É possível restringir o uso de certificados de CA a usuários / diretivos / grupos específicos?
O caso de uso é que eu gostaria de ter dois certificados de CA. Um seria usado como parte de um sistema automatizado para assinar chaves de usuário. Se este certificado for comprometido, quero ter certeza de que ele não pode ser usado para permitir que alguém faça login em uma conta de administrador.
O outro certificado de CA seria obviamente armazenado de forma mais segura (com airgapping etc.) e usado para contas de administrador.
Baseado no comentário de Ulrich Schwarz:
Se eu adicionar usuários normais a um grupo endusers , então eu posso configurar o sshd_config assim:
TrustedUserCAKeys /etc/ssh/admin_ca.pub
Match Group endusers
TrustedUserCAKeys /etc/ssh/user_ca.pub
Isso resulta no user_ca sendo aceito apenas para usuários no grupo endusers , enquanto o admin_ca pode ser usado para qualquer usuário.
Tags ssh openssh certificates