目前我們有 sFTP,但憑證只是自簽。我們現在需要使用有效的商業證書。
請幫助我了解需要購買什麼類型的證書以及基本上如何驗證證書?
使用協定:基於 SSH2 的 SFTP 僅在連接埠 22 上
答案1
沒有任何。
如你所說,SFTP 基於 SSH2。它與 FTPS(FTP over TLS)不同,並且不以任何方式使用 X.509 憑證。SSH2 中的伺服器驗證主要基於“信任”第一的use”,因此金鑰根本沒有被簽署。但是,自簽名憑證的許多問題並不適用。
唯一接近的是 OpenSSH 證書,它們不進行商業銷售——它們明確是供內部使用的,每個網站都創建自己的 CA。此外,只有 OpenSSH 支援它們,其他 SFTP 用戶端僅使用基本金鑰或 Kerberos。
也就是說,如果你是使用FTPS,它的工作方式與 Web 瀏覽器 (HTTPS) 中的 TLS 完全相同 - 它將使用相同的「TLS 伺服器」憑證類型和完全相同的驗證方法(預先載入的「根權限」清單)。
唯一的區別是 EV 通常是不是支援外部網路瀏覽器,因此常規組織或網域驗證的憑證就可以了。
最後,也有一些例外。 (就像一些程式設計師可以用任何語言編寫 Fortran 一樣,一些系統管理員設法將 X.509 無處不在。)
美國政府喜歡將 CAC 卡用於所有用途,甚至將 X.509 PKI 支援修補到 SSH 中。但如果那是你的情況,我想你會給定已經有了正確的證書,而不必向超級用戶詢問。
同樣,各種分散式研究計算網格還有一個使用 X.509 PKI 的 SSH 補丁 (GSI-SSH)。他們使用與主作業系統/網頁瀏覽器清單分開的根權限清單;它有一些商業 CA,還有一些由電網本身運作。他們還使用與常規「TLS 伺服器」略有不同的憑證 – 稱為“網格伺服器”在商業 CA 中。
也就是說,我認為任何例外情況都不適用。最有可能的是,編寫您的需求的人根本不知道 SFTP 和 FTPS。