Usar un certificado HTTPS/SSL para establecer la autenticidad de una sesión SSH

Usar un certificado HTTPS/SSL para establecer la autenticidad de una sesión SSH

Acabo de registrar mi sitio web para que las personas puedan acceder mediante HTTPS (y me veré obligado a hacerlo, HSTS y redirecciones son parte de la configuración).

Está configurado con GitLab. Puedo acceder a mis repositorios a través de HTTPS sin problemas. Instalo un certificado público de estaciones de trabajo, generado con

ssh-keygen -t rsa -b 4096 -C "nombre de la estación de trabajo"

para poder enviar y extraer archivos sin una combinación de nombre de usuario y contraseña.

Ahora trato de comprobar

clon de git[correo electrónico protegido]:grupo/repositorio.git

Y recibo el mensaje anterior

No se puede establecer la autenticidad del host 'git.myserver.com (#.#.#.#)'. La huella digital de la clave RSA es SHA256:HAHANO17pLUsNE2KoVKweYDEwhJHu1l4ugaoT+fHdx0.

¿Estás seguro de que quieres continuar conectándote (sí/no)?

...pero espera. HTTPS no necesita confirmación del usuario porque el certificado no está autofirmado.

Sigo leyendo "X.509", y esa autoridad de certificación parece ser la misma que la CA que me dio mi certificado HTTPS. Entonces, ¿puedo configurar el SSH de mi servidor para usar el mismo certificado firmado (para no tener que confirmar y almacenar manualmente los datos del servidor en el archivo conocido_hosts de mi estación de trabajo)? Y, ¿cómo podría configurar ssh/cualquier archivo generado?

Respuesta1

Primero, SSH y HTTPS son 2 servicios diferentes que se ejecutan en 2 puertos diferentes (22 y 443 respectivamente), utilizando 2 protocolos diferentes (ssh y HTTP sobre TLS/SSL, respectivamente). Esos protocolos son incompatibles.

Además, SSH no utiliza una PKI (infraestructura de clave pública), pero la autenticación del servidor se basa en una firma hash que debe verificar con el propietario del servidor SSH a través de un canal fuera de banda (como ver al administrador que está a cargo del servidor). ).

Existe un software para usar PGP para una web de confianza que puede usar para SSH en lugar de PKI basada en certificado X509. Ver:https://serverfault.com/a/60287

información relacionada