कैसे एक ssh प्रमाणपत्र (ssh पहचान फ़ाइल नहीं रद्द करने के लिए!)

मैंने इस तरह एक ssh प्रमाणपत्र तैयार किया है:

1. ssh-keygen -f ca_key # प्रमाण पत्र के रूप में उपयोग के लिए एक ssh कीपर उत्पन्न करें
2. एक होस्ट कुंजी उत्पन्न करें ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. सर्वर के sshd config फाइल में होस्ट कुंजी निर्दिष्ट करें: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. ssh प्रमाणपत्र का उपयोग करके होस्ट तक पहुँचने के लिए स्थानीय प्रमाणपत्र बनाएँ ssh-keygen -s ca_key -I cert_identifier user_key.pub:। यह user_key-cert.pub जनरेट करना चाहिए

मैं अब सर्वर का उपयोग करके लॉग इन कर सकता हूं ssh -i user_key user@host(जो user_key-cert.pub का उपयोग करता है)। मैं TrustedUserCAKeys फ़ाइल को अक्षम करने के अलावा प्रमाणपत्र को कैसे रद्द कर सकता हूं?

sshd_config में RevokedKeys फ़ाइल है। आप इसमें प्रति पंक्ति एक से अधिक कुंजी या प्रमाणपत्र सूचीबद्ध कर सकते हैं। भविष्य में, ओपनएसएसएच सर्टिफिकेट सीरियल नंबर द्वारा निरस्तीकरण का समर्थन करेगा, जो कि बहुत कम प्रत्यावर्तन सूचियों के लिए बनेगा।

ये आपके हित में हो सकते हैं:

CARevocationFile /path/to/bundle.crl इस फ़ाइल में PEM प्रारूप में प्रमाणपत्र हस्ताक्षरकर्ताओं की एकाधिक "प्रमाणपत्र निरूपण सूची" (CRL) समाहित है।

सर्टिफिकेट साइनर्स की "सर्टिफिकेशन रेवोकेशन लिस्ट" (CRL) के साथ CARevocationPath / पाथ / टू / CRLs / "हैश डायर"। प्रत्येक CRL को अलग-अलग फ़ाइल में [HASH] .r [NUMBER] नाम से संग्रहीत किया जाना चाहिए, जहाँ [HASH] CRL हैश मान है और [NUMBER] शून्य से शुरू होने वाला पूर्णांक है। हैश इस तरह से आदेश का परिणाम है: $ opensl crl -in crl_file_name -noout -hash

(पहले 3 Google ने "ssh ca revoke" ... की खोज पर हिट किया)