Actualmente tenemos un sFTP pero el certificado solo es autofirmado. Ahora estamos obligados a utilizar un certificado comercial válido.
Por favor, ayúdenme a saber qué tipo de certificado debo comprar y, básicamente, cómo funciona para validar el certificado.
Protocolo que utiliza: SFTP basado en SSH2 solo en el puerto 22
Respuesta1
Ninguno.
Como dijiste,SFTP está basado en SSH2. No es lo mismo que FTPS (FTP sobre TLS) y no utiliza certificados X.509 de ninguna manera.La autenticación del servidor en SSH2 se basa principalmente en "confianza enprimerouse", por lo que las claves no están firmadas en absoluto. Sin embargo, muchos de los problemas con los certificados autofirmados no se aplican.
Lo único que se acerca remotamente son los certificados OpenSSH, que no se venden comercialmente: se crearon explícitamente para uso interno y cada sitio crea su propia CA. Además, sólo OpenSSH los admite, otros clientes SFTP sólo utilizan claves básicas o Kerberos.
Dicho eso,si ustederanusando FTPS, funcionaría exactamente de la misma manera que TLS en los navegadores web (HTTPS): usaría el mismo tipo de certificado "Servidor TLS" y exactamente los mismos métodos de validación (una lista precargada de "autoridades raíz").
La única diferencia es que los vehículos eléctricos suelen sernocompatible con navegadores web externos, por lo que un certificado normal validado por una organización o un dominio estaría bien.
Finalmente, hay algunas excepciones. (Así como algunos programadores pueden escribir Fortran en cualquier idioma, algunos administradores de sistemas logran colocar X.509 en todas partes).
Al gobierno de EE. UU. le gusta usar sus tarjetas CAC para todo y ha parchado el soporte PKI X.509 incluso en SSH. Pero si esa fuera tu situación, creo que habrías sidodadoel certificado correcto ya, en lugar de tener que preguntarle al SuperUsuario.
De manera similar, varios sistemas de computación de investigación distribuidarejillasTambién tiene un parche SSH (GSI-SSH) que utiliza X.509 PKI. Utilizan una lista de autoridad raíz separada de la lista principal del sistema operativo/navegador web; Tiene algunas CA comerciales y otras administradas por las propias redes. También utilizan certificados ligeramente diferentes a los del "servidor TLS" normal, llamados"Servidor de red"en CA comerciales.
Dicho esto, no creo que ninguna de las excepciones se aplique aquí. Lo más probable es que quien haya escrito sus requisitos simplemente no sepa distinguir entre SFTP y FTPS.