Rotar las claves del host del servidor - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rotar las claves del host del servidor

Periódicamente, puede rotar la clave de host del servidor.

Cómo elige el cliente una clave de host de servidor

La forma en que Transfer Family elige qué clave de servidor aplicar depende de las condiciones del cliente SFTP, como se explica aquí. Se supone que hay una clave más antigua y otra más nueva.

  • Un cliente SFTP no tiene una clave de host pública anterior para el servidor. La primera vez que el cliente se conecta al servidor, ocurre una de las siguientes situaciones:

    • El cliente falla en la conexión, si está configurado para hacerlo.

    • O bien, el cliente elige la primera clave que coincide con los posibles algoritmos disponibles y pregunta al usuario si se puede confiar en esa clave. Si es así, el cliente actualiza automáticamente el known_hosts archivo (o cualquier archivo o recurso de configuración local que el cliente utilice para registrar las decisiones de confianza) e introduce esa clave.

  • Un cliente SFTP tiene una clave antigua en su known_hosts archivo. El cliente prefiere usar esta clave, incluso si existe una clave más nueva, ya sea para el algoritmo de esta clave o para otro algoritmo. Esto se debe a que el cliente tiene un mayor nivel de confianza en la clave que se encuentra en su known_hosts archivo.

  • Un cliente SFTP tiene la nueva clave (en cualquiera de los algoritmos disponibles) en su archivo de known_hosts claves. El cliente ignora las claves antiguas porque no son de confianza y usa la nueva clave.

  • Un cliente SFTP tiene ambas claves en su known_hosts archivo. El cliente elige la primera clave por índice que coincide con la lista de claves disponibles que ofrece el servidor.

Transfer Family prefiere que el cliente SFTP tenga todas las claves en su known_hosts archivo, ya que esto permite una mayor flexibilidad a la hora de conectarse a un servidor de Transfer Family. La rotación de claves se basa en el hecho de que pueden existir varias entradas en el known_hosts archivo para el mismo servidor Transfer Family.

Gire la clave del host del servidor (procedimiento)

Como ejemplo, supongamos que ha agregado el siguiente conjunto de claves de host de servidor a su servidor Transfer Family.

Claves de host del servidor
Tipo de clave de host Fecha en que se añadió al servidor
RSA 1 de abril de 2020
ECDSA 1 de febrero de 2020
ED25519 1 de diciembre de 2019
RSA 1 de octubre de 2019
ECDSA 1 de junio de 2019
ED25519 1 de marzo de 2019
Rotación de las claves del host del servidor
  1. Agregue una nueva clave de host del servidor. Este procedimiento se describe en Agregue una clave de host de servidor adicional.

  2. Elimine una o más claves de host del mismo tipo que las que había agregado anteriormente. Este procedimiento se describe en Eliminar una clave de host.

  3. Todas las claves están visibles y pueden estar activas, según el comportamiento descrito anteriormente enCómo elige el cliente una clave de host de servidor.