Я только что зарегистрировал свой веб-сайт, чтобы люди могли заходить на него по HTTPS (и будут вынуждены это делать, поскольку HSTS и перенаправления являются частью конфигурации).
Он настроен с помощью GitLab. Я могу получить доступ к своим репозиториям через HTTPS. Я устанавливаю публичный сертификат рабочей станции, сгенерированный с помощью
ssh-keygen -t rsa -b 4096 -C "имя рабочей станции"
поэтому я могу отправлять и извлекать файлы без комбинации имени пользователя и пароля.
Теперь я попробую проверить
git-клон[email protected]:группа/репозиторий.git
И я получаю старую подсказку
Невозможно установить подлинность хоста 'git.myserver.com (#.#.#.#)'. Отпечаток ключа RSA — SHA256:HAHANO17pLUsNE2KoVKweYDEwhJHu1l4ugaoT+fHdx0.
Вы уверены, что хотите продолжить подключение (да/нет)?
...но подождите. HTTPS не требует подтверждения пользователя, поскольку сертификат не является самоподписанным.
Я продолжаю читать "X.509" - и этот Certification Authority, похоже, тот же самый, что и CA, который выдал мне мой HTTPS-сертификат. Так могу ли я настроить SSH моего сервера на использование того же подписанного сертификата (чтобы мне не пришлось вручную подтверждать и сохранять данные сервера в файле known_hosts моих рабочих станций)? И как мне настроить ssh/любые сгенерированные файлы?
решение1
Во-первых, SSH и HTTPS — это 2 разные службы, работающие на 2 разных портах (22 и 443 соответственно), использующие 2 разных протокола (ssh и HTTP через TLS/SSL соответственно). Эти протоколы несовместимы.
Более того, SSH не использует PKI (инфраструктуру открытых ключей), а аутентификация сервера основана на хэш-подписи, которую вам следует проверить у владельца сервера SSH по внешнему каналу (например, обратившись к администратору, отвечающему за сервер).
Существует программное обеспечение для использования PGP для сети доверия, которое можно использовать для SSH вместо PKI на основе сертификата X509. Смотрите:https://serverfault.com/a/60287