Пожалуйста, помогите мне развеять любую путаницу, которая может возникнуть в отношении моей конфигурации Windows 2019 Server OpenSSH SFTP. Я видел в Интернете, что есть так много разных способов настроить это, и я пытаюсь понять это. В настоящее время у меня он отлично работает с аутентификацией по имени пользователя и паролю в ActiveDirectory. Моя цель - максимально упростить использование SFTP для моих клиентских пользователей с самого первого знакомства с ним - и в то же время поддерживать высокую степень безопасности данных во время передачи файлов с помощью шифрования.
К сожалению, мой опыт работы с шифрованием таков, что я должен создавать клиентские сертификаты, которые должны быть импортированы клиентскими компьютерами, чтобы передача данных между ними и моим сервером шифровалась. Это тот случай, когда я, например, настраивал VPN. Это сложно.
Точно так же я думал, что мне нужно использовать команды генерации ключей SSH для создания ключей, которые мне затем придется установить на своих клиентских компьютерах, а также на моем сервере, чтобы позволить OpenSSH SFTP безопасно шифровать передачу файлов. Это делает процесс несколько утомительным для моих клиентов.
Однако теперь я вижу, что при первоначальном входе на мой SFTP-сервер я получаю интерактивное предупреждение, в котором говорится:
Подлинность хоста blablabla.booboo.beep.haha.com (xxx.xxx.xxx.xxx) не может быть установлена. Отпечаток ключа ECDSA - SHA256: XYZA3yyyyyGGGG / aaaaaYYYYYNosUXXXXGi / NNNNN1iE. Вы уверены, что хотите продолжить подключение (да / нет)?
Если я скажу "да", то получу,
Предупреждение: «blablabla.booboo.beep.haha.com» (ECDSA) постоянно добавлен в список известных хостов.
Следовательно, в папке .ssh моего профиля к файлу known_hosts добавляется длинная случайная строка, которая ссылается на мое имя сервера. Эта строка не совсем такая же, как интерактивное сообщение SFTP, которое я видел, но должна быть какая-то связь.
Означает ли вышеизложенное, что какой-то уникальный серверный ключ из моей установки Windows 2019 OpenSSH уже был автоматически обменен с моим клиентом Windows 10, что избавляет меня от необходимости вручную импортировать какие-либо ключи на любой из машин, чтобы отныне шифровать передаваемые данные ? Это было бы замечательно нестандартно!
Если это не так, то есть ли способ заставить шифрование работать с минимальными усилиями (т. Е. Без дополнительных действий, требуемых пользователями-клиентами, кроме установления их сеанса SFTP) и при этом предотвратить отслеживание данных во время передачи файлов?
Например, веб-серверы могут получить установленный сертификат SSL / TLS для защиты и шифрования связи с веб-посетителями, но при этом посетителям обычно не нужно сознательно устанавливать какие-либо сертификаты на стороне клиента, чтобы это работало. Я понимаю, что эти сертификаты приобретаются веб-хостами и могут быть автоматически подтверждены любым клиентским веб-браузером по всему миру с использованием надежных сторонних источников.
Возможен ли такой простой в использовании сценарий с SFTP, или есть какие-либо другие простые альтернативы, которые могут защитить мои передачи данных, не усложняя первоначальную настройку клиента?