Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family
In diesem Abschnitt finden Sie Informationen zu SSH-Schlüsseln, einschließlich deren Generierung und Rotation. Einzelheiten zur Verwendung von Transfer Family with AWS Lambda zur Schlüsselverwaltung finden Sie im Blogbeitrag [Aktivieren der Self-Service-Schlüsselverwaltung für Benutzer mit AWS Transfer Family und AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/). Informationen zur automatisierten Bereitstellung und Verwaltung von Benutzern mit mehreren SSH-Schlüsseln finden Sie unter. [Terraform-Module der Transfer Family](terraform.md)
**Anmerkung**
AWS Transfer Family akzeptiert RSA, ECDSA und ED25519 Schlüssel für die SSH-Authentifizierung.
In diesem Abschnitt wird auch beschrieben, wie Sie Pretty Good Privacy (PGP) -Schlüssel generieren und verwalten.
Einen umfassenden Überblick über alle unterstützten Verschlüsselungs- und Schlüsselalgorithmen, einschließlich Empfehlungen für verschiedene Anwendungsfälle, finden Sie unter[Überblick über Verschlüsselung und Schlüsselalgorithmen](#encryption-algorithms-overview).
## Überblick über Verschlüsselung und Schlüsselalgorithmen
AWS Transfer Family unterstützt verschiedene Arten von Algorithmen für unterschiedliche Zwecke. Wenn Sie wissen, welche Algorithmen für Ihren speziellen Anwendungsfall verwendet werden sollten, können Sie sichere und kompatible Dateiübertragungen gewährleisten.
**Kurzreferenz zum Algorithmus**
| Anwendungsfall | Empfohlener Algorithmus | FIPS-konform | Hinweise |
| --- | --- | --- | --- |
| SSH/SFTP-Authentifizierung | RSA (rsa-sha2-256/512), ECDSA oder ED25519 | RSA: Ja, ECSA: Ja,: Nein ED25519 | Kompatibel mit allen SSH-Clients und -Servern |
| Generierung von PGP-Schlüsseln | RSA oder ECC (NIST) | Ja | Für die Workflow-Entschlüsselung |
| PGP-Dateiverschlüsselung | AES-256 | Ja | Ermittelt durch die PGP-Software |
## SSH-Authentifizierungsalgorithmen
Diese Algorithmen werden für die SSH/SFTP Authentifizierung zwischen Clients und AWS Transfer Family Servern verwendet. Wählen Sie eines davon aus, wenn Sie SSH-Schlüsselpaare für die Benutzerauthentifizierung oder Server-Hostschlüssel generieren.
RSA (empfohlen)
**Kompatibel mit allen SSH-Clients und -Servern und FIPS-konform.** Zur Erhöhung der Sicherheit zusammen mit SHA-2-Hashing verwenden:
+ `rsa-sha2-256`- Für die meisten Anwendungsfälle empfohlen
+ `rsa-sha2-512`- Höhere Sicherheitsoption
ED25519
**Modern und effizient.** Kleinere Schlüsselgrößen mit hoher Sicherheit:
+ `ssh-ed25519`- Schnell und sicher, aber nicht FIPS-konform
ECDSA
**Option mit elliptischer Kurve.** Gute Balance zwischen Sicherheit und Leistung:
+ `ecdsa-sha2-nistp256`- Standardkurve
+ `ecdsa-sha2-nistp384`- Höhere Sicherheitskurve
+ `ecdsa-sha2-nistp521`- Höchste Sicherheitskurve
**Anmerkung**
Wir unterstützen `ssh-rsa` SHA1 für ältere Sicherheitsrichtlinien. Details hierzu finden Sie unter [Kryptografische Algorithmen](security-policies.md#cryptographic-algorithms).
**Den richtigen SSH-Algorithmus auswählen**
+ **Für die meisten Benutzer:** Verwenden Sie RSA mit oder `rsa-sha2-256` `rsa-sha2-512`
+ **Für FIPS-Konformität:** Verwenden Sie RSA- oder ECDSA-Algorithmen
+ **Für moderne Umgebungen:** ED25519 bietet hervorragende Sicherheit und Leistung
## PGP-Verschlüsselungs- und Entschlüsselungsalgorithmen
PGP (Pretty Good Privacy) verwendet zwei Arten von Algorithmen, die zusammenarbeiten, um Dateien in Workflows zu verschlüsseln und zu entschlüsseln:
1. **Schlüsselpaar-Algorithmen — Werden** verwendet, um die public/private Schlüsselpaare für Verschlüsselung und digitale Signaturen zu generieren
1. **Symmetrische Algorithmen** — Wird verwendet, um die eigentlichen Dateidaten zu verschlüsseln (die Schlüsselpaar-Algorithmen verschlüsseln den symmetrischen Schlüssel)
### PGP-Schlüsselpaar-Algorithmen
Wählen Sie einen der folgenden Algorithmen, wenn Sie PGP-Schlüsselpaare für die Workflow-Entschlüsselung generieren:
RSA (empfohlen)
**Für die meisten Benutzer empfohlen.** Weitgehend unterstützt, gut etabliert und FIPS-konform. Bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Kompatibilität.
