Security

是否有與 ssh 代理等效的 SSL?

  • March 8, 2013

這是我的情況:有許多開發人員都需要能夠從遠端源安裝 ruby​​ gems 和 python egg。目前,我們的防火牆內有一個伺服器,用於託管寶石和雞蛋。我們現在希望能夠在防火牆之外安裝託管在該伺服器上的東西。由於我們託管的一些 gems 和 egg 是專有的,我想在某種程度上鎖定對那台機器的訪問,對開發人員盡可能不顯眼。

我的第一個想法是使用 ssh 密鑰之類的東西。所以,我花了一些時間研究 SSL 相互認證。使用 curl 進行測試,我能夠設置並正常工作,但不幸的是我必須向 curl 傳遞額外的參數,以便它知道證書、密鑰和證書頒發機構。

我想知道是否可以設置任何類似於 ssh 代理的東西來自動提供該資訊,以便我可以將證書和密鑰推送到開發人員的機器上,這樣開發人員就不必每次都登錄或提供密鑰嘗試安裝一些東西。

我要避免的另一件事是必須修改“gem”命令和“pip”命令以在它們建立 http 連接時提供密鑰。

也歡迎任何其他可能解決此問題的建議(與 ssl 相互身份驗證無關)。

編輯:我一直在繼續研究這個,我遇到了stunnel。我這可能是我正在尋找的東西,任何關於 stunnel 的回饋也會很棒!

有點特定於 HPC 和網格的網格安全基礎設施(API 是公開的並且可用)。MyProxy 允許使用者獲取 RFC 3820 代理憑據。在 MyProxy 驗證原始證書的憑據後,您基本上會獲得代理證書(短期)。curl 應該使用 RFC 3820 證書。還有一個可以使用 GSI 的 SSH。請參閱MyProxy - X.509 憑證管理器

(你不是說你使用的是哪個平台。)

在 OSX 上,鑰匙串可以處理這個問題。雖然它與 ssh-agent 不太一樣,但您可以將其配置為允許某些應用程序訪問私鑰(有或沒有提示,取決於您選擇的設置)。

在 Linux 上,您可以使用具有類似目標的Gnome Keyring 。我不確定它是否提供與 OSX 的鑰匙串相同的粒度,在授予每個應用程序不同的權限方面,但您也可以在登錄時解鎖它。

引用自:https://serverfault.com/questions/399260