Verwenden eines HTTPS/SSL-Zertifikats zum Nachweis der Authentizität einer SSH-Sitzung

Verwenden eines HTTPS/SSL-Zertifikats zum Nachweis der Authentizität einer SSH-Sitzung

Ich habe meine Website gerade registriert, damit die Leute über HTTPS darauf zugreifen können (und dazu gezwungen werden, HSTS und Weiterleitungen sind Teil der Konfiguration).

Es ist mit GitLab eingerichtet. Ich kann problemlos über HTTPS auf meine Repositories zugreifen. Ich installiere das öffentliche Zertifikat einer Arbeitsstation, generiert mit

ssh-keygen -t rsa -b 4096 -C "Arbeitsstationsname"

sodass ich Dateien ohne Benutzername/Passwort-Kombination pushen und pullen kann.

Jetzt versuche ich auszuchecken

Git-Klon[email geschützt]:Gruppe/Repository.git

Und ich bekomme die alte Eingabeaufforderung

Die Authentizität des Hosts „git.myserver.com (#.#.#.#)“ kann nicht festgestellt werden. Der RSA-Schlüsselfingerabdruck lautet SHA256:HAHANO17pLUsNE2KoVKweYDEwhJHu1l4ugaoT+fHdx0.

Möchten Sie die Verbindung wirklich fortsetzen (Ja/Nein)?

...aber warten Sie. HTTPS benötigt keine Benutzerbestätigung, da das Zertifikat nicht selbstsigniert ist.

Ich lese immer „X.509“ – und diese Zertifizierungsstelle scheint dieselbe zu sein wie die CA, die mir mein HTTPS-Zertifikat ausgestellt hat. Kann ich also das SSH meines Servers so konfigurieren, dass es dasselbe signierte Zertifikat verwendet (damit ich die Daten des Servers nicht manuell bestätigen und in der known_hosts-Datei meiner Arbeitsstationen speichern muss)? Und wie kann ich SSH/alle generierten Dateien konfigurieren?

Antwort1

Erstens sind SSH und HTTPS zwei verschiedene Dienste, die auf zwei verschiedenen Ports (22 bzw. 443) laufen und zwei verschiedene Protokolle verwenden (ssh bzw. HTTP über TLS/SSL). Diese Protokolle sind nicht kompatibel.

Darüber hinaus verwendet SSH keine PKI (Public Key Infrastructure), sondern die Serverauthentifizierung basiert auf einer Hash-Signatur, die Sie über einen Out-of-Band-Kanal (z. B. über den Administrator, der für den Server verantwortlich ist) beim Eigentümer des SSH-Servers überprüfen sollten.

Es gibt eine Software zur Verwendung von PGP für ein Web of Trust, die Sie für SSH anstelle einer auf X509-Zertifikaten basierenden PKI verwenden können. Siehe:https://serverfault.com/a/60287

verwandte Informationen