sFTP usando certificado comercial

Navegue suas respostas
3

Atualmente, temos um sFTP, mas o certificado é apenas auto-sinal. Somos obrigados agora a usar um certificado comercial válido.

Por favor, ajude-me a esclarecer que tipo de certificado precisa comprar e, basicamente, como funciona para validar o certificado?

Protocolo usando: SFTP baseado em SSH2 somente na porta 22

    
por Jigo Jigs 04.12.2015 / 09:57

1 resposta

11

Nenhum.

Como você disse, o SFTP é baseado em SSH2. Não é o mesmo que FTPS (FTP sobre TLS) e não usa certificados X.509 de qualquer forma. A autenticação do servidor no SSH2 é baseada principalmente em "confiança no primeiro uso" , então as chaves não são assinadas. No entanto, muitos dos problemas com certificados auto-assinados não se aplicam.

A única coisa que até mesmo remotamente fecha são os certificados OpenSSH, que não são vendidos comercialmente - eles foram explicitamente feitos para uso interno, com cada site criando sua própria autoridade de certificação. Além disso, somente o OpenSSH os suporta, outros clientes SFTP usam apenas chaves básicas ou Kerberos.

Dito isso, se você estivesse usando FTPS , funcionaria exatamente da mesma maneira que o TLS em navegadores da web (HTTPS) - usaria o mesmo "Servidor TLS" "tipo de certificado e os mesmos métodos de validação (uma lista pré-carregada de" autoridades raiz ").

A única diferença é que o EV geralmente não é suportado fora dos navegadores da web, então um certificado regular de organização ou domínio seria ótimo.

Finalmente, existem algumas exceções. (Assim como alguns programadores podem escrever Fortran em qualquer idioma, alguns administradores conseguem colocar o X.509 em todos os lugares.)

  • O governo dos EUA gosta de usar seus cartões CAC para tudo e já corrigiu o suporte a PKI X.509 até mesmo para o SSH. Mas se essa fosse a sua situação, eu acho que você teria dado o certificado correto, em vez de ter que perguntar no SuperUser.

  • Da mesma forma, várias grades de pesquisa distribuída grades também possuem um patch SSH (GSI-SSH) que usa X.509 PKI. Eles usam uma lista de autoridade raiz separada da lista principal do navegador da Web / OS; tem algumas CAs comerciais e algumas são executadas por grades. Eles também usam certificados um pouco diferentes dos "TLS server" comuns - chamados de "Grid server" em CAs comerciais.

Dito isso, não acho que nenhuma das exceções se aplique aqui. Muito provavelmente, quem escreveu seus requisitos simplesmente não sabe SFTP de FTPS.

    
por 04.12.2015 / 10:31

Tags

Como habilitar o Bash no Windows 10? Não é possível excluir o diretório no Ubuntu 14.04.3 LTS