SFTP 上的相互 SSL 身份验证?
Mutual SSL Auth Over SFTP?
我有一个使用 SFTP 设置 "mutual SSL Authentication" 的请求。他们想让 ProFTPd SFTP 服务器通过证书对客户端进行身份验证。这甚至可以使用 SFTP 吗?我假设因为 SFTP 是基于密钥的 SSH 而不是基于证书,所以它不容易完成。我怀疑他们真正想要的是 FTPS,但他们坚持使用 SFTP。有人在做这样的事吗?谢谢!
如前所述,问题有几点不合理:
- SFTP 是基于 SSH 的文件传输协议,它不支持任何 "SSL authentication"(除非你使用 X.509 patch,认为它可能是你的目标)
- ProFTPd 可能支持 SFTP(不像评论中提到的那样原生支持)并且肯定不会使用与 SSH 支持的不同的身份验证。
您可以设置 openssh 和 sftp-server 并设置 CA for signing host keys and client keys(不是 X.509,而是 openssh),这可能适合您的需要,除了它不是 "SSL".
或者相反,使用 ProFTPd,使用真正的 SSL,但放弃 SFTP 转而使用 FTPS。
这两种解决方案都是有效且合理的,但在它们之间进行一些突变似乎不是一个好的面向未来的解决方案。
我有一个使用 SFTP 设置 "mutual SSL Authentication" 的请求。他们想让 ProFTPd SFTP 服务器通过证书对客户端进行身份验证。这甚至可以使用 SFTP 吗?我假设因为 SFTP 是基于密钥的 SSH 而不是基于证书,所以它不容易完成。我怀疑他们真正想要的是 FTPS,但他们坚持使用 SFTP。有人在做这样的事吗?谢谢!
如前所述,问题有几点不合理:
- SFTP 是基于 SSH 的文件传输协议,它不支持任何 "SSL authentication"(除非你使用 X.509 patch,认为它可能是你的目标)
- ProFTPd 可能支持 SFTP(不像评论中提到的那样原生支持)并且肯定不会使用与 SSH 支持的不同的身份验证。
您可以设置 openssh 和 sftp-server 并设置 CA for signing host keys and client keys(不是 X.509,而是 openssh),这可能适合您的需要,除了它不是 "SSL".
或者相反,使用 ProFTPd,使用真正的 SSL,但放弃 SFTP 转而使用 FTPS。
这两种解决方案都是有效且合理的,但在它们之间进行一些突变似乎不是一个好的面向未来的解决方案。