サーバーのホストキーをローテーションする - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバーのホストキーをローテーションする

サーバーホストキーは定期的にローテーションできます。

クライアントがサーバーホストキーを選択する方法

Transfer Family が適用するサーバーキーを選択する方法は、ここで説明するように、SFTP クライアントの条件によって異なります。古いキーが 1 つあり、新しいキーが 1 つあることを前提としています。

  • SFTP クライアントには、サーバー用の以前のパブリックホストキーがありません。クライアントがサーバーに初めて接続すると、次のいずれかが発生します。

    • クライアントが接続に失敗するように設定されている場合、クライアントは接続に失敗します。

    • または、クライアントは使用可能なアルゴリズムに一致する最初のキーを選択し、そのキーを信頼できるかどうかをユーザーに尋ねます。その場合、クライアントはknown_hostsファイル (またはクライアントが信頼の決定を記録するために使用するローカル設定ファイルまたはリソース) を自動更新し、そのキーを入力します。

  • SFTP クライアントには、known_hostsファイルに古いキーがあります。クライアントは、新しいキーが存在する場合でも、このキーのアルゴリズムまたは別のアルゴリズムにこのキーを使用することを好みます。これは、クライアントが known_hosts ファイルにあるキーに対する信頼度が高いためです。

  • SFTP クライアントは、キーファイルに新しいknown_hostsキー (使用可能なアルゴリズムのいずれか) を持っています。クライアントは古いキーを無視します。古いキーは信頼されておらず、新しいキーを使用するためです。

  • SFTP クライアントには、known_hostsファイル内に両方のキーがあります。クライアントは、サーバーが提供する使用可能なキーのリストと一致するインデックスで最初のキーを選択します。

Transfer Family は、SFTP クライアントがknown_hostsファイル内のすべてのキーを持つことを優先します。これにより、Transfer Family サーバーへの接続時に最も柔軟性が高くなります。キーローテーションは、同じ Transfer Family サーバーの known_hosts ファイルに複数のエントリが存在する可能性があることに基づいています。

サーバーホストキーのローテーション手順

例として、Transfer Family サーバーに次のサーバーホストキーのセットを追加したとします。

サーバーホストキー
ホストキータイプ サーバーに追加された日付
RSA 2020 年 4 月 1 日
ECDSA 2020 年 2 月 1 日
ED25519 2019年12月1日
RSA 2019 年 10 月 1 日
ECDSA 2019 年 6 月 1 日
ED25519 2019 年 3 月 1 日
サーバーのホストキーをローテーションするには
  1. 新しいサーバーホストキーを追加します。この手順は、「サーバーホストキーを追加する」で説明されています。

  2. 以前に追加した同じタイプのホストキーを 1 つ以上削除します。この手順は、「サーバーのホストキーを削除する」で説明されています。

  3. 前述の で説明した動作に従って、すべてのキーが表示され、アクティブにすることができますクライアントがサーバーホストキーを選択する方法