Aucun.
Comme vous l'avez dit, SFTP est basé sur SSH2. Ce n'est pas la même chose que FTPS (FTP sur TLS) et n'utilise en aucun cas les certificats X.509. L'authentification du serveur dans SSH2 est principalement basée sur "la confiance lors de la première utilisation", de sorte que les clés ne sont pas du tout signées. Cependant, de nombreux problèmes liés aux certificats auto-signés ne s'appliquent pas.
Les certificats OpenSSH, qui ne sont pas vendus dans le commerce, ont été explicitement conçus pour un usage interne, même à distance la plus proche, avec chaque site créant sa propre autorité de certification. De plus, seuls OpenSSH les prend en charge, d'autres clients SFTP n'utilisant que des clés de base ou Kerberos.
Cela dit, si vous étiez utilisez FTPS , il fonctionne exactement de la même manière que TLS dans les navigateurs Web (HTTPS) - il utiliserait le même type de certificat « TLS Server », et les mêmes méthodes de validation exactes (une liste préchargée de « racine les autorités").
La seule différence est que EV n'est généralement pas pris en charge en dehors des navigateurs Web. Par conséquent, un certificat standard validé par une organisation ou un domaine serait approprié.
Enfin, il y a quelques exceptions. (Tout comme certains programmeurs peuvent écrire en Fortran dans n’importe quelle langue, certains administrateurs système parviennent à mettre X.509 partout.)
Le gouvernement des États-Unis aime utiliser leurs cartes CAC pour tout, et a mis à jour le support de l’ICP X.509 même dans SSH. Mais si tel était votre cas, je pense que vous auriez déjà reçu le bon certificat au lieu de devoir demander à SuperUser.
De même, diverses grilles de calcul de recherche distribuées ont également un correctif SSH (GSI-SSH) qui utilise une infrastructure à clé X.509. Ils utilisent une liste d'autorités racine distincte de la liste principale de navigateurs Web / OS; il a quelques CA commerciaux et certains sont gérés par des réseaux eux-mêmes. Ils utilisent également des certificats légèrement différents de ceux du "serveur TLS" habituel, appelés "serveur de grille" dans les autorités de certification commerciales.
Cela dit, je ne pense pas qu'aucune des exceptions s'applique ici. Très probablement, celui qui a écrit vos exigences ne connaît tout simplement pas SFTP de FTPS.