ECC (Elliptische Kurven-Kryptografie)
**Effizienter als RSA** mit kleineren Schlüsselgrößen bei gleichzeitig hoher Sicherheit:
+ **NIST-Kurven — Standardkurven** werden weithin unterstützt und sind FIPS-konform
+ **BrainPool Kurven** — Alternative Kurven für spezifische Konformitätsanforderungen
+ **Curve25519** — Moderne Hochleistungskurve mit hoher Sicherheit bei effizienter Berechnung
ElGamal
**Legacy-Algorithmus.** Wird aus Gründen der Kompatibilität mit älteren Systemen unterstützt. Verwenden Sie RSA oder ECC für neue Implementierungen.
Ausführliche Anweisungen zur Generierung von PGP-Schlüsseln finden Sie unter. [Generieren Sie PGP-Schlüssel](generate-pgp-keys.md)
### Symmetrische PGP-Verschlüsselungsalgorithmen
Diese Algorithmen verschlüsseln Ihre eigentlichen Dateidaten. Der verwendete Algorithmus hängt davon ab, wie die PGP-Datei von Ihrer PGP-Software erstellt wurde:
**FIPS-konforme Algorithmen (empfohlen für regulierte Umgebungen)**
+ **AES-128, AES-192, AES-256 — Erweiterter Verschlüsselungsstandard (empfohlen**)
+ **3DES** — Triple Data Encryption Standard (veraltet, verwenden Sie AES, wenn möglich)
**Andere unterstützte Algorithmen**
+ IDEA, Blowfish CAST5, DES, KAMELIE-128, TwoFish KAMELIE-192, KAMELIE-256
**Anmerkung**
Sie wählen den symmetrischen Algorithmus nicht direkt, wenn Sie AWS Transfer Family Workflows verwenden — er wird durch die PGP-Software bestimmt, die zur Erstellung der verschlüsselten Datei verwendet wird. Sie können Ihre PGP-Software jedoch so konfigurieren, dass sie FIPS-konforme Algorithmen wie AES-256 bevorzugt.
Weitere Informationen zu unterstützten symmetrischen Algorithmen finden Sie unter. [Unterstützte symmetrische Verschlüsselungsalgorithmen](nominal-steps-workflow.md#symmetric-algorithms)
# Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer
Sie können Ihren Server so einrichten, dass Benutzer mithilfe der vom Service verwalteten Authentifizierungsmethode authentifiziert werden, bei der Benutzernamen und SSH-Schlüssel innerhalb des Dienstes gespeichert werden. Der öffentliche SSH-Schlüssel des Benutzers wird als Eigentum des Benutzers auf den Server hochgeladen. Dieser Schlüssel wird vom Server als Teil eines standardmäßigen schlüsselbasierten Authentifizierungsprozesses verwendet. Jeder Benutzer kann mehrere öffentliche SSH-Schlüssel bei einem einzelnen Server registrieren. Informationen zur Begrenzung der Anzahl der Schlüssel, die pro Benutzer gespeichert werden können, finden Sie unter [AWS Transfer Family Endpunkte und Kontingente](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) in der. *Allgemeine Amazon Web Services-Referenz*
Als Alternative zur vom Dienst verwalteten Authentifizierungsmethode können Sie Benutzer mithilfe eines benutzerdefinierten Identitätsanbieters authentifizieren, oder. AWS Directory Service for Microsoft Active Directory Für weitere Informationen siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) oder [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
Ein Server kann Benutzer nur mit einer Methode authentifizieren (vom Dienst verwaltet, Verzeichnisdienst oder benutzerdefinierter Identitätsanbieter), und diese Methode kann nicht geändert werden, nachdem der Server erstellt wurde.
