Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Hostschlüssel für Ihren SFTP-fähigen Server verwalten
Server-Hostschlüssel sind private Schlüssel, die vom Transfer Family Family-Server verwendet werden, um dem Anrufer eine eindeutige Identität zu geben und sicherzustellen, dass es sich um den richtigen Server handelt. Diese Garantie wird durch das Vorhandensein des richtigen öffentlichen Schlüssels in der Datei des Anrufers durchgesetzt. `known_hosts` (Die `known_hosts` Datei ist eine Standardfunktion, die von den meisten SSH-Clients verwendet wird, um die öffentlichen Schlüssel für die Server zu speichern, mit denen Sie eine Verbindung hergestellt haben.) Sie können den öffentlichen Schlüssel, der Ihrem Server-Host-Schlüssel entspricht, abrufen, indem Sie ihn `ssh-keyscan` für Ihren Server ausführen.
**Wichtig**
Das versehentliche Ändern des Host-Schlüssels eines Servers kann zu Unterbrechungen führen. Je nachdem, wie Ihr SFTP-Client konfiguriert ist, kann er sofort fehlschlagen, mit der Meldung, dass kein vertrauenswürdiger Hostschlüssel vorhanden ist, oder es werden drohende Eingabeaufforderungen angezeigt. Wenn es Skripts für die Automatisierung von Verbindungen gibt, würden diese höchstwahrscheinlich ebenfalls fehlschlagen.
AWS Transfer Family Generiert standardmäßig Hostschlüssel für Ihren SFTP-fähigen Server. Sie können Server-Hostschlüssel importieren, um die Hostidentität zu wahren und zu vermeiden, dass Client-Vertrauensspeicher aktualisiert werden. [Wann müssen Hostschlüssel importiert werden](#host-key-import-use-cases)listet einige Gründe auf, warum Sie dies tun sollten. Wenn Sie keine Hostschlüssel angeben, werden neue für Sie generiert.
AWS Transfer Family unterstützt mehrere Hostschlüssel verschiedener Typen (RSA, ECDSA und ED25519), um die Kompatibilität mit einer breiteren Palette von Client-Host-Signaturalgorithmen zu gewährleisten. ****Verschiedene Schlüsseltypen ermöglichen spezifische Algorithmen: RSA-Schlüssel ermöglichen RSA-\$1-Algorithmen, **ECDSA-Schlüssel ermöglichen ECDSA-\$1-Algorithmen** und Schlüssel ermöglichen Ed25519-Algorithmen. ED25519 **** Planen Sie Ihre Schlüsseltypen bei der Servererstellung, da die Einführung zusätzlicher Schlüsseltypen, nachdem die Clients begonnen haben, mit dem Server zu interagieren, für einige Clients störend sein kann und ebenso problematisch sein kann wie das Ersetzen vorhandener Hostschlüssel.
Um zu verhindern, dass Ihre Benutzer erneut aufgefordert werden, die Authentizität Ihres SFTP-fähigen Servers zu überprüfen, importieren Sie den Hostschlüssel für Ihren lokalen Server auf den SFTP-fähigen Server. Auf diese Weise wird auch verhindert, dass Ihre Benutzer vor einem möglichen Angriff gewarnt werden. man-in-the-middle
Als zusätzliche Sicherheitsmaßnahme können Sie die Host-Schlüssel auch regelmäßig wechseln. Details hierzu finden Sie unter [Rotiert die Server-Hostschlüssel](server-host-key-rotate.md).
**Anmerkung**
Server-Hostschlüssel werden von Servern verwendet, die das SFTP-Protokoll unterstützen.
## Wann müssen Hostschlüssel importiert werden
Hostschlüssel AWS Transfer Family können zwar automatisch generiert werden, es gibt jedoch mehrere Szenarien, in denen der Import Ihrer eigenen Hostschlüssel betriebliche Vorteile bietet:
+ *Servermigration* — Sie migrieren von einem vorhandenen Server auf einen vorhandenen Server AWS Transfer Family und möchten vermeiden, die Client-Vertrauensspeicher (`known_hosts`Dateien) für bestehende Clients zu aktualisieren.
