SFTP配置中如何实现双向认证

在SFTP（SSH File Transfer Protocol）配置中实现双向认证，需要使用公钥基础设施（PKI）和SSH密钥对。双向认证意味着客户端和服务器都需要验证对方的身份。以下是实现双向认证的步骤：

服务器端配置

1. 生成SSH密钥对

   • 在服务器上生成SSH密钥对（如果还没有的话）：

     ssh-keygen -t rsa -b 4096 -f /etc/ssh/ssh_host_rsa_key
     ssh-keygen -t ecdsa -b 521 -f /etc/ssh/ssh_host_ecdsa_key
     ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
     

2. 生成CA证书

   • 创建一个CA（证书颁发机构）并生成服务器证书：

     # 创建CA目录和文件
     mkdir -p /etc/ssh/ca_keys
     touch /etc/ssh/ca_keys/ca_key.pub
     chmod 600 /etc/ssh/ca_keys/ca_key.pub
     
     # 生成CA私钥
     ssh-keygen -t rsa -b 4096 -f /etc/ssh/ca_keys/ca_key -q -N ""
     
     # 生成服务器证书
     ssh-keygen -s /etc/ssh/ca_keys/ca_key -I server-cert -n your_server_name -V +52w /etc/ssh/ssh_host_rsa_key.pub
     

3. 配置SSH服务器

   • 编辑/etc/ssh/sshd_config文件，启用证书认证：

     PubkeyAuthentication yes
     TrustedUserCAKeys /etc/ssh/ca_keys/ca_key.pub
     

   • 重启SSH服务：

     systemctl restart sshd
     

客户端配置

1. 生成SSH密钥对

   • 在客户端生成SSH密钥对（如果还没有的话）：

     ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa
     

2. 获取服务器证书

   • 从服务器获取CA证书并验证其有效性。

3. 配置SSH客户端

   • 编辑~/.ssh/config文件，配置客户端使用证书认证：

     Host your_server_name
       HostName your_server_ip_or_hostname
       User your_username
       IdentityFile ~/.ssh/id_rsa
       CertificateFile ~/.ssh/id_rsa-cert.pub
       ProxyCommand ssh -q -W %h:%p -i ~/.ssh/client_key -o StrictHostKeyChecking=no your_server_name
     

   • 将服务器证书添加到客户端的信任列表中：

     ssh-keyscan -H your_server_ip_or_hostname >> ~/.ssh/known_hosts
     

双向认证流程

1. 客户端连接服务器

   • 客户端使用私钥和证书连接到服务器。
   • 服务器验证客户端的证书。

2. 服务器连接客户端

   • 服务器使用CA证书验证客户端的证书。
   • 客户端验证服务器的证书。

通过以上步骤，可以实现SFTP的双向认证，确保客户端和服务器之间的通信是安全的。