**Topics**
+ [SSH-Schlüssel auf macOS, Linux oder Unix erstellen](macOS-linux-unix-ssh.md)
+ [SSH-Schlüssel unter Microsoft Windows erstellen](windows-ssh.md)
+ [Einen Schlüssel in das SSH2 SSH-Format für öffentliche Schlüssel konvertieren](convert-ssh2-public-key.md)
# SSH-Schlüssel auf macOS, Linux oder Unix erstellen
Auf den Betriebssystemen macOS, Linux oder Unix verwenden Sie den `ssh-keygen` Befehl, um einen öffentlichen SSH-Schlüssel und einen privaten SSH-Schlüssel zu erstellen, die auch als key pair bezeichnet werden.
**Anmerkung**
In den folgenden Beispielen geben wir keine Passphrase an: In diesem Fall fordert das Tool Sie auf, Ihre Passphrase einzugeben und sie dann zur Überprüfung zu wiederholen. Die Erstellung einer Passphrase bietet einen besseren Schutz für Ihren privaten Schlüssel und kann auch die allgemeine Systemsicherheit verbessern. Sie können Ihre Passphrase nicht wiederherstellen: Wenn Sie sie vergessen, müssen Sie einen neuen Schlüssel erstellen.
Wenn Sie jedoch einen Server-Hostschlüssel generieren, *müssen* Sie eine leere Passphrase angeben, indem Sie die `-N ""` Option im Befehl angeben (oder indem Sie **Enter** zweimal drücken, wenn Sie dazu aufgefordert werden), da Transfer Family Family-Server beim Start kein Passwort anfordern können.
**Um SSH-Schlüssel auf einem macOS-, Linux- oder Unix-Betriebssystem zu erstellen**
1. Öffnen Sie auf macOS-, Linux- oder Unix-Betriebssystemen ein Befehlsterminal.
1. AWS Transfer Family akzeptiert Schlüssel im RSA-, ECDSA- und ED25519 -Format. Wählen Sie den entsprechenden Befehl basierend auf dem Typ des Schlüsselpaars, das Sie generieren.
**Tipp**: `key_name` Ersetzen Sie es durch den tatsächlichen Namen Ihrer SSH-Schlüsselpaardatei.
+ Um ein RSA 4096-Bit-Schlüsselpaar zu generieren:
```
ssh-keygen -t rsa -b 4096 -f key_name
```
+ Um ein 521-Bit-ECDSA-Schlüsselpaar zu generieren (ECDSA hat Bitgrößen von 256, 384 und 521):
```
ssh-keygen -t ecdsa -b 521 -f key_name
```
+ Um ein ED25519 key pair zu generieren:
```
ssh-keygen -t ed25519 -f key_name
```
Im Folgenden wird ein Beispiel für die `ssh-keygen` Ausgabe gezeigt.
```
ssh-keygen -t rsa -b 4096 -f key_name
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in key_name.
Your public key has been saved in key_name.pub.
The key fingerprint is:
SHA256:8tDDwPmanTFcEzjTwPGETVWOGW1nVz+gtCCE8hL7PrQ bob.amazon.com
The key's randomart image is:
+---[RSA 4096]----+
| . ....E |
| . = ... |
|. . . = ..o |
| . o + oo = |
| + = .S.= * |
| . o o ..B + o |
| .o.+.* . |
| =o*+*. |
| ..*o*+. |
+----[SHA256]-----+
```
**Tipp**: Wenn Sie den `ssh-keygen` Befehl wie oben gezeigt ausführen, erstellt er die öffentlichen und privaten Schlüssel als Dateien im aktuellen Verzeichnis.
Ihr SSH-Schlüsselpaar ist jetzt einsatzbereit. Folgen Sie den Schritten 3 und 4, um den öffentlichen SSH-Schlüssel für Ihre vom Service verwalteten Benutzer zu speichern. Diese Benutzer verwenden die Schlüssel, wenn sie Dateien auf Transfer Family Family-Serverendpunkten übertragen.
1. Navigieren Sie zu der `key_name.pub` Datei und öffnen Sie sie.
1. Kopieren Sie den Text und fügen Sie ihn in den **öffentlichen SSH-Schlüssel** für den vom Service verwalteten Benutzer ein.
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie dann im Navigationsbereich **Server** aus.
1. Wählen Sie auf der Seite **Server** die **Server-ID** für den Server aus, auf dem sich der Benutzer befindet, den Sie aktualisieren möchten.
