Como revogar um certificado ssh (não o arquivo de identidade ssh!)

11

Eu gerou um certificado ssh como este:

  1. ssh-keygen -f ca_key # gera um par de chaves ssh para uso como certificado
  2. gera uma chave de host ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
  3. especifica a chave do host no arquivo de configuração sshd do servidor: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
  4. gere um certificado local para acessar o host usando um certificado ssh: ssh-keygen -s ca_key -I cert_identifier user_key.pub . Isso deve gerar user_key-cert.pub

Agora posso fazer login no servidor usando ssh -i user_key user@host (que usa user_key-cert.pub). Como posso revogar o certificado diferente de desativar o arquivo TrustedUserCAKeys?

    
por rorycl 29.04.2011 / 00:25

2 respostas

12

O sshd_config possui um arquivo RevokedKeys. Você pode listar várias chaves ou certificados, um por linha. No futuro, o OpenSSH suportará a revogação pelo número de série do certificado, o que resultará em listas de revogação muito menores.

    
por 10.06.2011 / 00:03
-3

Estes podem ser de interesse para você:

CARevocationFile /path/to/bundle.crl   Este arquivo contém várias "Lista de Revogação de Certificados" (CRL) de assinantes de certificados no formato PEM concatenados juntos.

CARevocationPath / caminho / para / CRLs /   "Hash dir" com "Certificate Revocation List" (CRL) do certificado signatários. Cada CRL deve ser armazenada em arquivo separado com nome [HASH] .r [NUMBER], em que [HASH] é o valor de hash da CRL e [NUMBER] é um inteiro a partir de zero. Hash é resultado de um comando como este: $ openssl crl -in crl_file_name -noout -hash

(primeiros 3 hits do Google em uma pesquisa por "ssh ca revoke" ...)

    
por 29.04.2011 / 00:52

Tags