আমি কীভাবে এসএসএইচ এবং এসএসএল (https) এর জন্য একই কী ব্যবহার করতে পারি

12

আমি একটি ছোট দলের জন্য বিকাশ সরঞ্জামগুলি ইনস্টল করার চেষ্টা করছি, এবং আমি প্রমাণীকরণটি সঠিকভাবে পেতে পারি না।

যেহেতু আমরা একটি বিতরণকারী দল, তাই সার্ভারটি ইন্টারনেটে। এবং আমি এসএসও + জিরো ক্লায়েন্ট কনফিগারেশন করতে চাই।

সুতরাং মূলত https + ওয়েবডাভের ওপরে গিটটি ব্যবহারিক ব্যবহারযোগ্য নয়, কারণ গিট ক্লায়েন্ট কেবলমাত্র মৌলিক লেখাকে ব্যবহার করতে পারে তবে পাসওয়ার্ডটি সংরক্ষণ করে না এবং কিছু আইডিই প্লাগইন তাদের ইউআইতে পাসওয়ার্ডের প্রশ্নটিও এগিয়ে দেয় না।

আমাকে তখন গিট ওভার এসএস ব্যবহার করতে হবে। আমি গিটোসিস ইনস্টল করেছি এবং এটি মূলত অসমমিত কীগুলির সাথে কাজ করে, ঠিক আছে। আমি প্রতিটি দেবকে তাদের কীটি ইনস্টল করতে বলব, আমি এটি করতে পারি, শূন্য কনফিগারেশনটি ভুলে যেতে পারি।

তারপরে আমি চাই যে বিকাশকারীরা https এ থাকা ওয়েব সরঞ্জামগুলিতে (উইকি, টিকিট ইত্যাদি) অ্যাক্সেস করতে পারে তবে এবার আমাকে লগইন / পাসওয়ার্ড বা অন্য কোনও ব্যক্তিগত কী দিতে হবে কারণ ফর্ম্যাটগুলি এসএসএইচের মধ্যে সুসংগত নয় because এবং এসএসএল এবং ওএসে এটি সঞ্চয় করার জায়গাটি এক নয়। এখন, আমাকে এসএসও ভুলে যেতে হবে?

আমি কি ভুল করছি?

ssh  ssl  certificate 
tshepang
সূত্র

উত্তর:

11

TL; DR সংক্ষিপ্তসার: আপনার যদি একটি SSL / X.509 শংসাপত্র + কী থাকে তবে কেবল প্রাইভেট কী ফাইলটি দিন sshঅথবা , আপনার যদি ইতিমধ্যে একটি এসএসএইচ কী থাকে id_rsaতবে কোনও সিএসআর স্বাক্ষর করার সময় কেবল ওপেনএসএসএল দিয়ে এটি ব্যবহার করুন। এখানেই শেষ.

আসুন অনুমান, আপনি একটি ব্যবহারকারীর SSL সার্টিফিকেট আছে joeuser.pemএবং তার ব্যক্তিগত কী joeuser.key

যেহেতু X.509 স্ট্যান্ডার্ড আরএসএ কী ব্যবহার করে এবং এসএসএইচও করে তাই আপনার এসএসএইচ ক্লায়েন্টকে joeuser.keyকেবলমাত্র ব্যবহার করতে বলা উচিত - একমাত্র প্রয়োজন হ'ল এটি বোধগম্য বিন্যাসে থাকা উচিত।

অভ্যন্তরীণ দিকটি দেখুন joeuser.keyএবং দেখে নিন যে এটি কি দয়া করে:

----- আরএসএ প্রাইভেট কী শুরু করুন -----
MGECAQACEQCxQaFwijLYlXTOlwqnSW9PAgMBAAECEETwgqpzhX0IVhUa0OK0tgkC
CQDXPo7HDY3axQIJANLRsrFxClMDAghaZp7GwU2T1QIIMlVMo57Ihz8CCFSoKo3F
2L / 2
----- আরএসএ প্রাইভেট কী -----

ওপেন এসএসএলে , এই ফর্ম্যাটটিকে "পিইএম" (হিসাবে হিসাবে -outform pem) বলা হয় এবং এটি ডিফল্টরূপে ব্যবহৃত হয়। একই ফর্ম্যাটটি ওপেন এসএসএইচ দ্বারা ব্যবহৃত হয় এবং আপনি ssh -i joeuser.keyসংযোগ করতে ব্যবহার করতে পারেন ।

আপনি ওপেনএসএসএইচ বিন্যাসে পাবলিক কীটি বের করতে পারেন id_rsa.pub(এতে রাখার জন্য authorized_keys) এর সাথে:

ssh-keygen -y -f joeuser.key> joeuser-ssh.pub

(পিইএম ফর্ম্যাটে একই পাবলিক কীটি দিয়ে বের করা যেতে পারে openssl rsa -puboutতবে এটি খুব কম কাজে আসবে))

