Могу ли я использовать сертификат CA для аутентификации SSH-сервера?
Я управляю SSH-сервером и хочу проверять его, когда клиенты пытаются аутентифицироваться. Я прочитал пару руководств ( Как создать SSH CA для проверки хостов и клиентов с Ubuntu и USING OPENSSH CERTIFICATE AUTHENTICATE ). Оба описывают, как я могу использовать самоподписанный CA для подписи моего ключа публикации сервера SSH. Но в этом случае у меня уже есть сертификат CA от GeoTrust, и я хотел бы его использовать.
Правильно ли следовать обычной процедуре, чтобы подписать файл ssh_host_rsa_key.pub ?
Заранее спасибо.
The guide you are referring to talk about OpenSSH certificates and NOT x509 certificates like the ones you can get from GeoTrust. Это очень разные вещи.
Если вы хотите использовать метод OpenSSH (который мне очень нравится и который я использую как на работе, так и в частном порядке. Даже facebook использует его: https://code.facebook.com/posts/365787980419535/scalable-and-secure-access-with-ssh/) вы будете использовать обычный private ssh ключ для подписи ключей вашего сервера. Нет никакого сертификата ЦС, использующего этот метод, только закрытый ключ.
Просто создайте новую пару ключей с помощью ssh-keygen и убедитесь, что закрытый ключ остается в секрете. Тогда вы можете следовать инструкциям, к которым вы обращаетесь, чтобы подписать ваши хост-ключи. Я также сам написал путеводитель, который вы можете найти здесь: https://framkant.org/2016/10/setting-up-a-ssh-certificate-authority-ca/
Когда ключи подписаны, вы можете просто сказать своим клиентам, чтобы они доверяли публичной части вашего "ключа подписи", но поместив что-то подобное в файл known_hosts:
@cert-authority * ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQC3pcm4IJGw76YKZSrf7pZA6s3Hu9eRzKbyzKPgg5OkBWU9ztUz2e1bXtR0UDqQKuOUx+ZDx6wmR3rVRM/BhYt1oeAv6rhxNRW2XPiakpn3EzuEWlbp68QRY8p+k6gjy7cnvF2uyaP0R0Ov819tTMHkdS3Rn57m7pfFk+tuRKLjJnQN2g6uxT+PBJonTQr2XcS5oAzwjel1x7xLqmz0MMrE98uE0GaZHxf/hioXOHt1ihzTF+GPqZ31ZrR3GIWtFEKtvcroaiS25VIV9W39LfVh7RRZTh8oCrjcEdoeFKUKA1PpqblsJhqg1XU2/xa9CAKb6SHb7gwQ18nUaQ/Sk6qYJMgkwWUtXbwS1RIm1k5QlKk8VD4H10jyqiAUBC8SHfNxnqOwKe275AfOVc/iuh4F2NsrIuHfh8tno5LqWSP63D3gXpXXm/4j3Sop2NqNz6EIqoqj0HPIL21/SneJgWXS7xxV/ShgnLVGB0dsJf8PsCnsVt0s5thO22VvE/IVQ1KM/ac1lEafBeSZsuPiOfcIeZu9mm4DfuoyqaHmnV6yBguW6zb894IdcYXsrVnMy3Hp85gnymEZn/qfPJ+dhNbBAANgjWphz5ZaBKdrpgCESz8Ka9S6V7fXr2ikB21YiUKB7XuoPjDncOokSEHU0p5iMQjE+Le7K3nOTtokhrZjXw==
Impendulo
Utsho, ungumnikazi wesatifikethi se-CA. Ukuba oko kuchanekile, ke ungumnikazi 'weSatifikethi seGunya lesiQinisekiso' aka. isatifikethi sakho esenzelwe ukutyikitya ezinye izatifikethi, unako.
Ukuba ungumnikazi wesatifikethi esikhutshwe yiGeoTrust njengesiQinisekiso esiqhelekileyo seSSL, awunakusisebenzisa ukusayina isatifikethi seSSH Jonga ulwazi lwakho kwi-GeoTrust ngolwazi oluthe kratya ukuba loluphi uhlobo lwe-cert onayo.
Ukuba unetyala lesibini, qaphela le kunye le isisombululo sokuguqula izatifikethi. [1299 Inkcazo
Akunakulindeleka ukuba ubekho kwimeko ye-1.Kuya kuthetha ukuba ungumnikazi wengcambu ethembekileyo okanye isatifikethi esiphakathi esithembekileyo ngabathengi bakho (esidlangalaleni) (aka unokwenza umsebenzi weGeoTrust). Oku kunokwenzeka kuphela ukuba ukwindawo evaliweyo (njengothungelwano lweofisi yangaphakathi) kwaye ungumnini wesitifiketi. Kumbuzo wakho utsho, ufumene isatifikethi sakho kwiGeoTrust, ke ngoko ndicinga ukuba ulungile kwimeko yesibini.
Apho kungafuneka uguqule izatifikethi ukuze zibe nefomathi elungileyo, landela amakhonkco ukuze ubone, ukuba bayayisombulula ingxaki yakho.
Oku kufanele ukuba kube yingcaciso, kodwa inde kakhulu.
Ukusuka kwindlela onika ngayo umbuzo wakho, ubonakala ngathi usekuqalekeni kohambo lwakho usebenzisa i-ssh kunye nokusebenzisa izatifikethi. Ewe, kunokwenzeka ukusebenzisa iziqinisekiso ze-x509 nge-ssh, kodwa oku sisimo esoteric kwaye uphume kubunzulu bakho apha.
Isatifikethi se-x509 sisitshixo esidlangalaleni esisayiniweyo kunye nemeta-yedatha emiselweyo eboniswe ngendlela emiselweyo ifomathi. Awudingi ukutyikitya.
Kukho umbuzo opheleleyo wokuba usebenzisa izatifikethi zomthengi endaweni yezibini eziphambili.
Kodwa iyintoni ingongoma kuyo yonke le nto? Ngaba unabathengi abaqinisekisa ngokuchasene nemeta-yedatha kwisiqinisekiso kunokuba sisitshixo uqobo? Unakekele ukwabelana?