+ *Notfallwiederherstellung und Failover* — Sie haben mehrere AWS Transfer Family Server (z. B. einen in USA Ost (Ohio) und einen in USA West (Oregon)), die denselben öffentlichen DNS-Namen verwenden. Die Verwendung derselben Hostschlüssel auf beiden Servern gewährleistet einen reibungslosen Failover ohne Fehler bei der Client-Authentifizierung.
+ *Betriebskontinuität* — Sie möchten, dass das Host-Schlüsselmaterial in future für die Verwendung mit anderen Servern (AWS Transfer Family oder anderweitig) verfügbar ist, um eine konsistente Serveridentität in Ihrer gesamten Infrastruktur aufrechtzuerhalten.
+ *Algorithmussteuerung* — Sie möchten mehr Client-Kompatibilität erreichen, indem Sie mehr Host-Schlüsselalgorithmen bereitstellen, oder Sie möchten kontrollieren, welche Algorithmen Clients verwenden können, indem Sie nur Schlüssel anbieten, die mit bestimmten Algorithmen kompatibel sind.
Die folgenden Themen enthalten detaillierte Verfahren für die Verwaltung von Server-Hostschlüsseln:
+ [Fügen Sie einen zusätzlichen Server-Hostschlüssel hinzu](server-host-key-add.md)- Fügen Sie Ihrem Server zusätzliche Hostschlüssel hinzu
+ [Löscht einen Server-Hostschlüssel](server-host-key-delete.md)- Entfernen Sie Hostschlüssel von Ihrem Server
+ [Rotiert die Server-Hostschlüssel](server-host-key-rotate.md)- Rotieren Sie die Hostschlüssel für mehr Sicherheit
+ [Zusätzliche Schlüsselinformationen zum Server-Host](server-host-key-other.md)- Host-Schlüsseldetails anzeigen und verwalten
# Fügen Sie einen zusätzlichen Server-Hostschlüssel hinzu
Auf der AWS Transfer Family Konsole können Sie zusätzliche Server-Hostschlüssel hinzufügen. Das Hinzufügen zusätzlicher Hostschlüssel in unterschiedlichen Formaten kann nützlich sein, um einen Server zu identifizieren, wenn Clients eine Verbindung zu ihm herstellen, und um Ihr Sicherheitsprofil zu verbessern. Wenn Ihr Originalschlüssel beispielsweise ein RSA-Schlüssel ist, können Sie einen zusätzlichen ECDSA-Schlüssel hinzufügen.
**Anmerkung**
Der SFTP-Client stellt die Verbindung mit dem ältesten Schlüssel in der Konfiguration her, der dem Algorithmus des Schlüssels entspricht. Der älteste Schlüssel für jeden Schlüsseltyp (RSA, ECDSA oder ED25519) ist der aktive Schlüssel für den Server für diesen Typ.
**Sicherheitshinweis, wenn ein Transfer Family Family-Server über mehrere Arten von Hostschlüsseln verfügt**
Wenn ein Server über mehrere Arten von Hostschlüsseln verfügt, kann der SFTP-Client eine Präferenz nach Typ zuweisen. Wenn also RSA-, ECDSA- und ED25519 Hostschlüssel für den Server vorhanden sind, hängt die Auswahl von der Präferenz nach Typ ab.
Moderne SFTP-Clients bevorzugen ECDSA- und ED25519 Hostschlüssel, sofern sie existieren. Dies wird wichtig, wenn Sie ein ECDSA oder einen Schlüssel hinzufügen möchten, obwohl der Server zuvor nur über ED25519 RSA-Schlüssel verfügte. Das Hinzufügen des neuen ECDSA oder ED25519 Schlüssels würde sich möglicherweise als Sicherheitswarnung für einen Client äußern.
Für den Client wird der Schlüssel so aussehen, als hätte er sich geändert, obwohl er in Wirklichkeit nicht geändert wurde: Der neue Schlüssel wurde zusätzlich zum vorhandenen RSA-Schlüssel hinzugefügt. Denken Sie daran, wenn Sie neue Typen von Server-Host-Schlüsseln hinzufügen möchten.
**Um einen zusätzlichen Server-Host-Schlüssel hinzuzufügen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich **Server** und dann einen Server aus, der das SFTP-Protokoll verwendet.
