Derzeit haben wir ein sFTP, aber das Zertifikat ist nur selbstsigniert. Wir müssen jetzt ein gültiges kommerzielles Zertifikat verwenden.
Bitte klären Sie mich darüber auf, welche Art von Zertifikat ich erwerben muss und wie die Validierung des Zertifikats grundsätzlich funktioniert.
Verwendetes Protokoll: SSH2-basiertes SFTP nur auf Port 22
Antwort1
Keiner.
Wie du gesagt hast,SFTP basiert auf SSH2. Es ist nicht dasselbe wie FTPS (FTP über TLS) und verwendet in keiner Weise X.509-Zertifikate.Die Serverauthentifizierung in SSH2 basiert hauptsächlich auf „Vertrauen inErsteuse“, die Schlüssel sind also überhaupt nicht signiert. Viele der Probleme mit selbstsignierten Zertifikaten treten jedoch nicht auf.
Das einzige, was dem auch nur annähernd nahe kommt, sind OpenSSH-Zertifikate, die nicht kommerziell verkauft werden – sie wurden ausdrücklich für den internen Gebrauch erstellt, wobei jede Site ihre eigene Zertifizierungsstelle erstellt. Außerdem werden sie nur von OpenSSH unterstützt, andere SFTP-Clients verwenden nur Basisschlüssel oder Kerberos.
Das gesagt,wenn duwarmit FTPS, es würde genauso funktionieren wie TLS in Webbrowsern (HTTPS) – es würde den gleichen Zertifikatstyp „TLS-Server“ und genau dieselben Validierungsmethoden (eine vorinstallierte Liste von „Stammautoritäten“) verwenden.
Der einzige Unterschied besteht darin, dass EV normalerweisenichtWird auch außerhalb von Webbrowsern unterstützt, daher reicht ein normales, organisations- oder domänenvalidiertes Zertifikat aus.
Schließlich gibt es noch einige Ausnahmen. (So wie manche Programmierer Fortran in jeder beliebigen Sprache schreiben können, schaffen es manche Systemadministratoren, X.509 überall einzusetzen.)
Die US-Regierung verwendet ihre CAC-Karten gerne für alles und hat die X.509-PKI-Unterstützung sogar in SSH integriert. Aber wenn das Ihre Situation wäre, wären Sie wahrscheinlichgegebendas richtige Zertifikat bereits, anstatt bei SuperUser danach fragen zu müssen.
Ebenso verschiedene verteilte ForschungsrechnerGitterhaben auch einen SSH-Patch (GSI-SSH), der X.509 PKI verwendet. Sie verwenden eine Root-Authority-Liste, die von der Haupt-OS-/Webbrowser-Liste getrennt ist; sie enthält einige kommerzielle CAs und einige, die von Grids selbst betrieben werden. Sie verwenden auch Zertifikate, die sich leicht von den regulären „TLS-Server“-Zertifikaten unterscheiden – genannt"Grid-Server"in kommerziellen Zertifizierungsstellen.
Allerdings glaube ich nicht, dass hier eine der Ausnahmen zutrifft. Höchstwahrscheinlich kann derjenige, der Ihre Anforderungen geschrieben hat, SFTP einfach nicht von FTPS unterscheiden.