Atualmente temos um sFTP, mas o certificado é apenas autoassinado. Agora somos obrigados a usar um certificado comercial válido.
Por favor, ajude-me a esclarecer que tipo de certificado preciso adquirir e basicamente como funciona para validar o certificado?
Protocolo usando: SFTP baseado em SSH2 apenas na porta 22
Responder1
Nenhum.
Como você disse,SFTP é baseado em SSH2. Não é o mesmo que FTPS (FTP sobre TLS) e não usa certificados X.509 de forma alguma.A autenticação do servidor no SSH2 é baseada principalmente na "confiança noprimeirouse", portanto as chaves não são assinadas. No entanto, muitos dos problemas com certificados autoassinados não se aplicam.
A única coisa remotamente próxima são os certificados OpenSSH, que não são vendidos comercialmente – eles foram feitos explicitamente para uso interno, com cada site criando sua própria CA. Além disso, apenas OpenSSH os suporta, outros clientes SFTP usam apenas chaves básicas ou Kerberos.
Dito isto,se vocêeramusando FTPS, funcionaria exatamente da mesma maneira que o TLS em navegadores da web (HTTPS) – usaria o mesmo tipo de certificado "Servidor TLS" e exatamente os mesmos métodos de validação (uma lista pré-carregada de "autoridades raiz").
A única diferença é que o EV geralmente énãosuportado fora de navegadores da web, portanto, um certificado regular validado por organização ou domínio seria adequado.
Finalmente, existem algumas exceções. (Assim como alguns programadores podem escrever Fortran em qualquer linguagem, alguns administradores de sistemas conseguem colocar o X.509 em todos os lugares.)
O governo dos EUA gosta de usar seus cartões CAC para tudo e corrigiu o suporte PKI X.509 até mesmo para SSH. Mas se essa fosse a sua situação, acho que você estariadadojá o certificado correto, em vez de ter que perguntar no SuperUser.
Da mesma forma, vários computadores de pesquisa distribuídosgradestambém possui um patch SSH (GSI-SSH) que usa PKI X.509. Eles usam uma lista de autoridade raiz separada da lista principal do sistema operacional/navegador da web; possui algumas CAs comerciais e algumas administradas pelas próprias redes. Eles também usam certificados ligeiramente diferentes dos "servidores TLS" normais - chamados"Servidor de grade"em CAs comerciais.
Dito isto, não creio que nenhuma das exceções se aplique aqui. Provavelmente, quem escreveu seus requisitos simplesmente não conhece SFTP de FTPS.