Alterne as chaves do host do servidor - AWS Transfer Family
Como o cliente escolhe uma chave de host do servidorProcedimento de rotação da chave do host do servidor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterne as chaves do host do servidor

Periodicamente, você pode alternar a chave do host do servidor. Este tópico descreve como o servidor escolhe qual chave aplicar e o procedimento para girar essas chaves.

Como o cliente escolhe uma chave de host do servidor

A forma como a Transfer Family escolhe qual chave de servidor aplicar depende das condições do cliente SFTP, conforme explicado aqui. A suposição é que há uma chave mais antiga e uma chave mais nova.

  • Um cliente SFTP não tem uma chave de host pública anterior para o servidor. Na primeira vez que o cliente se conecta ao servidor, ocorre uma das seguintes situações:

    • O cliente falha na conexão, se estiver configurado para isso.

    • Ou o cliente escolhe a primeira chave que corresponde aos possíveis algoritmos disponíveis e pergunta ao usuário se essa chave é confiável. Nesse caso, o cliente atualiza automaticamente o known_hosts arquivo (ou qualquer arquivo ou recurso de configuração local que o cliente use para registrar decisões de confiança) e insere essa chave.

  • Um cliente SFTP tem uma chave antiga em seu known_hosts arquivo. O cliente prefere usar essa chave, mesmo que exista uma chave mais nova, seja para o algoritmo dessa chave ou para outro algoritmo. Isso ocorre porque o cliente tem um nível mais alto de confiança na chave que está em seu known_hosts arquivo.

  • Um cliente SFTP tem a nova chave (em qualquer um dos algoritmos disponíveis) em seu arquivo de known_hosts chaves. O cliente ignora as chaves mais antigas porque elas não são confiáveis e usa a nova chave.

  • Um cliente SFTP tem as duas chaves em seu known_hosts arquivo. O cliente escolhe a primeira chave por índice que corresponde à lista de chaves disponíveis oferecida pelo servidor.

O Transfer Family prefere que o cliente SFTP tenha todas as chaves em seu known_hosts arquivo, pois isso permite maior flexibilidade ao se conectar a um servidor Transfer Family. A rotação de chaves é baseada no fato de que várias entradas podem existir no known_hosts arquivo para o mesmo servidor Transfer Family.

Procedimento de rotação da chave do host do servidor

Como exemplo, suponha que você tenha adicionado o seguinte conjunto de chaves de host do servidor ao seu servidor Transfer Family.

Chaves do host do servidor
Tipo de chave do host Data adicionada ao servidor
RSA 1 de abril de 2020
ECDSA 1 de fevereiro de 2020
ED25519 1.º de dezembro de 2019
RSA 1 de outubro de 2019
ECDSA 1.º de junho de 2019
ED25519 1 de março de 2019
Para alternar as chaves do host do servidor

  1. Adicione uma nova chave do host do servidor. Este procedimento está descrito em Adicionar uma chave de host do servidor adicional.

  2. Exclua uma ou mais chaves de host do mesmo tipo que você adicionou anteriormente. Este procedimento está descrito em Excluir uma chave de host do servidor.

  3. Todas as teclas estão visíveis e podem estar ativas, de acordo com o comportamento descrito anteriormente emComo o cliente escolhe uma chave de host do servidor.