В настоящее время у нас есть sFTP, но сертификат только самоподписанный. Теперь нам необходимо использовать действительный коммерческий сертификат.
Пожалуйста, помогите мне разобраться, какой тип сертификата необходимо приобрести и как в принципе работает проверка сертификата?
Использование протокола: SFTP на основе SSH2 только на порту 22
решение1
Никто.
Как вы сказали,SFTP основан на SSH2. Это не то же самое, что FTPS (FTP через TLS) и не использует сертификаты X.509 каким-либо образом.Аутентификация сервера в SSH2 в основном основана на принципе «доверия».первыйиспользовать", поэтому ключи вообще не подписаны. Однако многие проблемы с самоподписанными сертификатами не возникают.
Единственное, что хоть как-то близко, это сертификаты OpenSSH, которые не продаются в коммерческих целях — они были созданы специально для внутреннего использования, и каждый сайт создавал свой собственный CA. Кроме того, их поддерживает только OpenSSH, другие клиенты SFTP используют только базовые ключи или Kerberos.
Тем не менее,если выбылис использованием FTPS, он будет работать точно так же, как TLS в веб-браузерах (HTTPS) — он будет использовать тот же тип сертификата «TLS Server» и те же самые методы проверки (предварительно загруженный список «корневых центров»).
Единственное отличие в том, что электромобиль обычнонетподдерживается внешними веб-браузерами, поэтому подойдет обычный сертификат, проверенный организацией или доменом.
Наконец, есть некоторые исключения. (Точно так же, как некоторые программисты могут писать на Фортране на любом языке, некоторые системные администраторы умудряются везде размещать X.509.)
Правительство США любит использовать свои карты CAC для всего, и пропатчило поддержку X.509 PKI даже в SSH. Но если бы это было вашей ситуацией, я думаю, вы бы былиданныйправильный сертификат, вместо того, чтобы спрашивать у SuperUser.
Аналогично, различные распределенные исследовательские вычислениясеткитакже есть патч SSH (GSI-SSH), который использует X.509 PKI. Они используют список корневых полномочий, отдельный от основного списка ОС / веб-браузера; у него есть некоторые коммерческие CA и некоторые, управляемые самими сетками. Они также используют сертификаты, немного отличающиеся от обычных "TLS-серверных" – называемых"Грид-сервер"в коммерческих центрах сертификации.
Тем не менее, я не думаю, что какие-либо исключения применимы здесь. Скорее всего, тот, кто написал ваши требования, просто не отличает SFTP от FTPS.