我需要根据 RFC 6187, X.509v3 Certificates for Secure Shell Authentication创建编码为 X.509 的 SSH 证书。根据ssh-keygen (1)
手册页和一些在线教程,我现在可以创建 CA、签署用户身份并将其保存为 OpenSSH 证书格式。
以下是说明:
创建 CA 密钥
ssh-keygen -b 4096 -t rsa -f example-com-ca -C "CA key for example.com"
创建用户密钥
ssh-keygen -b 2048 -t rsa -f id_rsa -C [email protected]
创建用户证书
ssh-keygen -s example-com-ca -n [email protected] -V +52w -I example.com-user ./id_rsa.pub
生成的证书是 OpenSSH 格式:
$ cat id_rsa-cert.pub
[email protected] AAAAHHNzaC1yc2EtY2VydC12MDFAb3BlbnNzaC5jb20AAAAg0Ta
5nRrxKSB3k5sqCMH27W715uEUB54FKH44mBUMlCkAAAADAQABAAABAQDw8XuWbvSGsxyUdBY+KCfSRRz
G525MUN9/nbshWdl60ozMc4KU/Td44J8jKVq/hNHuyO7kqTaaeiO61FQmRPz3/vpmwUGEWkdhdQ5ujBj
1+X2/acnV+8Q2mXzxnvMvkcPh4T2jSXEMTJ8v5WG6cJkih+rJEbHHJF0tpxRSyxiNKfenDRRmGiyABd1
JDmkLLaNFLSSo4WeCFQ82nMi4Lod4QQMlakPgd76s6GNFflRklFWuhRadCdxrnz5e9ZMV8vDeAi+8IS8
9z+hWotYC4TVAb8is72Un6/1rwNQgWX5NcX3O1ocboJuEanFIh2QJTYq/UBwSQobH2+fXq06Qm4efAAA
AAAAAAAAAAAABAAAAEGV4YW1wbGUuY29tLXVzZXIAAAAUAAAAEGpkb2VAZXhhbXBsZS5jb20AAAAAXSv
+tAAAAABfC+ETAAAAAAAAAIIAAAAVcGVybWl0LVgxMS1mb3J3YXJkaW5nAAAAAAAAABdwZXJtaXQtYWd
lbnQtZm9yd2FyZGluZwAAAAAAAAAWcGVybWl0LXBvcnQtZm9yd2FyZGluZwAAAAAAAAAKcGVybWl0LXB
0eQAAAAAAAAAOcGVybWl0LXVzZXItcmMAAAAAAAAAAAAAAhcAAAAHc3NoLXJzYQAAAAMBAAEAAAIBAMG
bEpcMRTnu5ewWWytcQqzcnSDZbF5yRYpEyQsKTLrQmSux104OOsXQ/5ba30/li4uewK0sL7Qqb79ZCVh
9pH4dnZf6KYIEtkTV2mj4d11ZsRYMXAcBSpuua+O6CTdEGMtmWrQZ3mVUMvCy8UFqcePE/QjxgvUBYZN
jRxx+nPtbYf88AWF1/I6uwKODaPspwpwh07TTqNjmIMpvc6gTWx0RO1avzTveOEvTnapgJI0mRjUmyGX
vvncE9U0WC65kugIkZcjI/kkXBVrgYVfhDssF8bvX2cO7NQt4QH5yANWgm0HraGqmNRAPXd84vomI0gF
8W4xwC9gnfJzjheeXLUEzSXOwiZSU2ElF1kGUlYRtM59VUjsTvFxjrXA9pPtGO5RopXot1GB3Y7vxnkj
blDzSdMAeLms0jv8Um6ty9uDzmW8o5GHZudatL8CAEP6HIvLrI6zQeI8iIlLmCsNjxE8p7annldcrNsX
