Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérez les clés d'hôte pour votre serveur compatible SFTP
Les clés d'hôte du serveur sont des clés privées utilisées par le serveur Transfer Family pour fournir une identité unique à l'appelant et pour garantir qu'il s'agit du bon serveur. Cette garantie est renforcée par la présence de la clé publique correcte dans le `known_hosts` dossier de l'appelant. (Le `known_hosts` fichier est une fonctionnalité standard utilisée par la plupart des clients SSH pour stocker les clés publiques des serveurs auxquels vous êtes connecté.) Vous pouvez récupérer la clé publique qui correspond à la clé d'hôte de votre serveur en exécutant la `ssh-keyscan` commande pour votre serveur.
**Important**
La modification accidentelle de la clé d'hôte d’un serveur peut être perturbante. Selon la configuration de votre client SFTP, il peut échouer immédiatement, avec le message indiquant qu'aucune clé d'hôte fiable n'existe, ou présenter des messages menaçants. S'il existe des scripts pour automatiser les connexions, ils échoueront probablement également.
AWS Transfer Family Génère par défaut des clés d'hôte pour votre serveur compatible SFTP. Vous pouvez importer des clés d'hôte de serveur pour préserver l'identité de l'hôte et éviter de mettre à jour les banques de confiance des clients. [Quand importer les clés d'hôte](#host-key-import-use-cases)répertorie quelques raisons pour lesquelles vous pourriez vouloir le faire. Si vous ne fournissez pas de clés d'hôte, de nouvelles clés seront générées pour vous.
AWS Transfer Family prend en charge plusieurs clés hôtes de différents types (RSA, ECDSA et ED25519) afin d'assurer la compatibilité avec un plus large éventail d'algorithmes de signature d'hôte client. **Différents types de clés activent des algorithmes spécifiques : les clés RSA activent les algorithmes **rsa-\$1**, les clés ECDSA activent les algorithmes **ecdsa-\$1 et les clés activent les algorithmes ed25519**. ED25519 ** Planifiez vos types de clés au moment de la création du serveur, car l'introduction de types de clés supplémentaires une fois que les clients ont commencé à interagir avec le serveur peut perturber certains clients et être aussi problématique que le remplacement des clés d'hôte existantes.
Pour éviter que vos utilisateurs ne soient invités à vérifier à nouveau l'authenticité de votre serveur compatible SFTP, importez la clé d'hôte de votre serveur local sur le serveur compatible SFTP. Cela empêche également vos utilisateurs de recevoir un avertissement concernant une man-in-the-middle attaque potentielle.
Vous pouvez également effectuer une rotation périodique des clés d'hôte, par mesure de sécurité supplémentaire. Pour en savoir plus, consultez [Faites pivoter les clés de l'hôte du serveur](server-host-key-rotate.md).
**Note**
Les clés d'hôte du serveur sont utilisées par les serveurs qui prennent en charge le protocole SFTP.
## Quand importer les clés d'hôte
Bien que AWS Transfer Family vous puissiez générer des clés d'hôte automatiquement, il existe plusieurs scénarios dans lesquels l'importation de vos propres clés d'hôte présente des avantages opérationnels :
+ *Migration de serveurs* : vous migrez d'un serveur existant vers un serveur existant AWS Transfer Family et vous souhaitez éviter de mettre à jour les banques de confiance (`known_hosts`fichiers) pour les clients existants.
+ *Reprise après sinistre et basculement* : plusieurs AWS Transfer Family serveurs (par exemple, un dans l'est des États-Unis (Ohio) et un dans l'ouest des États-Unis (Oregon)) partagent le même nom DNS public. L'utilisation des mêmes clés d'hôte sur les deux serveurs garantit un basculement fluide sans échec de l'authentification du client.
+ *Continuité opérationnelle* : vous souhaitez que le matériel clé de l'hôte soit disponible pour être utilisé avec d'autres serveurs (AWS Transfer Family ou autrement) à l'avenir afin de maintenir une identité de serveur cohérente dans l'ensemble de votre infrastructure.
+ *Contrôle des algorithmes* : vous souhaitez améliorer la compatibilité avec les clients en fournissant davantage d'algorithmes de clé hôte, ou vous souhaitez contrôler les algorithmes que les clients peuvent utiliser en proposant uniquement des clés compatibles avec des algorithmes spécifiques.
