3

В настоящее время у нас есть sFTP, но сертификат только самоподписан. Теперь нам необходимо использовать действующий коммерческий сертификат.

Пожалуйста, помогите мне понять, какой тип сертификата необходимо приобрести и в основном, как он работает для подтверждения сертификата?

Использование протокола: SFTP на основе SSH2 только через порт 22

1 ответ1

11

Никто.

Как вы сказали, SFTP основан на SSH2.Это не то же самое, что FTPS (FTP через TLS) и не использует сертификаты X.509 в любом случае. В основе аутентификации сервера в SSH2 лежит принцип «доверие при первом использовании», поэтому ключи вообще не подписаны. Однако многие проблемы с самозаверяющими сертификатами не применяются.

Единственное, что удаленно близко, - это сертификаты OpenSSH, которые не продаются на коммерческой основе - они были явно созданы для внутреннего использования, при этом каждый сайт создает свой собственный CA. Кроме того, только OpenSSH поддерживает их, другие клиенты SFTP используют только базовые ключи или Kerberos.


Тем не менее, если вы используете FTPS, он будет работать точно так же, как и TLS в веб - браузерах (HTTPS) - он будет использовать тот же самый тип "TLS сервера" сертификатов и те же методы проверки (предварительно загруженный список «корня власти").

Единственное отличие состоит в том, что EV обычно не поддерживается внешними веб-браузерами, поэтому подойдет обычный сертификат, подтвержденный организацией или доменом.


Наконец, есть некоторые исключения. (Подобно тому, как некоторые программисты могут писать на Фортране на любом языке, некоторым системным администраторам удается везде поставить X.509.)

  • Правительству США нравится использовать свои карты CAC для всего, и они исправили поддержку PKI X.509 даже в SSH. Но если бы это было вашей ситуацией, я думаю, вы бы уже получили правильный сертификат вместо того, чтобы спрашивать в SuperUser.

  • Аналогично, различные распределенные исследовательские вычислительные сети также имеют патч SSH (GSI-SSH), в котором используется PKI X.509. Они используют корневой список полномочий, отдельный от основного списка ОС / веб-браузера; у него есть некоторые коммерческие центры сертификации, а некоторые управляются самими сетками. Они также используют сертификаты, немного отличающиеся от обычных «TLS-серверов», называемых «Grid-сервером» в коммерческих ЦС.

Тем не менее, я не думаю, что какие-либо исключения применимы здесь. Скорее всего, тот, кто написал ваши требования, просто не знает SFTP от FTPS.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .