本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新增額外的伺服器主機金鑰
在 AWS Transfer Family 主控台上,您可以新增其他伺服器主機金鑰。新增其他不同格式的主機金鑰,有助於在用戶端連線到伺服器時識別伺服器,並改善您的安全性設定檔。例如,如果您的原始金鑰是 RSA 金鑰,您可以新增額外的 ECDSA 金鑰。
注意
SFTP 用戶端將使用符合金鑰演算法之組態中最舊的金鑰進行連線。每個金鑰類型的最舊金鑰 (RSA、ECDSA 或 ED25519) 是該類型伺服器的作用中金鑰。
Transfer Family 伺服器具有多種主機金鑰類型時的安全性備註
如果伺服器有多種類型的主機金鑰,SFTP 用戶端可以依類型指派偏好設定。因此,當伺服器存在 RSA、ECDSA 和 ED25519 主機金鑰時,選擇取決於 類型偏好設定。
現代 SFTP 用戶端在存在時偏好 ECDSA 和 ED25519 主機金鑰。如果您想要在伺服器先前只有 RSA 金鑰時新增 ECDSA 或 ED25519 金鑰,這就變得很重要。新增 ECDSA 或 ED25519 金鑰可能會顯示為用戶端的安全警告。
對於用戶端,金鑰會顯示為已變更,實際上並未變更:除了現有的 RSA 金鑰之外,還新增了新的金鑰。如果您決定新增類型的伺服器主機金鑰,請記住這一點。
新增額外的伺服器主機金鑰
-
在 https://https://console.aws.amazon.com/transfer/
開啟 AWS Transfer Family 主控台。 -
在左側導覽窗格中,選擇伺服器,然後選擇使用 SFTP 通訊協定的伺服器。
-
在伺服器詳細資訊頁面上,向下捲動至伺服器主機金鑰區段。
-
選擇新增主機金鑰。
隨即顯示新增伺服器主機金鑰頁面。
-
在伺服器主機金鑰區段中,輸入 RSA、ECDSA 或 ED25519 私有金鑰,用於在用戶端透過啟用 SFTP 的伺服器連線到伺服器時識別您的伺服器。
注意
當您建立伺服器主機金鑰時,請務必指定
-N ""(無密碼片語)。如需如何產生金鑰對的詳細資訊在 macOS、Linux 或 Unix 上建立 SSH 金鑰,請參閱 。 -
(選用) 新增描述以區分多個伺服器主機金鑰。您也可以為金鑰新增標籤。
-
選擇 Add key (新增金鑰)。您會返回伺服器詳細資訊頁面。
若要使用 AWS Command Line Interface (AWS CLI) 新增主機金鑰,請使用 ImportHostKey API 操作並提供新的主機金鑰。如果您建立新的啟用 SFTP 的伺服器,您可以在 CreateServer API 操作中提供主機金鑰做為參數。您也可以使用 AWS CLI 更新現有主機金鑰的描述。
下列範例import-host-key AWS CLI 命令會匯入指定啟用 SFTP 之伺服器的主機金鑰。
aws transfer import-host-key --descriptionkey-description--server-idyour-server-id--host-key-bodyfile://my-host-key
