SSH 证书认证 (PKI & CA 架构)

1. 介绍 / Intro

使用 openssh 提供的证书认证功能,生成 CA 证书(及私钥),将 CA 证书配置到每一台服务器内;当用户需要 ssh 登录的时候,CA 将为其签发临时 ssh 证书,用户可使用该凭证(证书+私钥)登录目标机器。
此外,证书平台签发的 ssh 证书可以设定有效期,限制登录到的目标机器用户名、主机名等。
相较于传统 ssh 跳板机/堡垒机的优势有:

  • 认证过程离线 ,无需目标机器保持网络连接
  • 部署简单 ,无需改造身份认证机制(pam、nsswitch 等),仅需增加几行 sshd 配置

2. 简单使用 / Simple Usage

2.1 生成 CA 证书

2.2 配置 sshd_config

2.3 签发用户证书

2.4 其他说明
1) 查看证书信息:ssh-keygen -L -f test-cert.pub
2) 可以将 test-cert.pub 证书重命名为 test.pub,少了公钥文件,ssh 登录过程正常

3. 参考资料

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注


The reCAPTCHA verification period has expired. Please reload the page.