ssh証明書を無効にする方法(ssh IDファイルではありません!)

13

このようなssh証明書を生成しました:

  1. ssh-keygen -f ca_key #証明書として使用するsshキーペアを生成
  2. ホストキーを生成する ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
  3. サーバーのsshd構成ファイルでホストキーを指定します。 TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
  4. ssh証明書を使用してホストにアクセスするためのローカル証明書を生成しますssh-keygen -s ca_key -I cert_identifier user_key.pub。これにより、user_key-cert.pubが生成されます。

ssh -i user_key user@host(user_key-cert.pubを使用する)を使用してサーバーにログインできるようになりました。TrustedUserCAKeysファイルを無効にする以外に証明書を取り消すにはどうすればよいですか?

ssh  ssh-keys 
ロリク
ソース
これについては、opensshリストのgossamer-threads.com/lists/openssh/dev/…で議論されています。
-rorycl

回答:

13

sshd_configにはRevokedKeysファイルがあります。複数のキーまたは証明書を1行に1つずつリストできます。将来、OpenSSHは証明書シリアル番号による失効をサポートします。これにより、はるかに小さな失効リストが作成されます。

ダミアン・ミラー
ソース
-3

これらはあなたに興味があるかもしれません:

CARevocationFile /path/to/bundle.crlこのファイルには、PEM形式の証明書署名者の複数の「証明書失効リスト」(CRL)が連結されています。

CARevocationPath / path / to / CRLs /「Hash dir」と証明書署名者の「Certificate Revocation List」(CRL)。各CRLは、[HASH] .r [NUMBER]という名前の個別のファイルに保存する必要があります。[HASH]はCRLハッシュ値で、[NUMBER]はゼロから始まる整数です。ハッシュは次のようなコマンドの結果です:$ openssl crl -in crl_file_name -noout -hash

(最初の3つのGoogleが「ssh ca revoke」の検索でヒットします...)

ドレアス
ソース
ssh証明書はPEM形式の証明書ではなく独自の形式を使用するため、これは機能しません。
-rorycl
OpenSSHは、前回チェックしたときにCARevocationFileを実装していません(最近変更された可能性があります)。
クリスS
1
うーん、あなたは正しい。これが可能だとは思わない。
-draeath
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.