আপনার যদি ডিএসএ কী থাকে তবে এটি আরএসএর মতো কাজ করা উচিত

user1686
সূত্র
হ্যালো, ধন্যবাদ, তবে আমি জানি যে আমি প্রতিটি বিকাশকারীর জন্য একটি কী ফর্ম্যাটকে অন্য একটিতে রূপান্তর করতে পারি, তবে আমার সমস্যাটি তাদের পক্ষ থেকে যতটা সম্ভব কনফিগারেশন এড়ানো হচ্ছে। যতদূর আমি মনে করি (আমি স্বীকার করেছি যে আমি সম্প্রতি চেক করিনি) সমস্ত ক্লায়েন্ট ব্রাউজারের জন্য একটি 509 শংসাপত্র যুক্ত করা তুচ্ছ নয়।
4
nraynaud: তারা বিকাশকারী । যদি তারা তাদের প্রিয় ব্রাউজারে একটি X.509 সার্ট ইনস্টল করতে না পারে (কমপক্ষে টিএফএম অনুসরণ করে) তবে এটি ইতিমধ্যে ভীতিকর।
ব্যবহারকারীর 6868
... যাহাই হউক না কেন। এনএসএস-ভিত্তিক ব্রাউজারগুলির জন্য (ফায়ারফক্স, মজিলা, এপিফেনি) সংশোধন করার জন্য কমান্ড-লাইন সরঞ্জামের একটি সেট রয়েছে cert.db। উইন্ডোজের জন্য শংসাপত্রগুলি এডি গ্রুপ পলিসির মাধ্যমে সার্টিটিল বা (আমার মনে হয়) ব্যবহার করে ইনস্টল করা যেতে পারে। এসএসএইচ-তে কোনও বিন্যাসের প্রয়োজন নেই, কেবল ssh-keygen -y -fএবং উভয় ফাইলই ব্যবহারকারীর হোমডিরে ফেলে দিন।
ব্যবহারকারীর 6868
4
তারা ডেভেলপার নয়, তারা স্কুল এবং ইন্টার্ন থেকে বেরিয়ে এসেছে। আমি কেবল তাদের গিট, ওয়েব সুরক্ষা, জাভাস্ক্রিপ্ট, সুরক্ষা এবং পরিষ্কার কোড দিয়ে হাতুড়ি করছি। আমি এই ধরণের অ বিকাশ কেন্দ্রিক স্টাফ সীমাবদ্ধ করতে চাই। (তদ্ব্যতীত, আমি এমন লোকদের ঘৃণা করি যারা আমাকে এই জাতীয় নিরীহ বিষয়গুলি আরোপ করে, তাই আমি কেবল অন্যের উপর
2
যদিও এটি কাজ করবে, আমি এর বিরুদ্ধে পরামর্শ দেব। আপনি একই কীগুলি ব্যবহার করছেন তবে বিভিন্ন উপায়ে, বিভিন্ন ফর্ম্যাট। যখন ব্যবহারকারীরা নতুন এক্স.509 শংসাপত্র তৈরি করে, তারা যাইহোক এসএসএইচ এবং এইচটিটিপিএসের জন্য বিভিন্ন কী ব্যবহার করবে। ওপেনএসএইচ পুরো X.509 পিকেআই সমর্থন করবে কিনা তা বোঝা যাবে (ওপেনভিপিএন যেভাবে করে, যেখানে আপনি এলডিএপিতে সার্টিফিকেটগুলি লিঙ্ক করতে স্ক্রিপ্টগুলি ব্যবহার করতে পারেন এবং কোনও ব্যবহারকারী উপযুক্ত গ্রুপে আছেন কিনা তা পরীক্ষা করতে পারেন)।
হুবার্ট কারিও
5

ওপেনএসএসএইচের x509 শংসাপত্রগুলির জন্য পরীক্ষামূলক সহায়তা রয়েছে:

http://roumenpetrov.info/openssh

আপনি ব্যবহারকারী প্রতি একক x509 শংসাপত্র জারি করতে এবং উভয়ের জন্য এগুলি ব্যবহার করতে পারেন।

ব্যবহারকারীর পাবিকে তাদের অনুমোদিত_কিজের পরিবর্তে ব্যবহারকারীর শংসাপত্রের অনুমোদিত ডিএন নির্দিষ্ট করতে পারেন; এবং আপনাকে অবশ্যই ওয়েবসভার / ওয়েব অ্যাপ্লিকেশনটি কনফিগার করতে হবে যাতে ডিএন কোনও ব্যবহারকারীর সাথে অনুবাদ হয়।

b0fh
সূত্র
অনেক অনেক ধন্যবাদ, তবে ইনস্টলেশনটি আমার মনে হয় যে কনফিগারেশনটি আরও খারাপ।
আপনি ওপেনশ্যাশের প্যাচড সংস্করণটি ইনস্টল করার অর্থ? এটি ইতিমধ্যে আপনার বিতরণ দ্বারা প্রেরণ করা হতে পারে (আমি জানি যে কমপক্ষে জেন্টুও করে)। উভয় অ্যাপ্লিকেশনের জন্য একই আরএসএ কী ব্যবহার করার কোনও মানে নেই তবে ভিন্ন ফর্ম্যাট সহ - আপনাকে এখনও হাতে ব্যবহারকারীর ssh পাবলিক কী সেট আপ করতে হবে। OTOH, x.509 কীগুলির সাহায্যে আপনি আপনার সিএ আলাদা রাখতে পারবেন এবং এসএসএইচ বা এইচটিটিপিএসে নতুন ব্যবহারকারী যুক্ত করা তাদের জনসাধারণের কী না
জেনেও
2
এফওয়াইআই, এই কার্যকারিতাটি এখন ওপেনএসএসএইচ-এর মূললাইন সংস্করণে রয়েছে।
জোরেডেচি
1

আপনি ভাগ্য থেকে অনেক দূরে - এসএসএইচ কী এবং এসএসএল শংসাপত্রগুলি বিভিন্ন প্রাণী এবং যতদূর আমি জানি তারা বিনিময়যোগ্য নয়।

আপনার সেরা বেটটি সম্ভবত একক সাইন-অন / শেয়ার্ড পাসওয়ার্ড স্টোর / আপনার ওয়েব সরঞ্জামগুলির জন্য যাই হোক না কেন কনফিগার করা এবং গিট / গিটোসিসকে একটি প্রমাণীকরণ দ্বীপ হিসাবে রেখে দিন।

voretaq7
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.