O sshd_config possui um arquivo RevokedKeys. Você pode listar várias chaves ou certificados, um por linha. No futuro, o OpenSSH suportará a revogação pelo número de série do certificado, o que resultará em listas de revogação muito menores.
Eu gerou um certificado ssh como este:
ssh-keygen -f ca_key # gera um par de chaves ssh para uso como certificado ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
ssh-keygen -s ca_key -I cert_identifier user_key.pub . Isso deve gerar user_key-cert.pub Agora posso fazer login no servidor usando ssh -i user_key user@host (que usa user_key-cert.pub). Como posso revogar o certificado diferente de desativar o arquivo TrustedUserCAKeys?
Estes podem ser de interesse para você:
CARevocationFile /path/to/bundle.crl Este arquivo contém várias "Lista de Revogação de Certificados" (CRL) de assinantes de certificados no formato PEM concatenados juntos.
CARevocationPath / caminho / para / CRLs / "Hash dir" com "Certificate Revocation List" (CRL) do certificado signatários. Cada CRL deve ser armazenada em arquivo separado com nome [HASH] .r [NUMBER], em que [HASH] é o valor de hash da CRL e [NUMBER] é um inteiro a partir de zero. Hash é resultado de um comando como este: $ openssl crl -in crl_file_name -noout -hash
(primeiros 3 hits do Google em uma pesquisa por "ssh ca revoke" ...)