1. Wählen Sie den Benutzer aus, für den Sie einen öffentlichen Schlüssel hinzufügen möchten.
1. Wählen Sie im Bereich **Öffentliche SSH-Schlüssel** die Option **Öffentlichen SSH-Schlüssel hinzufügen** aus.
![\[Die AWS Transfer Family Konsole, die die Benutzerdetails für einen ausgewählten Benutzer anzeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-add-key-01.png)
1. Fügen Sie den Text des öffentlichen Schlüssels, den Sie generiert haben, in das Textfeld für den öffentlichen SSH-Schlüssel ein und wählen Sie dann **Schlüssel hinzufügen** aus.
![\[Die AWS Transfer Family Konsole, auf der die Seite „Schlüssel hinzufügen“ zum Hinzufügen eines öffentlichen Schlüssels angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-add-key-02.png)
Der neue Schlüssel ist im Bereich mit öffentlichen SSH-Schlüsseln aufgeführt.
![\[Die AWS Transfer Family Konsole, die den neu hinzugefügten öffentlichen Schlüssel im Bereich Öffentliche SSH-Schlüssel anzeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-add-key-03.png)
# SSH-Schlüssel unter Microsoft Windows erstellen
Windows enthält OpenSSH als integrierte Funktion, mit der Sie SSH-Schlüssel im gleichen Format wie unter Linux oder macOS generieren können. Alternativ können Sie Tools von Drittanbietern wie den Schlüsselgenerator (Pu) von PuTTY verwenden. TTYgen
## Verwenden des in Windows integrierten OpenSSH
Neuere Versionen von Windows enthalten standardmäßig OpenSSH. Sie können dieselben `ssh-keygen` Befehle verwenden wie im Abschnitt MacOS/Linux beschrieben:
1. Öffnen Sie Windows PowerShell oder die Befehlszeile.
1. Führen Sie je nach Schlüsseltyp, den Sie generieren möchten, einen der folgenden Befehle aus:
+ Um ein RSA 4096-Bit-Schlüsselpaar zu generieren:
```
ssh-keygen -t rsa -b 4096 -f key_name
```
+ Um ein ECDSA 521-Bit-Schlüsselpaar zu generieren:
```
ssh-keygen -t ecdsa -b 521 -f key_name
```
+ Um ein ED25519 key pair zu generieren:
```
ssh-keygen -t ed25519 -f key_name
```
1. Folgen Sie den gleichen Schritten wie im macOS/Linux Abschnitt, in den Sie Ihren öffentlichen Schlüssel hochladen möchten AWS Transfer Family.
## Verwenden von Pu TTYgen (Drittanbieter-Tool)
Einige SSH-Clients von Drittanbietern für Windows, wie PuTTY, verwenden unterschiedliche Schlüsselformate. PuTTY verwendet das `PPK` Format für private Schlüssel. Wenn Sie PuTTY oder verwandte Tools wie WinSCP verwenden, können Sie Pu verwenden, um Schlüssel in TTYgen diesem Format zu erstellen.
**Anmerkung**
Wenn Sie WinSCP eine private Schlüsseldatei präsentieren, die nicht im `.ppk` Format ist, bietet dieser Client an, den Schlüssel für Sie in ein `.ppk` Format zu konvertieren.
[Ein Tutorial zum Erstellen von SSH-Schlüsseln mithilfe von Pu TTYgen finden Sie auf der Website SSH.com.](https://www.ssh.com/ssh/putty/windows/puttygen)
# Einen Schlüssel in das SSH2 SSH-Format für öffentliche Schlüssel konvertieren
AWS Transfer Family akzeptiert nur öffentliche Schlüssel im SSH-Format. Wenn Sie einen SSH2 öffentlichen Schlüssel haben, müssen Sie ihn konvertieren. Ein SSH2 öffentlicher Schlüssel hat das folgende Format:
```
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20160402"
AAAAB3NzaC1yc2EAAAABJQAAAgEAiL0jjDdFqK/kYThqKt7THrjABTPWvXmB3URI
:
:
---- END SSH2 PUBLIC KEY ----
```
Ein öffentlicher SSH-Schlüssel hat das folgende Format:
```
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAA...
```
Führen Sie den folgenden Befehl aus, um einen öffentlichen Schlüssel im SSH2 Format -in einen öffentlichen Schlüssel im SSH-Format zu konvertieren. *ssh2-key*Ersetzen Sie ihn durch den Namen Ihres SSH2 Schlüssels und *ssh-key* durch den Namen Ihres SSH-Schlüssels.
```
ssh-keygen -i -f ssh2-key.pub > ssh-key.pub
```
# Drehen Sie die SSH-Schlüssel
Aus Sicherheitsgründen empfehlen wir die bewährte Methode, Ihre SSH-Schlüssel zu rotieren. In der Regel wird diese Rotation als Teil einer Sicherheitsrichtlinie festgelegt und automatisiert implementiert. Je nach Sicherheitsstufe kann ein SSH-Schlüsselpaar für eine hochsensible Kommunikation nur einmal verwendet werden. Dadurch werden Risiken vermieden, die aus dem Speichern von Schlüsseln erwachsen. Es ist jedoch viel üblicher, SSH-Anmeldeinformationen für einen bestimmten Zeitraum zu speichern und ein Intervall festzulegen, das die Benutzer nicht übermäßig belastet. Dieser Zeitraum hat typischerweise eine Länge von drei Monaten.
**Anmerkung**
Informationen zur automatisierten SSH-Schlüsselrotation unter Verwendung von Infrastruktur als Code finden Sie unter. [Terraform-Module der Transfer Family](terraform.md)
Es gibt zwei Methoden zum Durchführen der SSH-Schlüsselrotation:
+ Auf der Konsole können Sie einen neuen öffentlichen SSH-Schlüssel hochladen und einen vorhandenen öffentlichen SSH-Schlüssel löschen.
+ Mithilfe der API können Sie bestehende Benutzer aktualisieren, indem Sie die [DeleteSshPublicKey](https://docs.aws.amazon.com//transfer/latest/APIReference/API_DeleteSshPublicKey.html)API verwenden, um den öffentlichen Secure Shell (SSH) -Schlüssel eines Benutzers zu löschen, und die [ImportSshPublicKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportSshPublicKey.html)API, um dem Konto des Benutzers einen neuen öffentlichen Secure Shell (SSH) -Schlüssel hinzuzufügen.
------
#### [ Console ]
**Um eine Schlüsselrotation in der Konsole durchzuführen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Navigieren Sie zur Seite **Server**.
1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.
1. Wählen Sie unter **Benutzer** das Kontrollkästchen des Benutzers aus, dessen öffentlichen SSH-Schlüssel Sie rotieren möchten. Wählen Sie dann **Aktionen** und anschließend **Schlüssel hinzufügen aus, um die Seite Schlüssel** **hinzufügen aufzurufen**.
oder
Wählen Sie den Benutzernamen aus, um die Seite mit den **Benutzerdetails** aufzurufen, und wählen Sie dann **Öffentlichen SSH-Schlüssel hinzufügen** aus, um die Seite **Schlüssel hinzufügen aufzurufen**.
1. Geben Sie den neuen öffentlichen SSH-Schlüssel ein und wählen Sie Schlüssel **hinzufügen**.
**Wichtig**
Das Format des öffentlichen SSH-Schlüssels hängt von der Art des von Ihnen generierten Schlüssels ab.
Für RSA-Schlüssel lautet das Format. `ssh-rsa string`
Für ED25519 Schlüssel ist `ssh-ed25519 string` das Format.
Bei ECDSA-Schlüsseln beginnt der Schlüssel mit`ecdsa-sha2-nistp256`, oder `ecdsa-sha2-nistp384``ecdsa-sha2-nistp521`, abhängig von der Größe des von Ihnen generierten Schlüssels. Auf die Anfangszeichenfolge folgt dann`string`, ähnlich wie bei den anderen Schlüsseltypen.
Sie kehren zur Seite mit den **Benutzerdetails** zurück, und der neue öffentliche SSH-Schlüssel, den Sie gerade eingegeben haben, wird im Abschnitt **Öffentliche SSH-Schlüssel** angezeigt.
1. **Aktivieren Sie das Kontrollkästchen des alten YOU-Schlüssels, den Sie löschen möchten, und wählen Sie dann Löschen.**
1. Bestätigen Sie den Löschvorgang, indem Sie das Wort eingeben`delete`, und wählen Sie dann **Löschen**.
------
#### [ API ]
**Um eine Schlüsselrotation mithilfe der API durchzuführen**
1. Öffnen Sie auf macOS-, Linux- oder Unix-Betriebssystemen ein Befehlsterminal.
1. Rufen Sie den SSH-Schlüssel ab, den Sie löschen möchten, indem Sie den folgenden Befehl eingeben. Um diesen Befehl zu verwenden, `serverID` ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server und `username` durch Ihren Benutzernamen.
