Jak odwołać certyfikat ssh (nie plik tożsamości ssh!)

Wygenerowałem certyfikat ssh w następujący sposób:

1. ssh-keygen -f ca_key # wygeneruj parę kluczy ssh do użycia jako certyfikat
2. wygeneruj klucz hosta ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. podaj klucz hosta w pliku konfiguracyjnym sshd serwera: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. wygenerować certyfikat dostępu do lokalnego hosta przy użyciu ssh certyfikatu: ssh-keygen -s ca_key -I cert_identifier user_key.pub. Powinno to wygenerować user_key-cert.pub

Mogę teraz zalogować się do serwera za pomocą ssh -i user_key user@host(który używa user_key-cert.pub). Jak mogę odwołać certyfikat poza wyłączeniem pliku TrustedUserCAKeys?

sshd_config ma plik RevokedKeys. Możesz w nim wymienić wiele kluczy lub certyfikatów, po jednym w wierszu. W przyszłości OpenSSH będzie obsługiwał unieważnianie według numeru seryjnego certyfikatu, co pozwoli na znacznie mniejsze listy unieważnień.

Mogą Cię zainteresować:

CARevocationFile /path/to/bundle.crl Ten plik zawiera wiele „Listy odwołania certyfikatów” (CRL) osób podpisujących certyfikaty w formacie PEM połączonych razem.

CARevocationPath / path / to / CRLs / „Hash dir” with „Certificate Revocation List” (CRL) osób podpisujących certyfikaty. Każda lista CRL powinna być przechowywana w osobnym pliku o nazwie [HASH] .r [NUMBER], gdzie [HASH] to wartość skrótu CRL, a [NUMBER] to liczba całkowita zaczynająca się od zera. Hash jest wynikiem następującego polecenia: $ openssl crl -in crl_file_name -noout -hash

(pierwsze 3 trafienia Google w wynikach wyszukiwania hasła „ssh ca revoke” ...)