Como configurar a rotação automática de uma chave SSH Ed25519

Use este documento para habilitar a rotação automática em uma chave SSH que utiliza o algoritmo Ed25519 no Segura® SaaS. Depois de configurado, o Segura® gera um novo par de chaves Ed25519 no agendamento definido, atualiza a chave pública no host alvo, armazena a nova chave privada e invalida a chave anterior.

Requisitos

• Uma conta com nível de administrador na plataforma Segura® SaaS.
• Um dispositivo alvo já cadastrado no PAM Core, acessível pela plataforma.
• O host alvo deve executar OpenSSH 6.5 ou posterior, que é a versão mínima compatível com o algoritmo Ed25519.
• Uma credencial ou chave SSH com permissão de escrita no arquivo ~/.ssh/authorized_keys do usuário alvo no host, a menos que a própria chave rotacionada seja usada para autenticação.
• Uma política de senha atribuída à chave SSH, porque o campo Definir senha ao renovar a chave é obrigatório.

Procedimento

1. Abra o formulário de registro da chave SSH.

• Para configurar a rotação em uma chave existente: acesse PAM Core > Credenciais > Chaves SSH, localize a chave e selecione Editar na coluna Ações.
• Para criar uma nova chave Ed25519 e configurar a rotação no mesmo fluxo: acesse PAM Core > Credenciais > Chaves SSH > Adicionar.

2. Defina o algoritmo como Ed25519. Na aba Informações, abra o menu suspenso Algoritmo da chave SSH e selecione Ed25519.

3. Preencha as demais abas conforme necessário. Complete as abas Dados da chave, Dispositivos e Configurações de sessão. Para detalhes de cada campo, consulte Cadastro da chave SSH.

4. Acesse a aba Renovação de chave.

5. Ative o botão toggle Habilitar troca automática. Ao ativar esse botão, os demais campos de rotação serão exibidos.

6. Ative o botão toggle Definir senha ao renovar a chave. Este campo é obrigatório quando a troca automática está habilitada.

7. Escolha o caminho de autenticação para a operação de rotação:

• Para usar a própria chave que está sendo criada ou editada como chave de autenticação durante a rotação, ative o botão toggle Usar a própria chave para conectar.
• Caso contrário, deixe Usar a própria chave para conectar desabilitado e selecione uma credencial ou chave no menu suspenso Credencial ou chave SSH para autenticação.

8. Clique em Continuar. O formulário avança para a aba Revisão.

9. Confirme as configurações na aba Revisão e envie o formulário. Clique no botão Salvar no final da página.

Confirme os resultados

• A chave aparece na lista Chaves SSH, com a coluna Algoritmo da chave SSH exibindo ED25519.
• Na próxima rotação agendada, o Segura® gera um novo par de chaves Ed25519, aplica a chave pública no host alvo e armazena a nova chave privada. As sessões SSH subsequentes por meio do Web Proxy e do Terminal Proxy utilizam a chave rotacionada sem necessidade de ação adicional.
• Para verificar uma operação de rotação, abra a tela de detalhes da chave SSH e consulte a lista de eventos. Cada evento de rotação registra o tipo da chave, o resultado, o timestamp e o host alvo. Para mais detalhes, consulte Detalhes chave SSH.

Solução de problemas

• Problema: A rotação falha com um erro indicando que o host não oferece suporte a Ed25519.

  • Solução: Verifique se o host alvo executa OpenSSH 6.5 ou posterior. Atualize o pacote OpenSSH do host ou altere o Algoritmo da chave SSH para RSA ou ECDSA (P-256) na aba Informações.

• Problema: A rotação falha com erro de permissão no arquivo authorized_keys.

  • Solução: Verifique se a credencial ou chave selecionada em Credencial ou chave SSH para autenticação tem permissão de escrita no arquivo ~/.ssh/authorized_keys do usuário alvo no host.

• Problema: A rotação falha devido a erro de rede ou conectividade.

  • Solução: Verifique a conectividade da Segura® Platform com o host alvo. Quando a rotação falha no meio da operação, a chave anterior permanece ativa e continua autenticando sessões até a próxima tentativa agendada.

Links relacionados

• Como configurar uma chave SSH.
• Cadastro da chave SSH.