1. Scrollen Sie auf der Seite mit den Serverdetails nach unten zum Abschnitt **Server-Hostschlüssel**.
![\[Der Konsolenbereich mit den Server-Host-Schlüsseln.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/server-host-keys.png)
1. Wählen Sie **Hostschlüssel hinzufügen** aus.
Die Seite **Server-Host-Schlüssel hinzufügen** wird angezeigt.
1. Geben Sie im Abschnitt **Server-Hostschlüssel** einen RSA-, ECDSA- oder ED25519 privaten Schlüssel ein, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über den SFTP-fähigen Server eine Verbindung zu ihm herstellen.
**Anmerkung**
Achten Sie beim Erstellen eines Server-Hostschlüssels darauf, Folgendes anzugeben (keine Passphrase). `-N ""` Einzelheiten [SSH-Schlüssel auf macOS, Linux oder Unix erstellen](macOS-linux-unix-ssh.md) zum Generieren von Schlüsselpaaren finden Sie unter.
1. (Optional) Fügen Sie eine Beschreibung hinzu, um zwischen mehreren Server-Hostschlüsseln zu unterscheiden. Sie können Ihrem Schlüssel auch Tags hinzufügen.
1. Wählen Sie **Schlüssel hinzufügen**. Sie kehren zur Seite mit den **Serverdetails** zurück.
Um einen Hostschlüssel mithilfe von AWS Command Line Interface (AWS CLI) hinzuzufügen, verwenden Sie die [ImportHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportHostKey)API-Operation und geben Sie den neuen Hostschlüssel an. Wenn Sie einen neuen SFTP-fähigen Server erstellen, geben Sie Ihren Hostschlüssel als Parameter in der [CreateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateServer)API-Operation an. Sie können den auch verwenden AWS CLI , um die Beschreibung für einen vorhandenen Hostschlüssel zu aktualisieren.
Der folgende `import-host-key` AWS CLI Beispielbefehl importiert einen Hostschlüssel für den angegebenen SFTP-fähigen Server.
```
aws transfer import-host-key --description key-description --server-id your-server-id --host-key-body file://my-host-key
```
# Löscht einen Server-Hostschlüssel
Auf der AWS Transfer Family Konsole können Sie einen Server-Hostschlüssel löschen.
**Um einen Server-Host-Schlüssel zu löschen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich **Server** und dann einen Server aus, der das SFTP-Protokoll verwendet.
1. Scrollen Sie auf der Seite mit den Serverdetails nach unten zum Abschnitt **Server-Hostschlüssel**.
![\[Der Konsolenbereich mit den Server-Host-Schlüsseln.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/server-host-keys.png)
1. Wählen Sie im Abschnitt **Server-Hostschlüssel** einen Schlüssel aus, und klicken Sie dann unter **Aktionen** auf **Löschen**.
1. Geben Sie im daraufhin angezeigten Bestätigungsdialogfeld das Wort ein**delete**, und klicken Sie dann auf **Löschen**, um zu bestätigen, dass Sie den Hostschlüssel löschen möchten.
Der Hostschlüssel wird von der **Serverseite** gelöscht.
Um den Hostschlüssel mithilfe von zu löschen AWS CLI, verwenden Sie den [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey)API-Vorgang und geben Sie die Server-ID und die Hostschlüssel-ID ein.
Der folgende `delete-host-key` AWS CLI Beispielbefehl löscht einen Hostschlüssel für den angegebenen SFTP-fähigen Server.
```
aws transfer delete-host-key --server-id your-server-id --host-key-id your-host-key-id
```
# Rotiert die Server-Hostschlüssel
In regelmäßigen Abständen können Sie Ihren Server-Host-Schlüssel rotieren. In diesem Thema wird beschrieben, wie der Server auswählt, welcher Schlüssel verwendet werden soll, und wie diese Schlüssel rotiert werden.
## Wie der Client einen Server-Host-Schlüssel auswählt
Die Art und Weise, wie Transfer Family den anzuwendenden Serverschlüssel auswählt, hängt von den Bedingungen für den SFTP-Client ab, wie hier erklärt wird. Es wird davon ausgegangen, dass es einen älteren und einen neueren Schlüssel gibt.
