आदर्श रूप से, आपको एक स्व-प्रबंधित प्रमाणपत्र प्राधिकरण बनाना चाहिए। एक प्रमुख जोड़ी बनाने के साथ शुरू करें:
ssh-keygen -f cert_signer
फिर प्रत्येक सर्वर की सार्वजनिक होस्ट कुंजी पर हस्ताक्षर करें:
ssh-keygen -s cert_signer -I cert_signer -h -n www.example.com -V +52w /etc/ssh/ssh_host_rsa_key.pub
यह एक हस्ताक्षरित सार्वजनिक होस्ट कुंजी बनाता है:
/etc/ssh/ssh_host_rsa_key-cert.pub
में /etc/ssh/sshd_config
, बात HostCertificate
इस फ़ाइल की:
HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
Sshd सेवा को पुनरारंभ करें:
service sshd restart
फिर SSH क्लाइंट पर, निम्नलिखित जोड़ें ~/.ssh/known_hosts
:
@cert-authority *.example.com ssh-rsa AAAAB3Nz...cYwy+1Y2u/
उपरोक्त में शामिल हैं:
@cert-authority
- डोमेन
*.example.com
- सार्वजनिक कुंजी की पूरी सामग्री
cert_signer.pub
cert_signer
सार्वजनिक कुंजी किसी भी सर्वर जिसका सार्वजनिक होस्ट कुंजी द्वारा हस्ताक्षरित भरोसा करेंगे cert_signer
निजी कुंजी।
यद्यपि इसके लिए क्लाइंट की ओर से एक बार के कॉन्फ़िगरेशन की आवश्यकता होती है, आप कई सर्वरों पर भरोसा कर सकते हैं, जिनमें अभी तक प्रावधान नहीं किया गया है (जब तक आप प्रत्येक सर्वर पर हस्ताक्षर करते हैं, वह है)।
अधिक जानकारी के लिए, इस विकी पृष्ठ को देखें ।