Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Faites pivoter les clés de l'hôte du serveur
Régulièrement, vous pouvez faire pivoter la clé d'hôte de votre serveur.
Comment le client choisit une clé d'hôte de serveur
La manière dont Transfer Family choisit la clé de serveur à appliquer dépend des conditions du client SFTP, comme expliqué ici. L'hypothèse est qu'il existe une clé plus ancienne et une clé plus récente.
-
Un client SFTP ne possède aucune clé d'hôte publique préalable pour le serveur. La première fois que le client se connecte au serveur, l'une des situations suivantes se produit :
-
Le client échoue à établir la connexion s'il est configuré pour ce faire.
-
Ou bien, le client choisit la première clé qui correspond aux algorithmes disponibles possibles et demande à l'utilisateur si cette clé est fiable. Si tel est le cas, le client met automatiquement à jour le
known_hostsfichier (ou tout autre fichier de configuration local ou ressource utilisé par le client pour enregistrer les décisions de confiance) et entre cette clé.
-
-
Un client SFTP possède une ancienne clé dans son
known_hostsfichier. Le client préfère utiliser cette clé, même s'il en existe une plus récente, que ce soit pour l'algorithme de cette clé ou pour un autre algorithme. Cela est dû au fait que le client a un niveau de confiance plus élevé pour la clé contenue dans sonknown_hostsfichier. -
Un client SFTP possède la nouvelle clé (dans tous les algorithmes disponibles) dans son fichier de
known_hostsclés. Le client ignore les anciennes clés parce qu'elles ne sont pas fiables et utilise la nouvelle clé. -
Un client SFTP possède les deux clés dans son
known_hostsfichier. Le client choisit la première clé par index qui correspond à la liste des clés disponibles proposées par le serveur.
Transfer Family préfère que le client SFTP ait toutes les clés dans son known_hosts fichier, car cela permet une plus grande flexibilité lors de la connexion à un serveur Transfer Family. La rotation des clés est basée sur le fait que plusieurs entrées peuvent exister dans le known_hosts fichier pour le même serveur Transfer Family.
Procédure de rotation de la clé hôte du serveur
Supposons par exemple que vous ayez ajouté le jeu de clés d'hôte de serveur suivant à votre serveur Transfer Family.
Clés d'hôte du serveur | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Type de clé d'hôte | Date d'ajout au serveur | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| RSA | 1er avril 2020 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ECDSA | 1er février 2020 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ED25519 | 1 décembre 2019 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| RSA | 1 octobre 2019 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ECDSA | 1er juin 2019 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ED25519 | 1 mars 2019 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Pour faire pivoter la clé d'hôte du serveur
-
Ajoutez une nouvelle clé d'hôte de serveur. Cette procédure est décrite dansAjouter une clé d'hôte de serveur supplémentaire.
-
Supprimez une ou plusieurs clés d'hôte du même type que celles que vous avez ajoutées précédemment. Cette procédure est décrite dansSupprimer la clé d'hôte d'un serveur.
-
Toutes les touches sont visibles et peuvent être actives, sous réserve du comportement décrit précédemment dansComment le client choisit une clé d'hôte de serveur.