+ Ein SFTP-Client hat zuvor keinen öffentlichen Hostschlüssel für den Server. Wenn der Client zum ersten Mal eine Verbindung zum Server herstellt, tritt einer der folgenden Fälle ein:
+ Der Client schlägt die Verbindung fehl, wenn er dafür konfiguriert ist.
+ Oder der Client wählt den ersten Schlüssel aus, der den möglichen verfügbaren Algorithmen entspricht, und fragt den Benutzer, ob dieser Schlüssel vertrauenswürdig ist. Wenn ja, aktualisiert der Client die `known_hosts` Datei (oder die lokale Konfigurationsdatei oder Ressource, die der Client zum Aufzeichnen von Vertrauensentscheidungen verwendet) automatisch und gibt diesen Schlüssel ein.
+ Ein SFTP-Client hat einen älteren Schlüssel in seiner `known_hosts` Datei. Der Client bevorzugt es, diesen Schlüssel zu verwenden, auch wenn ein neuerer Schlüssel existiert, entweder für den Algorithmus dieses Schlüssels oder für einen anderen Algorithmus. Das liegt daran, dass der Client dem Schlüssel, der sich in seiner `known_hosts` Datei befindet, ein höheres Maß an Vertrauen entgegenbringt.
+ Ein SFTP-Client hat den neuen Schlüssel (in einem der verfügbaren Algorithmen) in seiner `known_hosts` Schlüsseldatei. Der Client ignoriert ältere Schlüssel, weil sie nicht vertrauenswürdig sind, und verwendet den neuen Schlüssel.
+ Ein SFTP-Client hat beide Schlüssel in seiner `known_hosts` Datei. Der Client wählt den ersten Schlüssel anhand des Index aus, der der vom Server angebotenen Liste der verfügbaren Schlüssel entspricht.
Transfer Family bevorzugt es, dass der SFTP-Client alle Schlüssel in seiner `known_hosts` Datei hat, da dies die größte Flexibilität bei der Verbindung zu einem Transfer Family Family-Server ermöglicht. Die Schlüsselrotation basiert auf der Tatsache, dass mehrere Einträge in der `known_hosts` Datei für denselben Transfer Family Family-Server vorhanden sein können.
## Rotieren Sie das Verfahren für den Server-Host-Schlüssel
Nehmen wir als Beispiel an, dass Sie Ihrem Transfer Family Family-Server den folgenden Satz von Server-Hostschlüsseln hinzugefügt haben.
**Server-Host-Schlüssel**
| Typ des Host-Schlüssels | Datum, das dem Server hinzugefügt wurde |
| --- | --- |
| RSA | 01. April 2020 |
| ECDSA | 1. Februar 2020 |
| ED25519 | 1. Dezember 2019 |
| RSA | 1. Oktober 2019 |
| ECDSA | 1. Juni 2019 |
| ED25519 | 1. März 2019 |
**Um den Server-Host-Schlüssel zu rotieren**
1. Fügen Sie einen neuen Server-Hostschlüssel hinzu. Dieses Verfahren wird unter beschrieben[Fügen Sie einen zusätzlichen Server-Hostschlüssel hinzu](server-host-key-add.md).
1. Löschen Sie einen oder mehrere Hostschlüssel desselben Typs, die Sie zuvor hinzugefügt haben. Dieses Verfahren wird unter beschrieben[Löscht einen Server-Hostschlüssel](server-host-key-delete.md).
1. Alle Tasten sind sichtbar und können je nach dem zuvor unter beschriebenen Verhalten aktiv sein[Wie der Client einen Server-Host-Schlüssel auswählt](#server-key-behavior).
# Zusätzliche Schlüsselinformationen zum Server-Host
Sie können einen Hostschlüssel auswählen, um Details für diesen Schlüssel anzuzeigen.
![\[Der Konsolenbildschirm mit den Hostkey-Details.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/server-host-keys-details.png)
Sie können einen Hostschlüssel löschen oder seine Beschreibung im **Aktionsmenü** auf dem Bildschirm mit den Serverdetails bearbeiten. Wählen Sie den Host-Schlüssel und dann die entsprechende Aktion aus dem Menü aus.
![\[Das Menü „Aktionen“ für den Server-Hostkey.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/server-host-keys-actions.png)