Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Hostschlüssel für Ihren SFTP-enabled Server verwalten
Server-Hostschlüssel sind private Schlüssel, die vom Transfer Family Family-Server verwendet werden, um dem Anrufer eine eindeutige Identität zu geben und sicherzustellen, dass es sich um den richtigen Server handelt. Diese Garantie wird durch das Vorhandensein des richtigen öffentlichen Schlüssels in der Datei des Anrufers durchgesetzt. known_hosts (Die known_hosts Datei ist eine Standardfunktion, die von den meisten SSH-Clients verwendet wird, um die öffentlichen Schlüssel für die Server zu speichern, mit denen Sie eine Verbindung hergestellt haben.) Sie können den öffentlichen Schlüssel, der Ihrem Server-Host-Schlüssel entspricht, abrufen, indem Sie ihn ssh-keyscan für Ihren Server ausführen.
Wichtig
Das versehentliche Ändern des Host-Schlüssels eines Servers kann zu Unterbrechungen führen. Je nachdem, wie Ihr SFTP-Client konfiguriert ist, kann er sofort fehlschlagen, mit der Meldung, dass kein vertrauenswürdiger Hostschlüssel vorhanden ist, oder es werden drohende Eingabeaufforderungen angezeigt. Wenn es Skripts für die Automatisierung von Verbindungen gibt, würden diese höchstwahrscheinlich ebenfalls fehlschlagen.
AWS Transfer Family Generiert standardmäßig Hostschlüssel für Ihren SFTP-enabled Server. Sie können Server-Hostschlüssel importieren, um die Hostidentität zu wahren und zu vermeiden, dass Client-Vertrauensspeicher aktualisiert werden. Wann müssen Hostschlüssel importiert werdenlistet einige Gründe auf, warum Sie dies tun sollten. Wenn Sie keine Hostschlüssel angeben, werden neue für Sie generiert.
AWS Transfer Family unterstützt mehrere Hostschlüssel verschiedener Typen (RSA, ECDSA und ED25519), um die Kompatibilität mit einer breiteren Palette von Client-Host-Signaturalgorithmen zu gewährleisten. Verschiedene Schlüsseltypen ermöglichen spezifische Algorithmen: RSA-Schlüssel ermöglichen RSA-*-Algorithmen, ECDSA-Schlüssel ermöglichen ECDSA-*-Algorithmen und ED25519-Schlüssel ermöglichen ED25519-Algorithmen. Planen Sie Ihre Schlüsseltypen bei der Servererstellung, da die Einführung zusätzlicher Schlüsseltypen, nachdem die Clients mit dem Server begonnen haben, für einige Clients störend sein kann und genauso problematisch sein kann wie das Ersetzen vorhandener Hostschlüssel.
Um zu verhindern, dass Ihre Benutzer erneut aufgefordert werden, die Authentizität Ihres SFTP-enabled Servers zu überprüfen, importieren Sie den Hostschlüssel für Ihren lokalen Server auf den SFTP-enabled Server. Dies verhindert auch, dass Ihre Benutzer eine Warnung in Bezug auf einen potentiellen Man-in-the-Middle-Angriff erhalten.
Als zusätzliche Sicherheitsmaßnahme können Sie die Hostschlüssel auch regelmäßig wechseln. Details hierzu finden Sie unter Rotiert die Server-Hostschlüssel.
Anmerkung
Server-Hostschlüssel werden von Servern verwendet, die das SFTP-Protokoll unterstützen.
Wann müssen Hostschlüssel importiert werden
Hostschlüssel AWS Transfer Family können zwar automatisch generiert werden, es gibt jedoch mehrere Szenarien, in denen der Import Ihrer eigenen Hostschlüssel betriebliche Vorteile bietet:
-
Servermigration — Sie migrieren von einem vorhandenen Server zu einem vorhandenen Server AWS Transfer Family und möchten vermeiden, dass die Client-Vertrauensspeicher (
known_hostsDateien) für bestehende Clients aktualisiert werden. -
Notfallwiederherstellung und Failover — Sie haben mehrere AWS Transfer Family Server (z. B. einen in USA Ost (Ohio) und einen in USA West (Oregon)), die denselben öffentlichen DNS-Namen verwenden. Die Verwendung derselben Hostschlüssel auf beiden Servern gewährleistet einen reibungslosen Failover ohne Fehler bei der Client-Authentifizierung.
-
Betriebskontinuität — Sie möchten, dass das Host-Schlüsselmaterial in future für die Verwendung mit anderen Servern (AWS Transfer Family oder anderweitig) verfügbar ist, um eine konsistente Serveridentität in Ihrer gesamten Infrastruktur aufrechtzuerhalten.
-
Algorithmuskontrolle — Sie möchten mehr Client-Kompatibilität erreichen, indem Sie mehr Host-Schlüsselalgorithmen bereitstellen, oder Sie möchten kontrollieren, welche Algorithmen Clients verwenden können, indem Sie nur Schlüssel anbieten, die mit bestimmten Algorithmen kompatibel sind.
Die folgenden Themen enthalten detaillierte Verfahren für die Verwaltung von Server-Hostschlüsseln:
-
Fügen Sie einen zusätzlichen Server-Hostschlüssel hinzu- Fügen Sie Ihrem Server zusätzliche Hostschlüssel hinzu
-
Löscht einen Server-Hostschlüssel- Entfernen Sie Hostschlüssel von Ihrem Server
-
Rotiert die Server-Hostschlüssel- Rotieren Sie die Hostschlüssel für mehr Sicherheit
-
Zusätzliche Schlüsselinformationen zum Server-Host- Host-Schlüsseldetails anzeigen und verwalten