Les rubriques suivantes fournissent des procédures détaillées pour gérer les clés d'hôte du serveur :
+ [Ajouter une clé d'hôte de serveur supplémentaire](server-host-key-add.md)- Ajoutez des clés d'hôte supplémentaires à votre serveur
+ [Supprimer la clé d'hôte d'un serveur](server-host-key-delete.md)- Supprimer les clés d'hôte de votre serveur
+ [Faites pivoter les clés de l'hôte du serveur](server-host-key-rotate.md)- Faites pivoter les clés de l'hôte pour une sécurité renforcée
+ [Informations supplémentaires sur la clé de l'hôte du serveur](server-host-key-other.md)- Afficher et gérer les informations clés de l'hôte
# Ajouter une clé d'hôte de serveur supplémentaire
Sur la AWS Transfer Family console, vous pouvez ajouter des clés d'hôte de serveur supplémentaires. L'ajout de clés d'hôte supplémentaires de différents formats peut être utile pour identifier un serveur lorsque des clients s'y connectent, ainsi que pour améliorer votre profil de sécurité. Par exemple, si votre clé d'origine est une clé RSA, vous pouvez ajouter une clé ECDSA supplémentaire.
**Note**
Le client SFTP se connecte à l'aide de la plus ancienne clé de la configuration qui correspond à l'algorithme de la clé. La clé la plus ancienne pour chaque type de clé (RSA, ECDSA ou ED25519) est la clé active du serveur pour ce type.
**Remarque de sécurité lorsqu'un serveur Transfer Family possède plusieurs types de clés d'hôte**
Si un serveur possède plusieurs types de clés d'hôte, le client SFTP peut attribuer une préférence par type. Ainsi, lorsqu'il existe des clés RSA, ECDSA et ED25519 hôte pour le serveur, le choix dépend de la préférence par type.
Les clients SFTP modernes préfèrent les clés ECDSA et ED25519 d'hôte lorsqu'elles existent. Cela devient important si vous souhaitez ajouter un ECDSA ou une ED25519 clé alors que le serveur ne possédait auparavant que des clés RSA. L'ajout du nouvel ECDSA ou de la nouvelle ED25519 clé pourrait se traduire par un avertissement de sécurité pour un client.
Pour le client, la clé apparaîtra comme ayant changé, alors qu'en fait elle n'a pas été modifiée : la nouvelle clé a été ajoutée en plus de la clé RSA existante. Gardez cela à l'esprit si vous décidez d'ajouter de nouveaux types de clés d'hôte de serveur.
**Pour ajouter une clé d'hôte de serveur supplémentaire**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Dans le volet de navigation de gauche, choisissez **Servers**, puis choisissez un serveur utilisant le protocole SFTP.
1. Sur la page de détails du serveur, faites défiler la page vers le bas jusqu'à la section **Clés d'hôte du serveur**.
![\[La section console des clés de l'hôte du serveur.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/server-host-keys.png)
1. Choisissez **Ajouter une clé d'hôte**.
La page **clé Ajouter un hôte de serveur** s'affiche.
1. Dans la section **Clé d'hôte du serveur, entrez une clé** RSA, ECDSA ou ED25519 privée utilisée pour identifier votre serveur lorsque des clients s'y connectent via le serveur compatible SFTP.
**Note**
Lorsque vous créez une clé d'hôte de serveur, assurez-vous de la spécifier `-N ""` (pas de phrase secrète). Consultez [Création de clés SSH sous macOS, Linux ou Unix](macOS-linux-unix-ssh.md) pour plus de détails sur la façon de générer des paires de clés.
1. (Facultatif) Ajoutez une description pour différencier les clés d'hôte de plusieurs serveurs. Vous pouvez également ajouter des tags à votre clé.
1. Sélectionnez **Ajouter une clé**. Vous êtes renvoyé à la page des **détails du serveur**.
Pour ajouter une clé d'hôte à l'aide de AWS Command Line Interface (AWS CLI), utilisez l'opération d'[ImportHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportHostKey)API et fournissez la nouvelle clé d'hôte. Si vous créez un nouveau serveur compatible SFTP, vous fournissez votre clé d'hôte en tant que paramètre dans le cadre de l'[CreateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateServer)opération d'API. Vous pouvez également utiliser le AWS CLI pour mettre à jour la description d'une clé d'hôte existante.
L'exemple de `import-host-key` AWS CLI commande suivant importe une clé d'hôte pour le serveur SFTP spécifié.
```
aws transfer import-host-key --description key-description --server-id your-server-id --host-key-body file://my-host-key
```
# Supprimer la clé d'hôte d'un serveur
Sur la AWS Transfer Family console, vous pouvez supprimer une clé d'hôte de serveur.
**Pour supprimer la clé d'hôte d'un serveur**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Dans le volet de navigation de gauche, choisissez **Servers**, puis choisissez un serveur utilisant le protocole SFTP.
