現在、sFTP はありますが、証明書は自己署名のみです。有効な商用証明書を使用する必要が生じています。
どのようなタイプの証明書を購入する必要があるのか、また証明書を検証するには基本的にどのように機能するのかを教えてください。
使用するプロトコル: ポート 22 でのみ SSH2 ベースの SFTP
答え1
なし。
あなたが言ったように、SFTP は SSH2 ベースです。FTPS (FTP over TLS) とは異なり、X.509 証明書は一切使用しません。SSH2のサーバー認証は主に「信頼」に基づいています。初め「使用」であるため、キーはまったく署名されません。ただし、自己署名証明書の問題の多くは当てはまりません。
これに少しでも近いのは OpenSSH 証明書だけですが、これは市販されていません。これは内部使用のために明示的に作成されており、各サイトが独自の CA を作成しています。また、OpenSSH のみがこれをサポートしており、他の SFTP クライアントは基本キーまたは Kerberos のみを使用します。
そうは言っても、もし、あんたがだったFTPSを使用する、Web ブラウザーの TLS (HTTPS) とまったく同じように動作します。つまり、同じ「TLS サーバー」証明書タイプとまったく同じ検証方法 (「ルート証明機関」のプリロードされたリスト) を使用します。
唯一の違いは、EVは通常ない外部の Web ブラウザーではサポートされていないため、通常の組織またはドメインで検証された証明書で問題ありません。
最後に、例外がいくつかあります。(プログラマーの中には、どんな言語でも Fortran を記述できる人がいるのと同じように、システム管理者の中には、どこにでも X.509 を配置できる人もいます。)
米国政府はCACカードをあらゆる用途に使用し、X.509 PKIサポートをSSHにまでパッチしています。しかし、もしそれがあなたの状況だったら、与えられたSuperUser で問い合わせる代わりに、正しい証明書が既に存在します。
同様に、さまざまな分散研究コンピューティンググリッドまた、X.509 PKIを使用するSSHパッチ(GSI-SSH)もあります。メインのOS / Webブラウザリストとは別のルート権限リストを使用します。商用CAとグリッド自体が運営するCAがあります。また、通常の「TLSサーバー」の証明書とは少し異なる証明書を使用します。「グリッドサーバー」商用 CA の場合。
そうは言っても、ここでは例外はどれも当てはまらないと思います。おそらく、要件を書いた人は SFTP と FTPS の違いを知らないだけでしょう。