```
aws transfer describe-user --server-id='serverID' --user-name='username'
```
Der Befehl gibt Details über den Benutzer zurück. Kopieren Sie den Inhalt des `"SshPublicKeyId":` Felds. Sie müssen diesen Wert später in diesem Verfahren eingeben.
```
"SshPublicKeys": [ { "SshPublicKeyBody": "public-key", "SshPublicKeyId": "keyID",
"DateImported": 1621969331.072 } ],
```
1. Importieren Sie als Nächstes einen neuen SSH-Schlüssel für Ihren Benutzer. Geben Sie an der -Eingabeaufforderung folgenden Befehl ein. Um diesen Befehl zu verwenden, `serverID` ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server, `username` ersetzen Sie ihn durch Ihren Benutzernamen und `public-key` ersetzen Sie ihn durch den Fingerabdruck Ihres neuen öffentlichen Schlüssels.
```
aws transfer import-ssh-public-key --server-id='serverID' --user-name='username'
--ssh-public-key-body='public-key'
```
``Wenn der Befehl erfolgreich ist, wird keine Ausgabe zurückgegeben.
1. Löschen Sie abschließend den alten Schlüssel, indem Sie den folgenden Befehl ausführen. Um diesen Befehl zu verwenden, `serverID` ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server, `username` ersetzen Sie ihn durch Ihren Benutzernamen und `keyID-from-step-2` ersetzen Sie ihn durch den Schlüssel-ID-Wert, den Sie in Schritt 2 dieses Verfahrens kopiert haben.
```
aws transfer delete-ssh-public-key --server-id='serverID' --user-name='username'
--ssh-public-key-id='keyID-from-step-2'
```
1. (Optional) Um zu bestätigen, dass der alte Schlüssel nicht mehr existiert, wiederholen Sie Schritt 2.
------
# Generieren Sie PGP-Schlüssel
Sie können die PGP-Entschlüsselung (Pretty Good Privacy) für die Dateien verwenden, die Transfer Family mit Workflows verarbeitet. Um die Entschlüsselung in einem Workflow-Schritt zu verwenden, geben Sie einen PGP-Schlüssel an. Ausführliche Informationen zu PGP-Schlüsselalgorithmen, einschließlich Empfehlungen und FIPS-Konformität, finden Sie unter. [PGP-Schlüsselpaar-Algorithmen](key-management.md#pgp-key-algorithms)
Der AWS Speicher-Blog enthält einen Beitrag, in dem beschrieben wird, wie Dateien mithilfe von Transfer Family Managed Workflows, Verschlüsseln und [Entschlüsseln von Dateien mit PGP und einfach entschlüsselt werden können, ohne Code zu](https://aws.amazon.com/blogs/storage/encrypt-and-decrypt-files-with-pgp-and-aws-transfer-family/) schreiben, beschrieben werden. AWS Transfer Family
Welchen Operator Sie zum Generieren Ihrer PGP-Schlüssel verwenden, hängt von Ihrem Betriebssystem und der Version der Software zur Schlüsselgenerierung ab, die Sie verwenden.
Wenn Sie Linux oder Unix verwenden, verwenden Sie zur Installation Ihr Paketinstallationsprogramm. `gpg` Abhängig von Ihrer Linux-Distribution sollte einer der folgenden Befehle für Sie funktionieren.
```
sudo yum install gnupg
```
```
sudo apt-get install gnupg
```
Für Windows oder macOS können Sie alles, was Sie benötigen, von [https://gnupg.org/download/](https://gnupg.org/download/) herunterladen.
Nachdem Sie Ihre PGP-Schlüsselgenerator-Software installiert haben, führen Sie den `gpg --gen-key` Befehl `gpg --full-gen-key` or aus, um ein key pair zu generieren.
**Anmerkung**
Wenn Sie `GnuPG` Version 2.3.0 oder neuer verwenden, müssen Sie ausführen. `gpg --full-gen-key` Wenn Sie nach dem Typ des zu erstellenden Schlüssels gefragt werden, wählen Sie RSA oder ECC. Wenn Sie **ECC** wählen, können Sie zwischen BrainPool und Curve25519 für die NIST elliptische Kurve wählen.
**Nützliche Unterbefehle `gpg`**
Im Folgenden finden Sie einige nützliche Unterbefehle für: `gpg`
+ `gpg --help`— Dieser Befehl listet die verfügbaren Optionen auf und kann einige Beispiele enthalten.
+ `gpg --list-keys`— Dieser Befehl listet die Details für alle Schlüsselpaare auf, die Sie erstellt haben.