1. Sur la page de détails du serveur, faites défiler la page vers le bas jusqu'à la section **Clés d'hôte du serveur**.
![\[La section console des clés de l'hôte du serveur.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/server-host-keys.png)
1. Dans la section **Clés d'hôte du serveur**, sélectionnez une clé, puis sous **Actions**, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation qui s'affiche**delete**, entrez le mot, puis choisissez **Supprimer** pour confirmer que vous souhaitez supprimer la clé d'hôte.
La clé d'hôte est supprimée de la page **Serveurs**.
Pour supprimer la clé d'hôte à l'aide de AWS CLI, utilisez l'opération d'[https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey)API et fournissez l'ID du serveur et l'ID de la clé d'hôte.
L'exemple de `delete-host-key` AWS CLI commande suivant supprime une clé d'hôte pour le serveur SFTP spécifié.
```
aws transfer delete-host-key --server-id your-server-id --host-key-id your-host-key-id
```
# Faites pivoter les clés de l'hôte du serveur
Régulièrement, vous pouvez faire pivoter la clé d'hôte de votre serveur. Cette rubrique décrit comment le serveur choisit la clé à appliquer, ainsi que la procédure de rotation de ces touches.
## Comment le client choisit une clé d'hôte de serveur
La manière dont Transfer Family choisit la clé de serveur à appliquer dépend des conditions du client SFTP, comme expliqué ici. L'hypothèse est qu'il existe une clé plus ancienne et une clé plus récente.
+ Un client SFTP ne possède aucune clé d'hôte publique préalable pour le serveur. La première fois que le client se connecte au serveur, l'une des situations suivantes se produit :
+ Le client échoue à établir la connexion s'il est configuré pour ce faire.
+ Ou bien, le client choisit la première clé qui correspond aux algorithmes disponibles possibles et demande à l'utilisateur si cette clé est fiable. Si tel est le cas, le client met automatiquement à jour le `known_hosts` fichier (ou tout autre fichier de configuration local ou ressource utilisé par le client pour enregistrer les décisions de confiance) et entre cette clé.
+ Un client SFTP possède une ancienne clé dans son `known_hosts` fichier. Le client préfère utiliser cette clé, même s'il en existe une plus récente, que ce soit pour l'algorithme de cette clé ou pour un autre algorithme. Cela est dû au fait que le client a un niveau de confiance plus élevé pour la clé contenue dans son `known_hosts` fichier.
+ Un client SFTP possède la nouvelle clé (dans tous les algorithmes disponibles) dans son fichier de `known_hosts` clés. Le client ignore les anciennes clés parce qu'elles ne sont pas fiables et utilise la nouvelle clé.
+ Un client SFTP possède les deux clés dans son `known_hosts` fichier. Le client choisit la première clé par index qui correspond à la liste des clés disponibles proposées par le serveur.
Transfer Family préfère que le client SFTP ait toutes les clés dans son `known_hosts` fichier, car cela permet une plus grande flexibilité lors de la connexion à un serveur Transfer Family. La rotation des clés est basée sur le fait que plusieurs entrées peuvent exister dans le `known_hosts` fichier pour le même serveur Transfer Family.
## Procédure de rotation de la clé hôte du serveur
Supposons par exemple que vous ayez ajouté le jeu de clés d'hôte de serveur suivant à votre serveur Transfer Family.
**Clés d'hôte du serveur**
| Type de clé d'hôte | Date d'ajout au serveur |
| --- | --- |
| RSA | 1er avril 2020 |
| ECDSA | 1er février 2020 |
| ED25519 | 1 décembre 2019 |
| RSA | 1er octobre 2019 |
| ECDSA | 1er juin 2019 |
| ED25519 | 1 mars 2019 |
**Pour faire pivoter la clé d'hôte du serveur**
1. Ajoutez une nouvelle clé d'hôte de serveur. Cette procédure est décrite dans[Ajouter une clé d'hôte de serveur supplémentaire](server-host-key-add.md).
1. Supprimez une ou plusieurs clés d'hôte du même type que celles que vous avez ajoutées précédemment. Cette procédure est décrite dans[Supprimer la clé d'hôte d'un serveur](server-host-key-delete.md).
1. Toutes les touches sont visibles et peuvent être actives, sous réserve du comportement décrit précédemment dans[Comment le client choisit une clé d'hôte de serveur](#server-key-behavior).
# Informations supplémentaires sur la clé de l'hôte du serveur
Vous pouvez sélectionner une clé d'hôte pour afficher les détails de cette clé.
![\[L'écran de console de détails de la clé d'hôte.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/server-host-keys-details.png)
Vous pouvez supprimer une clé d'hôte ou modifier sa description dans le menu **Actions** de l'écran des détails du serveur. Sélectionnez la clé d'hôte, puis choisissez l'action appropriée dans le menu.
![\[Le menu Actions de la clé hôte du serveur.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/server-host-keys-actions.png)