As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerencie chaves de host para seu servidor habilitado para SFTP
As chaves de host do servidor são chaves privadas usadas pelo servidor Transfer Family para fornecer uma identidade exclusiva ao chamador e garantir que ele seja o servidor correto. Essa garantia é aplicada pela presença da chave pública correta no arquivo do chamador. `known_hosts` (O `known_hosts` arquivo é um recurso padrão usado pela maioria dos clientes SSH para armazenar as chaves públicas dos servidores aos quais você se conectou.) Você pode recuperar a chave pública que corresponde à chave do host do servidor executando `ssh-keyscan` para o seu servidor.
**Importante**
A alteração acidental de uma chave de host do servidor pode causar interrupções. Dependendo de como seu cliente SFTP está configurado, ele pode falhar imediatamente, com a mensagem de que não existe uma chave de host confiável ou apresentar avisos ameaçadores. Se houver scripts para automatizar conexões, eles provavelmente também falharão.
Por padrão, AWS Transfer Family gera chaves de host para seu servidor habilitado para SFTP. Você pode importar chaves do host do servidor para preservar a identidade do host e evitar a atualização dos repositórios confiáveis do cliente. [Quando importar chaves de host](#host-key-import-use-cases)lista alguns motivos pelos quais você pode querer fazer isso. Se você não fornecer chaves de host, novas chaves serão geradas para você.
AWS Transfer Family suporta várias chaves de host de diferentes tipos (RSA, ECDSA e ED25519) para fornecer compatibilidade com uma variedade mais ampla de algoritmos de assinatura de host do cliente. **Diferentes tipos de chaves permitem algoritmos específicos: as chaves RSA habilitam os algoritmos **rsa-\$1, as chaves ECDSA habilitam os algoritmos ecdsa-\$1** e as chaves habilitam os algoritmos **ed25519**. ED25519 ** Planeje seus tipos de chave no momento da criação do servidor, pois a introdução de tipos de chaves adicionais depois que os clientes começarem a interagir com o servidor pode causar interrupções para alguns clientes e pode ser tão problemática quanto substituir as chaves de host existentes.
Para evitar que seus usuários sejam notificados para verificar a autenticidade do servidor habilitado para SFTP novamente, importe a chave do host do seu servidor on-premises para o servidor habilitado para SFTP. Isso também evita que seus usuários recebam um aviso sobre um possível man-in-the-middle ataque.
Você também pode alternar as chaves do host periodicamente, como medida de segurança adicional. Para obter detalhes, consulte [Alterne as chaves do host do servidor](server-host-key-rotate.md).
**nota**
As chaves de host do servidor são usadas por servidores que oferecem suporte ao protocolo SFTP.
## Quando importar chaves de host
Embora AWS Transfer Family possa gerar chaves de host automaticamente, há vários cenários em que importar suas próprias chaves de host oferece benefícios operacionais:
+ *Migração do servidor* - Você está migrando de um servidor existente para AWS Transfer Family e quer evitar a atualização dos repositórios confiáveis do cliente (`known_hosts`arquivos) para clientes existentes.
+ *Recuperação de desastres e failover* - Você tem vários AWS Transfer Family servidores (por exemplo, um no Leste dos EUA (Ohio) e outro no Oeste dos EUA (Oregon)) que compartilham o mesmo nome DNS público. O uso das mesmas chaves de host nos dois servidores garante um failover contínuo sem falhas na autenticação do cliente.
+ *Continuidade operacional* - Você deseja que o material da chave do host esteja disponível para uso com outros servidores (AWS Transfer Family ou não) no futuro para manter a identidade consistente do servidor em toda a sua infraestrutura.
+ *Controle de algoritmo* - Você deseja maior compatibilidade com o cliente fornecendo mais algoritmos de chave de host ou deseja controlar quais algoritmos os clientes podem usar oferecendo apenas chaves compatíveis com algoritmos específicos.