f8hpNeG7RPtgcU1pMmc/fc3UPBvToqnMVfjKi1n2kGYrhOiNbfcpW7nZUSfLcSZGryIYMb7IlTjsXm6v
E1rCzJKukcMuI8U3qUwRzRS/xgLF5msSOiJ9qFM/FERGa6zYvdgTV2aq/07fDedqleChMreCiYPxPp1n
DLJOBcC+nvx7tIGj05z9BJvuCfOQWVnjIjZc0tUitAAACDwAAAAdzc2gtcnNhAAACALBk/Z4b3Z4O35H
NpC91oLWJExk39tkjdgJBC7YelzfH7apA4em/rk8G219EIJ8elKifJzLze1t3bfWOx/dwUHuTfqZ/e1h
j6Q/iNDQ9Q/2ijWso1E6alSIapdGogWHCQ4IDBlWaF8xzlCACbo82js2uvSYmbbcMlXPKqLbPJwiNJt8
AhDz3/JqRqedN7tObDMgUz0O0PGkYwUXjVV77EaVpRZF3ffTvnBBw9vHSwriVOZgOk4l2iXbZU51A+QB
l8bgFj4QCGvobMul/0AV+QsQ20AqUQ/nEIM1rXuH+ki0PYVpKkXPhKf2ODkLZdmpuKZX5lM9FumkFf/s
VVPa5GsonJG5s2VVEz7L+Ed6KBaJ+kFQrXu4hDxwEUCd/y/gYSicOb7B7N0jkPaVwRoR6tb0mAXGKE44
tumvptu/AJjlB23QOgIIToARgqampzmPwAm8jbU2AU3RtWx+RZGPnJKsJPtADMZ7ByJnGY/mPoNpGqQc
H8h+tClb1Ihxhbh1RQSuJNdgNlNGJbSdsonS9/8fxyxt7ok06Z05N6dy3PLwTuub1EzKmeSwQhHLHWXA
SKILcUaMosak1ybQZz8kMMrsMMUA2ubjrtGA8oe5skhc9gbAurebO1iGg+asUSNycDXZypwl20wpMlzL
VkxXSGHIz6Cd9QsfmJtuQh4QXfFrE [email protected]
这是我遇到麻烦的地方。我没有看到ssh-keygen (1)
以 X.509 格式编写证书的选项。我更喜欢 PEM 编码,但我可能可以使用 ASN.1/DER 编码。
X.509格式的证书怎么写?
一个相关的问题是Alternatives to SSH x509 logon。
OpenSSH 不支持 X.509——它既不能生成这样的证书也不能使用它们。(OpenSSH CA是完全不同的东西,并且没有指定标准的 OpenSSH CA ⇆ X.509 转换。除了格式之外,它们有意不支持许多 PKI 功能,如多级 CA 层次结构,同时能够携带 OpenSSH 特定的“密钥选项”和其他没有相应 X.509 扩展名的元数据。)
您可能需要 Roumen Petrov 的PKIX-SSH,这是一个积极维护的 OpenSSH 分支,具有广泛的 X.509 PKI 支持,包括 RFC 6187 x509v3-* 格式。
如果您必须为现有的X.509 证书生成 authorized_keys 条目,而没有必要的工具,格式相对简单,可以通过任何编程语言手工完成。authorized_keys 数据始终基于 SSHv2 数据包格式(其中每个“字符串”隐含地以 uint32be 开头,指示其长度);第一项始终是具有 pubkey 类型本身的字符串;其余部分如第 5 页所述。
(“证书”字段包含 DER 编码数据,但请注意,PEM 编码实际上只是围绕相同 ASN.1 DER 的 Base64,带有“开始/结束”标头。)
我一直在努力使用 X509 证书通过 SSH 进行身份验证,一段时间后我理解了它并成功进行了测试。
如果它对任何人有用,我已经在我刚刚部署的博客上写了一篇解释完整过程的帖子(以一种快速而肮脏的方式,该博客很简单,不是很漂亮,但很有用)。
您可以在文章“OpenSSH with X509 certificates HOW TO”中阅读测试的完整描述。
问候。