Инфраструктура открытых ключей (PKI)
Содержание
PKI Sigil Gate разделена на два независимых слоя, решающих разные задачи: SSH CA управляет связностью между нодами, X.509 PKI обеспечивает криптографическую идентификацию при программном взаимодействии.
Два слоя PKI #
SSH CA #
Регулирует SSH-доступ между нодами сети: кто, куда и с какими правами может подключиться. Использует механизм OpenSSH Certificate Authority — вместо разрозненных authorized_keys-файлов выстраивается единая иерархия доверия с централизованным выпуском и отзывом сертификатов.
X.509 PKI #
Обеспечивает криптографическую идентификацию нод при программном взаимодействии. Применяется там, где требуется mTLS: управляющие каналы между нодами, Xray gRPC API, KV-кластер.
Трехуровневая иерархия:
- Root CA — на Root-ноде; выпускает сертификаты только для Core-нод;
- Промежуточный CA — на каждой Core-ноде; выпускает сертификаты для Entry-нод;
- Листовые сертификаты — на Entry-нодах.
Раздел в разработке.
Соотношение слоев #
Оба слоя PKI независимы технически, но образуют единую модель доверия сети. Root-нода — корневой центр обоих слоев.
| Слой | Инструмент | Задача |
|---|---|---|
| SSH CA | OpenSSH Certificate Authority | Управление SSH-связностью между нодами |
| X.509 PKI | OpenSSL / стандартные X.509 | mTLS для управляющих каналов и API |