Cách thu hồi chứng chỉ ssh (không phải tệp nhận dạng ssh!)

Tôi đã tạo chứng chỉ ssh như thế này:

1. ssh-keygen -f ca_key # tạo cặp khóa ssh để sử dụng làm chứng chỉ
2. tạo khóa máy chủ ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. chỉ định khóa máy chủ trong tệp cấu hình sshd của máy chủ: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. tạo chứng chỉ cục bộ để truy cập máy chủ bằng chứng chỉ ssh : ssh-keygen -s ca_key -I cert_identifier user_key.pub. Điều này sẽ tạo user_key-cert.pub

Bây giờ tôi có thể đăng nhập vào máy chủ bằng cách sử dụng ssh -i user_key user@host(sử dụng user_key-cert.pub). Làm cách nào tôi có thể thu hồi chứng chỉ ngoài việc vô hiệu hóa tệp TrustedUserCAKeys?

sshd_config có tệp RevokingKeys. Bạn có thể liệt kê nhiều khóa hoặc chứng chỉ trong đó, mỗi khóa một dòng. Trong tương lai, OpenSSH sẽ hỗ trợ thu hồi theo số sê-ri chứng chỉ, điều này sẽ tạo ra các danh sách thu hồi nhỏ hơn nhiều.

Đây có thể là mối quan tâm của bạn:

CARevocationFile /path/to/bundle.crl Tệp này chứa nhiều "Danh sách hủy bỏ chứng chỉ" (CRL) của người ký chứng chỉ ở định dạng PEM được nối với nhau.

CARevocationPath / path / to / CRLs / "Hash dir" với "Danh sách thu hồi chứng chỉ" (CRL) của người ký chứng chỉ. Mỗi CRL phải được lưu trữ trong tệp riêng biệt có tên [HASH] .r [SỐ], trong đó [HASH] là giá trị băm CRL và [SỐ] là một số nguyên bắt đầu từ số không. Hash là kết quả từ lệnh như thế này: $ openssl crl -in crl_file_name -noout -hash

(3 lần truy cập đầu tiên của Google vào tìm kiếm cho "ssh ca revoke" ...)