Acabei de registrar meu site para que as pessoas possam acessar por HTTPS (e serão forçadas a isso, HSTS e redirecionamentos fazem parte da configuração).
Está configurado com GitLab. Posso acessar meus repositórios via HTTPS perfeitamente. Eu instalo um certificado público de estações de trabalho, gerado com
ssh-keygen -t rsa -b 4096 -C "nome da estação de trabalho"
para que eu possa enviar e extrair arquivos sem uma combinação de nome de usuário/senha.
Agora eu tento verificar
clone[e-mail protegido]:grupo/repositório.git
E eu recebo o aviso antigo
A autenticidade do host 'git.myserver.com (#.#.#.#)' não pode ser estabelecida. A impressão digital da chave RSA é SHA256:HAHANO17pLUsNE2KoVKweYDEwhJHu1l4ugaoT+fHdx0.
Tem certeza de que deseja continuar se conectando (sim/não)?
...mas espere. HTTPS não precisa de confirmação do usuário, porque o certificado não é autoassinado.
Continuo lendo "X.509" - e essa Autoridade de Certificação parece ser a mesma que a CA que me deu meu certificado HTTPS. Então, posso configurar o SSH do meu servidor para usar o mesmo certificado assinado (para não precisar confirmar e armazenar manualmente os dados do servidor no arquivoknown_hosts das minhas estações de trabalho)? E como eu poderia configurar o ssh/quaisquer arquivos gerados?
Responder1
Primeiro, SSH e HTTPS são 2 serviços diferentes executados em 2 portas diferentes (22 e 443 respectivamente), usando 2 protocolos diferentes (ssh e respectivamente HTTP sobre TLS/SSL). Esses protocolos são incompatíveis.
Além disso, o SSH não usa uma PKI (infraestrutura de chave pública), mas a autenticação do servidor é baseada na assinatura hash que você deve verificar com o proprietário do servidor SSH através de um canal fora de banda (como ver o administrador responsável pelo servidor ).
Existe um software para usar PGP para uma rede de confiança que você pode usar para SSH em vez de PKI baseado em certificado X509. Ver:https://serverfault.com/a/60287