Hostschlüssel für Ihren SFTP-fähigen Server verwalten - AWS Transfer Family
Wann müssen Hostschlüssel importiert werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hostschlüssel für Ihren SFTP-fähigen Server verwalten

Server-Hostschlüssel sind private Schlüssel, die vom Transfer Family Family-Server verwendet werden, um dem Anrufer eine eindeutige Identität zu geben und sicherzustellen, dass es sich um den richtigen Server handelt. Diese Garantie wird durch das Vorhandensein des richtigen öffentlichen Schlüssels in der Datei des Anrufers durchgesetzt. known_hosts (Die known_hosts Datei ist eine Standardfunktion, die von den meisten SSH-Clients verwendet wird, um die öffentlichen Schlüssel für die Server zu speichern, mit denen Sie eine Verbindung hergestellt haben.) Sie können den öffentlichen Schlüssel, der Ihrem Server-Host-Schlüssel entspricht, abrufen, indem Sie ihn ssh-keyscan für Ihren Server ausführen.

Wichtig

Das versehentliche Ändern des Host-Schlüssels eines Servers kann zu Unterbrechungen führen. Je nachdem, wie Ihr SFTP-Client konfiguriert ist, kann er sofort fehlschlagen, mit der Meldung, dass kein vertrauenswürdiger Hostschlüssel vorhanden ist, oder es werden drohende Eingabeaufforderungen angezeigt. Wenn es Skripts für die Automatisierung von Verbindungen gibt, würden diese höchstwahrscheinlich ebenfalls fehlschlagen.

AWS Transfer Family Generiert standardmäßig Hostschlüssel für Ihren SFTP-fähigen Server. Sie können Server-Hostschlüssel importieren, um die Hostidentität zu wahren und zu vermeiden, dass Client-Vertrauensspeicher aktualisiert werden. Wann müssen Hostschlüssel importiert werdenlistet einige Gründe auf, warum Sie dies tun sollten. Wenn Sie keine Hostschlüssel angeben, werden neue für Sie generiert.

AWS Transfer Family unterstützt mehrere Hostschlüssel verschiedener Typen (RSA, ECDSA und ED25519), um die Kompatibilität mit einer breiteren Palette von Client-Host-Signaturalgorithmen zu gewährleisten. Verschiedene Schlüsseltypen ermöglichen spezifische Algorithmen: RSA-Schlüssel ermöglichen RSA-*-Algorithmen, ECDSA-Schlüssel ermöglichen ECDSA-*-Algorithmen und Schlüssel ermöglichen Ed25519-Algorithmen. ED25519 Planen Sie Ihre Schlüsseltypen bei der Servererstellung, da die Einführung zusätzlicher Schlüsseltypen, nachdem die Clients begonnen haben, mit dem Server zu interagieren, für einige Clients störend sein kann und ebenso problematisch sein kann wie das Ersetzen vorhandener Hostschlüssel.

Um zu verhindern, dass Ihre Benutzer erneut aufgefordert werden, die Authentizität Ihres SFTP-fähigen Servers zu überprüfen, importieren Sie den Hostschlüssel für Ihren lokalen Server auf den SFTP-fähigen Server. Auf diese Weise wird auch verhindert, dass Ihre Benutzer vor einem möglichen Angriff gewarnt werden. man-in-the-middle

Als zusätzliche Sicherheitsmaßnahme können Sie die Host-Schlüssel auch regelmäßig wechseln. Details hierzu finden Sie unter Rotiert die Server-Hostschlüssel.

Anmerkung

Server-Hostschlüssel werden von Servern verwendet, die das SFTP-Protokoll unterstützen.

Wann müssen Hostschlüssel importiert werden

Hostschlüssel AWS Transfer Family können zwar automatisch generiert werden, es gibt jedoch mehrere Szenarien, in denen der Import Ihrer eigenen Hostschlüssel betriebliche Vorteile bietet:

  • Servermigration — Sie migrieren von einem vorhandenen Server auf einen vorhandenen Server AWS Transfer Family und möchten vermeiden, die Client-Vertrauensspeicher (known_hostsDateien) für bestehende Clients zu aktualisieren.

  • Notfallwiederherstellung und Failover — Sie haben mehrere AWS Transfer Family Server (z. B. einen in USA Ost (Ohio) und einen in USA West (Oregon)), die denselben öffentlichen DNS-Namen verwenden. Die Verwendung derselben Hostschlüssel auf beiden Servern gewährleistet einen reibungslosen Failover ohne Fehler bei der Client-Authentifizierung.

  • Betriebskontinuität — Sie möchten, dass das Host-Schlüsselmaterial in future für die Verwendung mit anderen Servern (AWS Transfer Family oder anderweitig) verfügbar ist, um eine konsistente Serveridentität in Ihrer gesamten Infrastruktur aufrechtzuerhalten.

  • Algorithmuskontrolle — Sie möchten mehr Client-Kompatibilität erreichen, indem Sie mehr Host-Schlüsselalgorithmen bereitstellen, oder Sie möchten kontrollieren, welche Algorithmen Clients verwenden können, indem Sie nur Schlüssel anbieten, die mit bestimmten Algorithmen kompatibel sind.

Die folgenden Themen enthalten detaillierte Verfahren für die Verwaltung von Server-Hostschlüsseln: