本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
添加其他的服务器主机密钥
在 AWS Transfer Family 控制台上,您可以添加其他服务器主机密钥。添加其他不同格式的主机密钥对于在客户端连接到服务器时识别服务器以及改善您的安全配置文件非常适用。例如,如果您的原始密钥是 RSA 密钥,则可以添加其他 ECDSA 密钥。
注意
SFTP 客户端将使用配置中与密钥算法相匹配的最旧密钥进行连接。每种密钥类型(RSA、ECDSA 或 ED25519)的最旧密钥是该类型服务器的活动密钥。
Transfer Family 服务器有多种类型的主机密钥时的安全注意事项
如果服务器有多种类型的主机密钥,则 SFTP 客户端可以按类型分配首选项。因此,当服务器有 RSA、ECDSA 和 ED25519 主机密钥时,选择将由类型的首选项决定。
现代 SFTP 客户端更喜欢使用 ECDSA 和 ED25519 主机密钥(如果它们存在)。如果要在服务器以前只有 RSA ED25519 密钥的情况下添加 ECDSA 或密钥,这一点就变得很重要。添加新的 ECDSA 或 ED25519 密钥可能会显示为对客户端的安全警告。
对于客户来说,密钥将显示为已更改,而实际上它并未更改:新密钥是在现有的 RSA 密钥之外添加的。如果您决定添加新类型的服务器主机密钥,请记住这一点。
要添加其他的服务器主机密钥
-
打开 AWS Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/
。 -
在左侧导航窗格中,选择服务器,然后选择使用 SFTP 协议的服务器。
-
在服务器详细信息页面上,向下滚动到服务器主机密钥部分。
-
选择添加主机密钥。
将显示添加服务器主机密钥页面。
-
在 “服务器主机密钥” 部分,输入 RSA、ECDSA 或 ED25519 私钥,当客户端通过支持 SFTP 的服务器连接到服务器时,该密钥用于识别您的服务器。
注意
创建服务器主机密钥时,请务必指定
-N ""(无密码)。有关如何生成密钥对的详细信息,请参阅 在 macOS、Linux 或 Unix 系统创建 SSH 密钥。 -
(可选)添加描述以区分多个服务器主机密钥。您可以为密钥添加标签。
-
选择添加密钥。您将返回到服务器详细信息页面。
要使用 AWS Command Line Interface (AWS CLI) 添加主机密钥,请使用 ImportHostKeyAPI 操作并提供新的主机密钥。如果创建新的启用 SFTP 的服务器,则在 CreateServer API 操作中提供主机密钥作为参数。您也可以 AWS CLI 使用更新现有主机密钥的描述。
以下示例import-host-key AWS CLI 命令导入指定启用 SFTP 的服务器的主机密钥。
aws transfer import-host-key --descriptionkey-description--server-idyour-server-id--host-key-bodyfile://my-host-key