+ `gpg --fingerprint`— Dieser Befehl listet die Details für alle Ihre Schlüsselpaare auf, einschließlich des Fingerabdrucks der einzelnen Schlüssel.
+ `gpg --export -a user-name`— Dieser Befehl exportiert den öffentlichen Schlüsselteil des Schlüssels für den`user-name`, der bei der Generierung des Schlüssels verwendet wurde.
# PGP-Schlüssel verwalten
Um Ihre PGP-Schlüssel zu verwalten, verwenden Sie. AWS Secrets Manager
**Anmerkung**
Ihr geheimer Name beinhaltet Ihre Transfer Family Family-Server-ID. Das bedeutet, dass Sie bereits einen Server identifiziert oder erstellt haben sollten, *bevor* Sie Ihre PGP-Schlüsselinformationen darin AWS Secrets Manager speichern können.
Wenn Sie einen Schlüssel und eine Passphrase für alle Ihre Benutzer verwenden möchten, können Sie die PGP-Schlüsselblockinformationen unter dem geheimen Namen speichern`aws/transfer/server-id/@pgp-default`, wo sich die ID für Ihren Transfer Family Family-Server `server-id` befindet. Transfer Family verwendet diesen Standardschlüssel, wenn es keinen Schlüssel gibt, der dem Benutzer `user-name` entspricht, der den Workflow ausführt.
Sie können einen Schlüssel für einen bestimmten Benutzer erstellen. In diesem Fall lautet das Format für den geheimen Namen`aws/transfer/server-id/user-name`, wobei dem Benutzer `user-name` entspricht, der den Workflow für einen Transfer Family Family-Server ausführt.
**Anmerkung**
Sie können maximal 3 private PGP-Schlüssel pro Transfer Family Family-Server pro Benutzer speichern.
**Um PGP-Schlüssel für die Verwendung bei der Entschlüsselung zu konfigurieren**
1. Abhängig von der GPG-Version, die Sie verwenden, führen Sie einen der folgenden Befehle aus, um ein PGP-Schlüsselpaar zu generieren.
+ Wenn Sie **GnuPG** Version 2.3.0 oder neuer verwenden, führen Sie den folgenden Befehl aus:
```
gpg --full-gen-key
```
Sie können wählen**RSA**, oder, falls Sie möchten**ECC**, können Sie entweder **NIST** **BrainPool** oder **Curve25519** für die elliptische Kurve wählen. Wenn Sie `gpg --gen-key` stattdessen ausführen, erstellen Sie ein key pair, das den ECC Curve 25519-Verschlüsselungsalgorithmus verwendet.
+ Für Versionen **GnuPG** vor 2.3.0 können Sie den folgenden Befehl verwenden, da RSA der Standardverschlüsselungstyp ist.
```
gpg --gen-key
```
**Wichtig**
Während der Schlüsselgenerierung müssen Sie eine Passphrase und eine E-Mail-Adresse angeben. Achten Sie darauf, diese Werte zu notieren. Sie müssen die Passphrase angeben, wenn Sie die Schlüsseldetails AWS Secrets Manager später in diesem Verfahren eingeben. Und Sie müssen dieselbe E-Mail-Adresse angeben, um den privaten Schlüssel im nächsten Schritt zu exportieren.
1. Führen Sie den folgenden Befehl aus, um den privaten Schlüssel zu exportieren. Um diesen Befehl zu verwenden, `private.pgp` ersetzen Sie ihn durch den Namen der Datei, in der der private Schlüsselblock gespeichert werden soll, und `marymajor@example.com` durch die E-Mail-Adresse, die Sie bei der Generierung des key pair verwendet haben.
```
gpg --output private.pgp --armor --export-secret-key marymajor@example.com
```
1. Dient AWS Secrets Manager zum Speichern Ihres PGP-Schlüssels.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie im linken Navigationsbereich **Secrets** aus.
1. Wählen Sie auf der Seite **Secrets** die Option **Neues Geheimnis speichern** aus.
1. **Wählen Sie auf der Seite Geheimtyp** auswählen für **Geheimtyp** die Option **Anderer Geheimtyp aus**.
1. Wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert** aus.
+ **Schlüssel — Geben Sie ein.** **PGPPrivateKey**
**Anmerkung**
Sie müssen die **PGPPrivateKey** Zeichenfolge exakt eingeben: Fügen Sie vor oder zwischen den Zeichen keine Leerzeichen hinzu.
