，并创建可以在生产中使用的Amazon Lambda函数。

打开 Amazon CloudFormation 控制台，地址：https://console.aws.amazon.com/cloudformation。

在左侧导航窗格中，选择 Stacks (堆栈)。

选择 Create stack (创建堆栈)，然后选择 With new resources (standard) (使用新资源(标准))。

在 “先决条件-准备模板” 部分，选择 “模板已准备就绪”。

复制此链接，即 AS2 演示模板，然后将其粘贴到 Amazon S3 URL 字段中。

选择下一步。

在指定堆栈详细信息页面上，命名您的堆栈，然后指定以下参数：

在 AS2 下，分别输入本地 AS2 ID 和合作伙伴 AS2 ID 的值，local或接受默认值和。partner

在 “网络” 下，输入安全组入口 CIDR IP 的值，或接受默认值0.0.0.0/0。

此值采用 CIDR 格式，指定允许哪些 IP 地址用于传入 AS2 服务器的流量。默认值允许所有 IP 地址。0.0.0.0/0

在 “常规” 下，为 “前缀” 输入一个值，或接受默认值transfer-as2。此前缀位于堆栈创建的任何资源名称之前。例如，如果您使用默认前缀，则您的 Amazon S3 存储桶命名为transfer-as2-TransferS3BucketName。

选择下一步。在配置堆栈选项页面上，再次选择下一步。

查看您正在创建的堆栈的详细信息，然后选择创建堆栈。

在页面底部的功能下，您必须确认这Amazon CloudFormation可能会创建Amazon Identity and Access Management (IAM) 资源。

创建堆栈后，您可以使用Amazon Command Line Interface (Amazon CLI) 将测试 AS2 消息从合作伙伴服务器发送到本地 Transfer Family 服务器。将创建用于发送测试消息的示例Amazon CLI命令以及堆栈中的所有其他资源。

要使用此示例命令，请转到堆栈的输出选项卡，然后复制 TransferExampleAs2Command。然后，您可以使用运行该命令Amazon CLI。如果您尚未安装Amazon CLI，请参阅Amazon Command Line Interface用户指南Amazon CLI中的安装或更新最新版本的。

示例命令具有以下格式：

此命令的版本包含堆栈中TransferS3BucketName和TransferConnectorId资源的实际值。

此示例命令由两个单独的命令组成，这两个命令通过使用&&字符串链接在一起。

第一个命令在您的存储桶中创建一个新的空文本文件：

然后，第二个命令使用连接器将文件从合作伙伴配置文件发送到本地配置文件。Transfer Family 服务器设置了协议，允许本地配置文件接受来自合作伙伴个人资料的消息。

运行命令后，您可以转到您的 Amazon S3 存储桶 (TransferS3BucketName) 并查看其内容。如果命令成功，您应在存储桶中看到以下对象：

processed/— 此文件夹包含一个 JSON 文件，用于描述传输的文件和 MDN 响应。

processing/— 此文件夹暂时包含正在处理的文件，但在传输完成后，此文件夹应为空。

server-id/— 此文件夹是根据您的 Transfer Family 服务器 ID 命名的。它包含from-partner（此文件夹根据合作伙伴的 AS2 ID 动态命名），该文件夹本身包含failed/processed/、和processing/文件夹。该server-id/from-partner/processed/文件夹包含传输的文本文件的副本，以及相应的 JSON 和 MDN 文件。

test.txt— 此对象是传输的（空）文件。

本主题介绍如何使用设置适用性声明 2 (AS2) 配置Amazon Transfer Family。完成此处描述的步骤后，您将拥有一台启用 AS2 的服务器，该服务器已准备好接受来自示例贸易伙伴的 AS2 消息。您还将有一个连接器，可用于向示例贸易伙伴发送 AS2 消息。

示例设置的某些部分使用Amazon Command Line Interface (Amazon CLI)。如果您尚未安装Amazon CLI，请参阅Amazon Command Line Interface用户指南Amazon CLI中的安装或更新最新版本的。

