Zum Inhalt

Verwalten von Hostschlüsseln

Konfigurieren der Hostschlüsselprüfung

Führen Sie die folgenden Schritte aus, um festzulegen, wie Reflection beim Aufbauen einer Verbindung zu einem unbekannten Host vorgehen soll.

So konfigurieren Sie die Prüfung des Hostschlüssels

  1. Öffnen Sie das Dialogfeld Reflection Secure Shell-Einstellungen.

  2. Wählen Sie den Bereich Host Authentication (Hostauthentifizierung) aus.

  3. Wählen Sie eine der folgenden Optionen aus der Dropdownliste Enforce strict host key checking (Strenge Hostschlüsselüberprüfung erzwingen) aus.

    Wert An
    Benutzer fragen (Standard) Zeigt das Bestätigungsdialogfeld Authentizität des Hostschlüssels prüfen an, wenn Sie eine Verbindung zu einem unbekannten Host herstellen.
    Ja Enforce strict host key checking (Prüfung des Hostschlüssels erzwingen): Reflection baut nur dann eine Verbindung auf, wenn der Host vertrauenswürdig ist. Bevor Sie eine Verbindung herstellen können, müssen Sie den registrierten Host in Ihre Liste der zuverlässigen Hostschlüssel aufnehmen.
    Nein Erzwingen der Hostschlüsselprüfung verhindern: Reflection baut die Verbindung auf, ohne ein Bestätigungsdialogfeld anzuzeigen. Der Hostschlüssel wird nicht in die Liste der zuverlässigen Schlüssel aufgenommen.

Hinweis

  • Die Option Prüfung des Hostschlüssels erzwingen hat keine Auswirkungen, wenn der Host für die Authentifizierung mit X.509-Zertifikaten konfiguriert wurde. Wenn der Host ein Zertifikat für die Hostauthentifizierung präsentiert und sich das erforderliche Zertifikat der Zertifizierungsstelle nicht in Ihrem Speicher der zuverlässigen Stammzertifikate befindet, schlägt die Verbindung fehl.

  • Änderungen, die Sie an dieser Einstellung vornehmen, werden in dem aktuell angegebenen Abschnitt in der SSH-Konfigurationsdatei gespeichert.

  • Secure Shell-Einstellungen werden in der Secure Shell-Konfigurationsdatei gespeichert. Sie können die Secure Shell-Einstellungen auch konfigurieren, indem Sie diese Datei in einem Texteditor manuell bearbeiten. Das für die Konfiguration dieser Einstellung verwendete Schlüsselwort ist StrictHostKeyChecking.

Konfigurieren der bevorzugten Hostschlüsselart

Aktivieren Sie das Kontrollkästchen Prefer SSH keys over certificates (SSH-Schlüssel den Zertifikaten vorziehen), um festzulegen, dass Reflection die Hostschlüsselalgorithmen in dieser Reihenfolge verwendet. Diese Einstellung ist nützlich, wenn der Server sowohl für die Authentifizierung mit Zertifikaten als auch für die standardmäßige Hostschlüsselauthentifizierung konfiguriert ist. Beim SSH-Protokoll steht für die Hostauthentifizierung nur ein Versuch zur Verfügung. Wenn der Host ein Zertifikat präsentiert, der Client aber nicht für die Hostauthentifizierung mit Zertifikaten konfiguriert ist, schlägt die Verbindung fehl. (Im Gegensatz dazu sind bei der Benutzerauthentifizierung mehrere Versuche möglich.)

So konfigurieren Sie die bevorzugte Hostschlüsselart (standardmäßig SSH-Schlüssel oder Zertifikate)

  1. Öffnen Sie das Dialogfeld Reflection Secure Shell-Einstellungen.

  2. Wählen Sie den Bereich Host Authentication (Hostauthentifizierung) aus.

  3. Aktivieren Sie das Kontrollkästchen Prefer SSH keys over certificates (SSH-Schlüssel den Zertifikaten vorziehen), damit der Host die Standardhostschlüssel für die Authentifizierung verwendet.

    -oder-

    Wenn Sie Zertifikate für die Authentifizierung verwenden möchten, müssen Sie das Kontrollkästchen Prefer SSH keys over certificates (SSH-Schlüssel den Zertifikaten vorziehen) deaktivieren.

