Cách thu hồi chứng chỉ ssh (không phải tệp nhận dạng ssh!)


13

Tôi đã tạo chứng chỉ ssh như thế này:

  1. ssh-keygen -f ca_key # tạo cặp khóa ssh để sử dụng làm chứng chỉ
  2. tạo khóa máy chủ ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
  3. chỉ định khóa máy chủ trong tệp cấu hình sshd của máy chủ: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
  4. tạo chứng chỉ cục bộ để truy cập máy chủ bằng chứng chỉ ssh : ssh-keygen -s ca_key -I cert_identifier user_key.pub. Điều này sẽ tạo user_key-cert.pub

Bây giờ tôi có thể đăng nhập vào máy chủ bằng cách sử dụng ssh -i user_key user@host(sử dụng user_key-cert.pub). Làm cách nào tôi có thể thu hồi chứng chỉ ngoài việc vô hiệu hóa tệp TrustedUserCAKeys?


Có một cuộc thảo luận về điều này trong danh sách openssh ở đây gossamer-threads.com/lists/openssh/dev/ mẹo - Tôi không nghĩ có một cách thanh lịch để thu hồi chứng chỉ.
rorycl

Câu trả lời:


13

sshd_config có tệp RevokingKeys. Bạn có thể liệt kê nhiều khóa hoặc chứng chỉ trong đó, mỗi khóa một dòng. Trong tương lai, OpenSSH sẽ hỗ trợ thu hồi theo số sê-ri chứng chỉ, điều này sẽ tạo ra các danh sách thu hồi nhỏ hơn nhiều.


-3

Đây có thể là mối quan tâm của bạn:

CARevocationFile /path/to/bundle.crl Tệp này chứa nhiều "Danh sách hủy bỏ chứng chỉ" (CRL) của người ký chứng chỉ ở định dạng PEM được nối với nhau.

CARevocationPath / path / to / CRLs / "Hash dir" với "Danh sách thu hồi chứng chỉ" (CRL) của người ký chứng chỉ. Mỗi CRL phải được lưu trữ trong tệp riêng biệt có tên [HASH] .r [SỐ], trong đó [HASH] là giá trị băm CRL và [SỐ] là một số nguyên bắt đầu từ số không. Hash là kết quả từ lệnh như thế này: $ openssl crl -in crl_file_name -noout -hash

(3 lần truy cập đầu tiên của Google vào tìm kiếm cho "ssh ca revoke" ...)


Chứng chỉ ssh không sử dụng chứng chỉ định dạng PEM nhưng định dạng riêng của chúng, vì vậy điều này sẽ không hoạt động.
rorycl

OpenSSH không triển khai CARevocationFile lần trước tôi đã kiểm tra (có thể đã thay đổi gần đây).
Chris S

1
Hmm, bạn nói đúng. Tôi không nghĩ rằng điều này là có thể.
thoát khỏi
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.