Os tópicos a seguir fornecem procedimentos detalhados para gerenciar as chaves do host do servidor:
+ [Adicionar uma chave de host do servidor adicional](server-host-key-add.md)- Adicione chaves de host adicionais ao seu servidor
+ [Excluir uma chave de host do servidor](server-host-key-delete.md)- Remova as chaves do host do seu servidor
+ [Alterne as chaves do host do servidor](server-host-key-rotate.md)- Gire as chaves do host para aumentar a segurança
+ [Informações adicionais sobre a chave do host do servidor](server-host-key-other.md)- Visualize e gerencie os detalhes da chave do host
# Adicionar uma chave de host do servidor adicional
No AWS Transfer Family console, você pode adicionar mais chaves de host do servidor. Adicionar chaves de host adicionais de formatos diferentes pode ser útil para identificar um servidor quando os clientes se conectam a ele, além de melhorar seu perfil de segurança. Por exemplo, se sua chave original for uma chave RSA, você poderá adicionar uma chave ECDSA adicional.
**nota**
O cliente SFTP se conectará usando a chave mais antiga na configuração que corresponda ao algoritmo da chave. A chave mais antiga para cada tipo de chave (RSA, ECDSA ou ED25519) é a chave ativa do servidor desse tipo.
**Nota de segurança quando um servidor Transfer Family tem vários tipos de chaves de host**
Se um servidor tiver vários tipos de chaves de host, o cliente SFTP poderá atribuir uma preferência por tipo. Portanto, quando existem chaves RSA, ECDSA e de ED25519 host para o servidor, a escolha é orientada pela preferência por tipo.
Clientes SFTP modernos preferem ECDSA e chaves de ED25519 host quando elas existem. Isso se torna importante se você quiser adicionar um ECDSA ou uma ED25519 chave quando o servidor anteriormente tinha apenas chaves RSA. A adição do novo ECDSA ou ED25519 chave potencialmente se manifestaria como um aviso de segurança para um cliente.
Para o cliente, a chave aparecerá como tendo sido alterada, quando na verdade não foi alterada: a nova chave foi adicionada além da chave RSA existente. Lembre-se disso se você decidir adicionar novos tipos de chaves de host do servidor.
**Para adicionar uma chave de host do servidor adicional**
1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. No painel de navegação esquerdo, selecione **Servidores** e, em seguida, escolha um servidor que use o protocolo SFTP.
1. Na página de detalhes do servidor, role para baixo até a seção **Chaves do host do servidor**.
![\[A seção do console Chaves do host do servidor.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/server-host-keys.png)
1. Escolha **Adicionar chave do host**.
A página **Adicionar chave de host do servidor** é exibida.
1. Na seção **Chave do host do servidor**, insira uma chave RSA, ECDSA ou ED25519 privada usada para identificar seu servidor quando os clientes se conectam a ele pelo servidor habilitado para SFTP.
**nota**
Ao criar uma chave de host do servidor, certifique-se de especificar `-N ""` (sem senha). Consulte [Criação de chaves SSH no macOS, Linux ou Unix](macOS-linux-unix-ssh.md) para obter detalhes sobre como gerar pares de chaves.
1. (Opcional) Adicione uma descrição para diferenciar entre várias chaves de host de servidor. Você também pode adicionar tags à sua chave.
1. Escolha **Adicionar chave**. Você retorna à página **Detalhes do servidor**.
Para adicionar uma chave de host usando o AWS Command Line Interface (AWS CLI), use a operação de [ImportHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportHostKey)API e forneça a nova chave de host. Se criar um novo servidor habilitado para SFTP, você fornecerá sua chave do host como um parâmetro na operação de API [CreateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateServer). Você também pode usar o AWS CLI para atualizar a descrição de uma chave de host existente.
O `import-host-key` AWS CLI comando de exemplo a seguir importa uma chave de host para o servidor habilitado para SFTP especificado.
```
aws transfer import-host-key --description key-description --server-id your-server-id --host-key-body file://my-host-key
```
# Excluir uma chave de host do servidor
No AWS Transfer Family console, você pode excluir uma chave de host do servidor.
**Para excluir uma chave de host do servidor**
1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. No painel de navegação esquerdo, selecione **Servidores** e, em seguida, escolha um servidor que use o protocolo SFTP.
1. Na página de detalhes do servidor, role para baixo até a seção **Chaves do host do servidor**.
![\[A seção do console Chaves do host do servidor.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/server-host-keys.png)
1. Na seção **Chaves do host do servidor**, selecione uma chave e, em **Ações**, escolha **Excluir**.
1. Na caixa de diálogo de confirmação exibida, insira a palavra **delete** e, em seguida, escolha **Excluir** para confirmar que deseja excluir a chave do host.
