Rotiert die Server-Hostschlüssel - AWS Transfer Family
Wie der Client einen Server-Host-Schlüssel auswähltRotieren Sie das Verfahren für den Server-Host-Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rotiert die Server-Hostschlüssel

In regelmäßigen Abständen können Sie Ihren Server-Host-Schlüssel rotieren.

Wie der Client einen Server-Host-Schlüssel auswählt

Die Art und Weise, wie Transfer Family den anzuwendenden Serverschlüssel auswählt, hängt von den Bedingungen für den SFTP-Client ab, wie hier erklärt. Es wird davon ausgegangen, dass es einen älteren und einen neueren Schlüssel gibt.

  • Ein SFTP-Client hat zuvor keinen öffentlichen Hostschlüssel für den Server. Wenn der Client zum ersten Mal eine Verbindung zum Server herstellt, tritt einer der folgenden Fälle ein:

    • Der Client schlägt die Verbindung fehl, wenn er dafür konfiguriert ist.

    • Oder der Client wählt den ersten Schlüssel aus, der den möglichen verfügbaren Algorithmen entspricht, und fragt den Benutzer, ob dieser Schlüssel vertrauenswürdig ist. Wenn ja, aktualisiert der Client die known_hosts Datei (oder die lokale Konfigurationsdatei oder Ressource, die der Client zum Aufzeichnen von Vertrauensentscheidungen verwendet) automatisch und gibt diesen Schlüssel ein.

  • Ein SFTP-Client hat einen älteren Schlüssel in seiner known_hosts Datei. Der Client bevorzugt es, diesen Schlüssel zu verwenden, auch wenn ein neuerer Schlüssel existiert, entweder für den Algorithmus dieses Schlüssels oder für einen anderen Algorithmus. Das liegt daran, dass der Client dem Schlüssel, der sich in seiner known_hosts Datei befindet, ein höheres Maß an Vertrauen entgegenbringt.

  • Ein SFTP-Client hat den neuen Schlüssel (in einem der verfügbaren Algorithmen) in seiner known_hosts Schlüsseldatei. Der Client ignoriert ältere Schlüssel, weil sie nicht vertrauenswürdig sind, und verwendet den neuen Schlüssel.

  • Ein SFTP-Client hat beide Schlüssel in seiner known_hosts Datei. Der Client wählt den ersten Schlüssel anhand des Index aus, der mit der vom Server angebotenen Liste der verfügbaren Schlüssel übereinstimmt.

Transfer Family bevorzugt es, dass der SFTP-Client alle Schlüssel in seiner known_hosts Datei hat, da dies die größte Flexibilität bei der Verbindung zu einem Transfer Family Family-Server ermöglicht. Die Schlüsselrotation basiert auf der Tatsache, dass mehrere Einträge in der known_hosts Datei für denselben Transfer Family Family-Server vorhanden sein können.

Rotieren Sie das Verfahren für den Server-Host-Schlüssel

Nehmen wir als Beispiel an, dass Sie Ihrem Transfer Family Family-Server den folgenden Satz von Server-Hostschlüsseln hinzugefügt haben.

Server-Host-Schlüssel
Typ des Host-Schlüssels Datum, das dem Server hinzugefügt wurde
RSA 01. April 2020
ECDSA 1. Februar 2020
ED25519 1. Dezember 2019
RSA 1. Oktober 2019
ECDSA 1. Juni 2019
ED25519 1. März 2019
Um den Server-Host-Schlüssel zu rotieren

  1. Fügen Sie einen neuen Server-Hostschlüssel hinzu. Dieses Verfahren wird unter beschriebenFügen Sie einen zusätzlichen Server-Host-Schlüssel hinzu.

  2. Löschen Sie einen oder mehrere Hostschlüssel desselben Typs, die Sie zuvor hinzugefügt haben. Dieses Verfahren wird unter beschriebenLöscht einen Server-Hostschlüssel.

  3. Alle Tasten sind sichtbar und können je nach dem zuvor unter beschriebenen Verhalten aktiv seinWie der Client einen Server-Host-Schlüssel auswählt.