为自己和您的贸易伙伴创建证书。如果您有可以使用的现有证书，则可以跳过此部分。

中描述了此过程步骤 1：为 AS2 创建证书。

创建使用 AS2 协议的Amazon Transfer Family服务器。或者，您可以向服务器添加弹性 IP 地址以使其面向 Internet。

中描述了此过程步骤 2：创建使用 AS2 协议的Transfer Family 服务器。

导入您在步骤 1 中创建的证书。

中描述了此过程步骤 3：将证书作为Transfer Family 证书资源导入。

创建本地档案和合作伙伴档案以设置您的贸易伙伴。

中描述了此过程第 4 步：为您和您的贸易伙伴创建个人资料。

在您和您的贸易伙伴之间创建协议。

中描述了此过程步骤 5：在您与合作伙伴之间创建协议。

在您和您的贸易伙伴之间创建连接器。

中描述了此过程步骤 6：在您和您的伴侣之间创建连接器。

测试 AS2 文件交换。

中描述了此过程第 7 步：使用Transfer Family 测试通过 AS2 交换文件。

完成这些步骤后，您可以执行以下操作：

使用 Transfer Familystart-file-transferAmazon Command Line Interface (Amazon CLI) 命令将文件发送到启用 AS2 的远程伙伴服务器。

通过您的虚拟私有云 (VPC) 终端节点从端口 5080 上启用 AS2 的远程合作伙伴服务器接收文件。

AS2 交易所中的双方都需要 X.509 证书。你可以用任何你喜欢的方式创建这些证书。本主题介绍如何从命令行使用 OpenSSL 创建根证书，然后签署下级证书。双方都必须生成自己的证书。

要与合作伙伴传输文件，请注意以下事项：

您可以将证书附加到配置文件。证书包含公钥或私钥。

您的贸易伙伴向您发送他们的公钥，然后您将其发送给他们。

您的贸易伙伴使用您的公钥加密消息，并使用其私钥对消息进行签名。相反，您可以使用合作伙伴的公钥加密消息，然后使用私钥对消息进行签名。

如果你更喜欢使用 GUI 管理密钥，Portecle 是你可以使用的选项之一。

不要将您的私钥发送给您的伴侣。在此示例中，您为一方生成了一组自签名的公钥和私钥。如果您打算同时充当两个贸易伙伴进行测试，则可以重复这些说明生成两组密钥：每个贸易伙伴一组。在这种情况下，您无需生成两个根证书颁发机构 (CA)。

运行以下命令以生成模数为 2048 位长的 RSA 私有密钥。

运行以下命令使用您的root-ca-key.pem文件创建自签名证书。

-subj参数包含以下值。

为您的本地配置文件创建签名密钥和加密密钥。

一些启用 AS2 的服务器，例如 OpenAS2，要求您使用相同的证书进行签名和加密。在这种情况下，您可以为这两个目的导入相同的私钥和证书。为此，请运行此命令而不是前面的两个命令：

运行以下命令创建证书签名请求 (CSR)，以供根密钥签名。

接下来，你必须创建一个signing-cert.conf文件和一个encryption-cert.conf文件。

使用文本编辑器创建具有以下内容的signing-cert.conf文件：

使用文本编辑器创建具有以下内容的encryption-cert.conf文件：

最后，您可以通过运行以下命令来创建签名证书。

此过程说明如何使用 Transfer 系列创建启用 AS2 的服务器Amazon CLI。

许多示例步骤都使用从文件加载参数的命令。有关使用文件加载参数的更多详细信息，请参阅如何从文件加载参数。

如果要改为使用控制台，请参阅创建启用 AS2 的服务器。

与创建 SFTP 或 FTPSAmazon Transfer Family 服务器的方式类似，您可以使用create-serverAmazon CLI命令的--protocols AS2参数创建启用 AS2 的服务器。目前，Transfer Family 仅支持 VPC 终端节点类型和采用 AS2 协议的 Amazon S3 存储。

当您使用create-server命令为 Transfer Family 创建启用 AS2 的服务器时，会自动为您创建 VPC 终端节点。此端点公开 TCP 端口 5080，以便它可以接受 AS2 消息。

如果您想向互联网公开您的 VPC 终端节点，可以将弹性 IP 地址与您的 VPC 终端节点关联起来。

要使用这些说明，您需要以下内容：

您的 VPC 的 ID（例如 vpc-abcdef01）。

您的 VPC 子网的 ID（例如 s ubnet-abcdef01、subnet-subnet-abcdef 0 1、subnet-021345ab）。

允许来自您的贸易伙伴（例如 sg-12345678 90abcdef0 和 sg-abcdef0 和 sg-abcdef01234567890）通过 TCP 端口 5080 传入流量的安全组的一个或多个 ID。

（可选）您想要与 VPC 终端节点关联的弹性 IP 地址。

如果您的贸易伙伴未通过 VPN 连接到您的 VPC，则需要互联网网关。有关更多信息，请参阅《Amazon VPC 用户指南》中的使用互联网网Connec t 互联网。

运行以下命令。将它们user input placeholder替换为您自己的信息。

（可选）您可以将 VPC 终端节点设为公用。您只能通过update-server操作将弹性 IP 地址连接到 Transfer Family 服务器。以下命令停止服务器，使用弹性 IP 地址对其进行更新，然后重新启动。

此start-server命令会自动为您创建包含服务器公有 IP 地址的 DNS 记录。要让您的贸易伙伴访问服务器，您需要向他们提供以下信息。在这种情况下，your-region指的是你的Amazon Web Services 区域。

s-your-server-id.server.transfer.your-region.amazonaws.com

您提供给贸易伙伴的完整 URL 如下所示：

http://s-your-server-id.server.transfer.your-region.amazonaws.com:5080

使用以下命令测试启用了 AS2 的服务器是否可访问，可以通过 VPC 终端节点的私有 DNS 地址或公有终端节点（如果您将弹性 IP 地址关联到终端节点）。

如果您的服务器配置正确，连接将成功，但您将收到 HTTP 状态码 400（错误请求）响应，因为您没有发送有效的 AS2 消息。

对于公共终端节点（如果您在上一步中关联了弹性 IP 地址），请运行以下命令，替换您的服务器 ID 和区域。

如果您在 VPC 内连接，请运行以下命令来查找 VPC 终端节点的私有 DNS 名称。

此describe-server命令在VpcEndpointId参数中返回您的 VPC 终端节点 ID。使用此值运行以下命令。

此describe-vpc-endpoints命令返回一个DNSEntries包含多个DnsName参数的数组。在以下命令中使用区域 DNS 名称（不包含可用区的名称）。

例如，以下命令显示上一个命令中占位符的示例值。

（可选）配置日志角色。Transfer Family 将以结构化 JSON 格式发送和接收的消息的状态记录到亚马逊 CloudWatch 日志中。要让 Transfer Family 访问您账户中的 CloudWatch 日志，您必须在服务器上配置登录角色。

创建信任transfer.amazonaws.com的Amazon Identity and Access Management (IAM) 角色并附加AWSTransferLoggingAccess托管策略。有关详细信息，请参阅创建 IAM 角色和策略。记下您刚创建的 IAM 角色的 Amazon 资源名称（ARN），并通过运行以下命令将其与服务器关联，并通过运行以下update-server命令将其与服务器关联：

尽管日志角色是可选的，但我们强烈建议您对其进行设置，以便您可以查看消息状态并解决配置问题。

此过程介绍如何使用使用使用导入证书Amazon CLI。如果您想改用 Transfer Family 控制台，请参阅导入 AS2 证书。

要导入您在步骤 1 中创建的签名和加密证书，请运行以下import-certificate命令。如果您使用相同的证书进行加密和签名，请两次导入相同的证书（一次随用SIGNING法导入，一次随ENCRYPTION用法导入）。

此命令返回您的签名CertificateId。在下一节中，此证书 ID 被称为my-signing-cert-id。

此命令返回您的加密CertificateId。在下一节中，此证书 ID 被称为my-encrypt-cert-id。

接下来，通过运行以下命令导入合作伙伴的加密和签名证书。

此命令返回您的合作伙伴的加密CertificateId。在下一节中，此证书 ID 被称为partner-encrypt-cert-id。

此命令返回您的合作伙伴的签名CertificateId。在下一节中，此证书 ID 被称为partner-signing-cert-id。

此过程介绍如何使用使用使用创建 AS2 配置文件Amazon CLI。如果您想改用 Transfer Family 控制台，请参阅创建 AS2 配置文件。

通过运行以下命令来创建本地 AS2 配置文件。此命令引用包含您的公钥和私钥的证书。

此命令返回您的个人资料 ID。在下一节中，此 ID 被称为my-profile-id。

现在，通过运行以下命令来创建合作伙伴配置文件。此命令仅使用您的合作伙伴的公钥证书。要使用此命令，请将user input placeholders替换为您自己的信息；例如，您的合作伙伴的 AS2 名称和证书 ID。