Hinweis

  • Änderungen, die Sie an dieser Einstellung vornehmen, werden in dem aktuell angegebenen Abschnitt in der SSH-Konfigurationsdatei gespeichert.

  • Secure Shell-Einstellungen werden in der Secure Shell-Konfigurationsdatei gespeichert. Sie können die Secure Shell-Einstellungen auch konfigurieren, indem Sie diese Datei in einem Texteditor manuell bearbeiten. Das für die Konfiguration dieser Einstellung verwendete Schlüsselwort ist HostKeyAlgorithms.

Datei "known_hosts"

Der Secure Shell-Client verwaltet eine Liste der bekannten Hosts in einer Datei mit der Bezeichnung „known_hosts“. Der Client unterstützt sowohl benutzerspezifische als auch globale Dateien mit bekannten Hosts.
Benutzerdatei mit den bekannten Hosts Die benutzerspezifische Datei mit dem bekannten Host ist im .ssh-Benutzerordner unter dem Namen known_hosts gespeichert. Dies ist die Standarddatei für bekannte Hosts. In folgenden Fällen wird die Datei durch den Client automatisch aktualisiert:
  • Wenn Sie die Liste Vertrauenswürdiger Hostschlüssel in der Registerkarte Host Authentication (Hostauthentifizierung) des Dialogfelds „Secure Shell-Einstellungen“ aktualisieren.

    -oder-
  • Wenn Sie eine Verbindung zu einem bisher unbekannten Host herstellen und die Eingabeaufforderung Authentizität des Hostschlüssels prüfen mit Immer beantworten.
Die Datei mit den global bekannten Hosts Systemadministratoren können dem Ordner für Clientanwendungsdaten eine Datei mit den systemweit bekannten Hosts unter der Bezeichnung ssh_known_hosts hinzufügen.

In diesem Verzeichnis enthält die Datei mit den bekannten Hosts eine Hostliste für alle Benutzer des PC. Die in der Liste Globale Hostschlüssel der Registerkarte Host Authentication (Hostauthentifizierung) (Dialogfeld „Secure Shell-Einstellungen“) aufgeführten Schlüssel können zwar angezeigt, aber nicht bearbeitet werden.

Dialogfeld "Authentizität des Hostschlüssels prüfen"

Dieses Bestätigungsdialogfeld wird angezeigt, wenn der Host, zu dem Sie eine Verbindung aufbauen, kein zuverlässiger Host ist. Soll diesem Host vertraut und die Verbindung aufgebaut werden?

Durch eine Hostauthentifizierung wird dem Secure Shell-Client die zuverlässige Bestätigung der Identität des Secure Shell-Servers ermöglicht. Die Authentifizierung erfolgt mithilfe öffentlicher Schlüssel. Wenn der öffentliche Hostschlüssel nicht zuvor auf dem Client installiert wurde, wird beim ersten Verbindungsversuch die Meldung angezeigt, dass dieser Host unbekannt ist. Diese Meldung enthält auch einen Fingerabdruck, der den Host identifiziert.

Um sicherzugehen, dass dies tatsächlich Ihr Host ist, sollten Sie sich an den Hostsystemadministrator wenden, der überprüfen kann, ob es sich um den richtigen Fingerabdruck handelt. Solange Sie nicht wissen, dass es sich bei dem Host tatsächlich um Ihren Host handelt, besteht die Gefahr eines "Man-in-the-Middle"-Angriffs, bei dem sich ein anderer Server als Ihr Host ausgibt.

Die Optionen sind:
Immer Die Verbindung wird aufgebaut, und dieser Host wird der Liste der zuverlässigen Hosts hinzugefügt. Bei nachfolgenden Verbindungen zu demselben Host sehen Sie diese Eingabeaufforderung nur, wenn der Host aus der Liste der registrierten Hosts entfernt wurde oder der Hostschlüssel sich geändert hat.
Einmal Die Verbindung wird aufgebaut, aber der Host wird der Liste der zuverlässigen Hosts nicht hinzugefügt. Sie sehen diese Eingabeaufforderung wieder, wenn Sie das nächste Mal eine Verbindung zu demselben Host herstellen.
Nein Stellt keine Verbindung her und fügt den Host nicht der Liste der registrierten Hosts hinzu.