我正在创建一个SSIS包,我需要连接到安全服务器来复制一些文件,我想通过服务器发送的公钥指纹来验证连接。
我对这个领域不太熟悉,我是否总能指望连接时会发送指纹?
该软件包以前使用过WinScp,指纹以“ssh-dss 1024 [hex representation]”格式烘焙到代码中。我假设这种格式取自PuTTY,因为这是我在连接到新服务器时看到的,它要求我验证。 WinScp按原样使用并处理验证。
我打算切换到SSH.Net,其机制要求我手动检查指纹。我可以仅根据十六进制验证连接,还是需要检查密钥长度和使用的算法?
答案 0 :(得分:10)
你可以只根据十六进制来做 - 首先你要编写(或复制/使用)一个实用工具方法将十六进制字符串转换为一个字节数组(这将取决于你的十六进制字符串的格式) - 以下示例用于转换由冒号分隔的字符串(例如“1d:c1:5a:71:c4:8e:a3:ff:01:0a:3b:46:17:6f:e1:52”)
public static byte[] ConvertFingerprintToByteArray( String fingerprint )
{
return fingerprint.Split( ':' ).Select( s => Convert.ToByte( s, 16 ) ).ToArray();
}
然后您只需附加到sftpClient对象的HostKeyReceived事件。
SftpClient sftpClient = new SftpClient( Hostname, Username, Password );
sftpClient.HostKeyReceived += delegate ( object sender, HostKeyEventArgs e )
{
if( e.FingerPrint.SequenceEqual( ConvertFingerprintToByteArray( "1d:c1:5a:71:c4:8e:a3:ff:01:0a:3b:46:17:6f:e1:52" ) ) )
e.CanTrust = true;
else
e.CanTrust = false;
};
如果此检查失败,则SSH.net将抛出SshConnectionException - 并显示“密钥交换协商失败”消息。
希望这有帮助。
答案 1 :(得分:1)
@ViniH 的答案曾经是正确的,但现在已经过时了。现在,您需要使用 SHA-256 哈希,而不是 MD5。要计算 SHA-256,您可以将 System.Security.Cryptography.SHA256Managed class 与 HostKeyEventArgs.HostKey 结合使用。
此外,您可能希望使用 Convert.ToBase64String 来获取 SHA-256 指纹的通用 Base64 表示
sftpClient.HostKeyReceived += (object sender, HostKeyEventArgs e) =>
{
string sha256Fingerprint =
Convert.ToBase64String(new SHA256Managed().ComputeHash(e.HostKey));
e.CanTrust = (sha256Fingerprint == "1hI1HqP3IzoOWCABHGS7+GsrP2JUVsSs7oskK7HGP1E=");
};