A chave do host é excluída da página **Servidores**.
Para excluir a chave do host usando o AWS CLI, use a operação da [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey)API e forneça o ID do servidor e o ID da chave do host.
O `delete-host-key` AWS CLI comando de exemplo a seguir exclui uma chave de host para o servidor habilitado para SFTP especificado.
```
aws transfer delete-host-key --server-id your-server-id --host-key-id your-host-key-id
```
# Alterne as chaves do host do servidor
Periodicamente, você pode alternar a chave do host do servidor. Este tópico descreve como o servidor escolhe qual chave aplicar e o procedimento para girar essas chaves.
## Como o cliente escolhe uma chave de host do servidor
A forma como a Transfer Family escolhe qual chave de servidor aplicar depende das condições do cliente SFTP, conforme explicado aqui. A suposição é que há uma chave mais antiga e uma chave mais nova.
+ Um cliente SFTP não tem uma chave de host pública anterior para o servidor. Na primeira vez que o cliente se conecta ao servidor, ocorre uma das seguintes situações:
+ O cliente falha na conexão, se estiver configurado para isso.
+ Ou o cliente escolhe a primeira chave que corresponde aos possíveis algoritmos disponíveis e pergunta ao usuário se essa chave é confiável. Nesse caso, o cliente atualiza automaticamente o `known_hosts` arquivo (ou qualquer arquivo ou recurso de configuração local que o cliente use para registrar decisões de confiança) e insere essa chave.
+ Um cliente SFTP tem uma chave antiga em seu `known_hosts` arquivo. O cliente prefere usar essa chave, mesmo que exista uma chave mais nova, seja para o algoritmo dessa chave ou para outro algoritmo. Isso ocorre porque o cliente tem um nível mais alto de confiança na chave que está em seu `known_hosts` arquivo.
+ Um cliente SFTP tem a nova chave (em qualquer um dos algoritmos disponíveis) em seu arquivo de `known_hosts` chaves. O cliente ignora as chaves mais antigas porque elas não são confiáveis e usa a nova chave.
+ Um cliente SFTP tem as duas chaves em seu `known_hosts` arquivo. O cliente escolhe a primeira chave por índice que corresponde à lista de chaves disponíveis oferecida pelo servidor.
O Transfer Family prefere que o cliente SFTP tenha todas as chaves em seu `known_hosts` arquivo, pois isso permite maior flexibilidade ao se conectar a um servidor Transfer Family. A rotação de chaves é baseada no fato de que várias entradas podem existir no `known_hosts` arquivo para o mesmo servidor Transfer Family.
## Procedimento de rotação da chave do host do servidor
Como exemplo, suponha que você tenha adicionado o seguinte conjunto de chaves de host do servidor ao seu servidor Transfer Family.
**Chaves do host do servidor**
| Tipo de chave do host | Data adicionada ao servidor |
| --- | --- |
| RSA | 1 de abril de 2020 |
| ECDSA | 1 de fevereiro de 2020 |
| ED25519 | 1.º de dezembro de 2019 |
| RSA | 1 de outubro de 2019 |
| ECDSA | 1.º de junho de 2019 |
| ED25519 | 1 de março de 2019 |
**Para alternar as chaves do host do servidor**
1. Adicione uma nova chave do host do servidor. Este procedimento está descrito em [Adicionar uma chave de host do servidor adicional](server-host-key-add.md).
1. Exclua uma ou mais chaves de host do mesmo tipo que você adicionou anteriormente. Este procedimento está descrito em [Excluir uma chave de host do servidor](server-host-key-delete.md).
1. Todas as teclas estão visíveis e podem estar ativas, de acordo com o comportamento descrito anteriormente em[Como o cliente escolhe uma chave de host do servidor](#server-key-behavior).
# Informações adicionais sobre a chave do host do servidor
Você pode selecionar uma chave do host para exibir os detalhes dessa chave.
![\[A chave de host detalha a tela do console.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/server-host-keys-details.png)
Você pode excluir uma chave de host ou editar sua descrição no menu **Ações** na tela de detalhes do servidor. Selecione a chave do host e, em seguida, escolha a ação apropriada no menu.
![\[O menu Ações da chave de host do servidor.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/server-host-keys-actions.png)