+ **Wert** — Fügen Sie den Text Ihres privaten Schlüssels in das Wertfeld ein. Sie finden den Text Ihres privaten Schlüssels in der Datei (z. B.`private.pgp`), die Sie beim Exportieren Ihres Schlüssels zu Beginn dieses Verfahrens angegeben haben. Der Schlüssel beginnt mit `-----BEGIN PGP PRIVATE KEY BLOCK-----` und endet mit`-----END PGP PRIVATE KEY BLOCK-----`.
**Anmerkung**
Stellen Sie sicher, dass der Textblock nur den privaten Schlüssel und nicht auch den öffentlichen Schlüssel enthält.
1. Wählen Sie **Zeile hinzufügen** und wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert-Paare** aus.
+ **Schlüssel — Geben Sie ein.** **PGPPassphrase**
**Anmerkung**
Sie müssen die **PGPPassphrase** Zeichenfolge exakt eingeben: Fügen Sie vor oder zwischen den Zeichen keine Leerzeichen hinzu.
+ **Wert** — Geben Sie die Passphrase ein, die Sie bei der Generierung Ihres PGP-Schlüsselpaars verwendet haben.
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/pgp-secrets-01.png)
**Anmerkung**
Sie können bis zu 3 Sätze von Schlüsseln und Passphrasen hinzufügen. Um einen zweiten Satz hinzuzufügen, fügen Sie zwei neue Zeilen hinzu, geben Sie und **PGPPassphrase2** für die Schlüssel ein **PGPPrivateKey2** und fügen Sie einen weiteren privaten Schlüssel und eine Passphrase ein. Um einen dritten Satz hinzuzufügen, müssen die Schlüsselwerte und sein. **PGPPrivateKey3** **PGPPassphrase3**
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Geheim konfigurieren** einen Namen und eine Beschreibung für Ihr Geheimnis ein.
+ Wenn Sie einen Standardschlüssel erstellen, d. h. einen Schlüssel, der von jedem Transfer Family Family-Benutzer verwendet werden kann, geben Sie ein**aws/transfer/*server-id*/@pgp-default**. `server-id`Ersetzen Sie ihn durch die ID des Servers, der den Workflow enthält, der einen Entschlüsselungsschritt enthält.
+ Wenn Sie einen Schlüssel erstellen, der von einem bestimmten Transfer Family Family-Benutzer verwendet werden soll, geben Sie ein**aws/transfer/*server-id*/*user-name***. `server-id`Ersetzen Sie ihn durch die ID des Servers, der den Workflow enthält, der einen Entschlüsselungsschritt enthält, und `user-name` ersetzen Sie ihn durch den Namen des Benutzers, der den Workflow ausführt. Das `user-name` wird in dem Identitätsanbieter gespeichert, den der Transfer Family Family-Server verwendet.
1. Wählen Sie **Weiter** und akzeptieren Sie die Standardeinstellungen auf der Seite „**Rotation konfigurieren**“. Klicken Sie anschließend auf **Weiter**.
1. Wählen Sie auf der Seite **„Überprüfen**“ die Option **Speichern** aus, um das Geheimnis zu erstellen und zu speichern.
Der folgende Screenshot zeigt die Details für den Benutzer **marymajor** für einen bestimmten Transfer Family Family-Server. Dieses Beispiel zeigt drei Schlüssel und die entsprechenden Passphrasen.
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/pgp-secrets-02.png)
# Unterstützte PGP-Clients
Die folgenden Clients wurden mit Transfer Family getestet und können zum Generieren von PGP-Schlüsseln und zum Verschlüsseln von Dateien verwendet werden, die Sie mit einem Workflow entschlüsseln möchten.
+ **Gpg4win \$1 Kleopatra**.
**Anmerkung**
Wenn Sie **Dateien signieren/verschlüsseln** auswählen, stellen Sie sicher, dass Sie die Auswahl für **Signieren als deaktivieren: Derzeit unterstützen wir das Signieren** von verschlüsselten Dateien nicht.
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-step-decrypt-kleopatra.png)
Wenn Sie die verschlüsselte Datei signieren und versuchen, sie mit einem Entschlüsselungsworkflow auf einen Transfer Family Family-Server hochzuladen, wird die folgende Fehlermeldung angezeigt:
```
Encrypted file with signed message unsupported
```
+ Hauptversionen von **GnuPG**: 2.4, 2.3, 2.2, 2.0 und 1.4.
Beachten Sie, dass andere PGP-Clients möglicherweise auch funktionieren, aber nur die hier genannten Clients wurden mit Transfer Family getestet.