此命令返回您的合作伙伴的个人资料 ID。在下一节中，此 ID 被称为partner-profile-id。

在之前的命令中，将 MYCORP 替换为您的组织名称，将 PARTNER-COMPAN Y 替换为贸易伙伴的组织名称。

此过程介绍如何使用使用使用创建 AS2 协议Amazon CLI。如果您想改用 Transfer Family 控制台，请参阅创建 AS2 协议。

协议汇集了两个配置文件（本地和合作伙伴）、它们的证书以及允许双方之间入站 AS2 传输的服务器配置。您可以通过运行以下命令来列出您的项目。

此步骤需要 Amazon S3 存储桶和 IAM 角色，该角色具有对存储桶的读取/写入权限。创建此角色的说明与Transfer Family SFTP、FTP 和 FTPS 协议的说明相同，可在中找到创建 IAM 角色和策略。

要创建协议，您需要以下项目：

Amazon S3 存储桶名称（和对象前缀，如果已指定）

具有存储桶访问权限的 IAM 角色的 ARN

您的Transfer Family 服务器 ID

您的个人资料 ID 和伴侣的个人资料 ID

通过运行以下命令来创建协议。

如果成功，该命令会返回协议的 ID。然后，您可以使用以下命令查看协议的详细信息。

此过程介绍如何使用使用使用创建 AS2 连接器Amazon CLI。如果您想改用 Transfer Family 控制台，请参阅创建 AS2 连接器。

您可以使用StartFileTransfer API 操作通过连接器将存储在 Amazon S3 中的文件发送到贸易伙伴的 AS2 终端节点。您可以通过运行以下命令找到您之前创建的配置文件。

创建连接器时，必须提供合作伙伴的 AS2 服务器 URL。将下面的文本复制到名为的文件中testAS2Config.json。

然后运行以下命令以创建连接器。

如果您将公有弹性 IP 地址与您的 VPC 终端节点相关联，Transfer Family 会自动创建一个包含您的公有 IP 地址的 DNS 名称。子域名是您的Amazon Transfer Family服务器 ID（格式为s-1234567890abcdef0）。将您的服务器 URL 按以下格式提供给贸易伙伴。

如果您没有将公有弹性 IP 地址与您的 VPC 终端节点关联，请查找可在端口 5080 上通过 HTTP POST 接受贸易伙伴通过 HTTP POST 发送的 AS2 消息的 VPC 终端节点的主机名。要检索 VPC 终端节点的详细信息，请使用以下命令。

例如，假设前面的命令返回的 VPC 终端节点 ID 为vpce-1234abcd5678efghi。然后，您将使用以下命令检索 DNS 名称。

此命令返回运行以下命令所需的 VPC 终端节点的所有详细信息。

DnsEntries阵列中列出了 DNS 名称。您的贸易伙伴必须位于您的 VPC 内才能访问您的 VPC 终端节点（例如通过Amazon PrivateLink或 VPN）。按以下格式将您的 VPC 终端节点网提供给您的合作伙伴。

例如，以下 URL 显示了前面命令中占位符的示例值。

您可以通过在以下命令中引用连接器 ID 和文件路径来使用 Transfer Family 发送文件。

要查找连接器的详细信息，请运行命令aws transfer list-connectors。此命令返回连接器的连接器 ID、URL 和 ARN。然后，您可以使用要使用的 ID 运行该命令aws transfer describe-connector --connector-id your-connector-id。此命令会返回的所有详细信息your-connector-id。

成功的传输存储在您在中指定的base-directory参数中指定的位置步骤 5：在您与合作伙伴之间创建协议。如果传输成功完成，则文件存储为/path-defined-in-the-agreement/processed/original_filename.messageId.original_extension。

在此示例中，文件存储为DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox/processed/myfile1.messageId.txt和DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox/processed/myfile2.messageId.txt。

如果您在创建连接器时配置了日志角色，则还可以检查 CloudWatch 日志中是否有 AS2 消息的状态。