ssh主机密钥证书，远程查找有效期？

这是可能的，但它缺乏工具支持。我找到了一个库，它可以很好地使用 SSH 协议，让我可以编写一个工具来提取主机证书 valid_before 时间，而无需完整的 ssh 登录。在这里，在 Go 语言中。我希望它有所帮助。

package main

import "golang.org/x/crypto/ssh"
import "fmt"
import "os"
import "time"

func ignoreCertChain(auth ssh.PublicKey, address string) bool {
    return true // Pretend all certificates are trusted.
}

var sawACert bool

func examineCert(cert *ssh.Certificate) bool {
  expires := cert.ValidBefore
  var humanReadable string
  if expires >= ssh.CertTimeInfinity {
    humanReadable = "infinity"
  } else if expires < (1 << 63) {
    humanReadable = time.Unix(int64(expires), 0).Format(time.RFC3339)
  } else {
    humanReadable = "the distant future"
  }
  fmt.Println("Cert expires at time", expires, "(" + humanReadable + ")")
  sawACert = true
  return true  // Reject the cert, to force early connection close.
}

func main() {
  serverHostPort := os.Args[1]
  checker := &ssh.CertChecker{
    IsHostAuthority: ignoreCertChain,
    IsRevoked: examineCert,
  }
  config := &ssh.ClientConfig{
    User: "test-sshcertscan-not-a-real-login-attempt",
    Auth: []ssh.AuthMethod{
      ssh.Password(""),
    },
    HostKeyCallback: checker.CheckHostKey,
  }
  sawACert = false
  client, err := ssh.Dial("tcp", serverHostPort, config);
  if err != nil && !sawACert {
    panic(fmt.Sprint("Cannot connect to ", serverHostPort, ", error: ",
                     err.Error()))
  } else if client != nil {
    defer client.Close()
  }
}

（快速使用说明：安装Go，将上面看到的代码保存在 sshcertscan.go 中，运行go build sshcertscan.go，然后将其指向 examplehost 端口 22 上的 ssh 服务器./sshcertscan examplehost:22。）

不幸的是，我不知道任何开源工具。似乎 nmap 可以使用NSE脚本以某种方式检索它（但需要一些调整——检查 /usr/share/nmap/scripts）。

SSH 的Tectia SSH服务器包含一个名为 ssh-fetchkey 的工具，它将检索证书，然后您可以使用 ssh-certview 查看详细信息。

恐怕答案是“那不可能”。至少我没有找到任何方式，使用 openssh 客户端或用于 python 的 paramiko SSH 库。我建议按照您的描述进行本地检查，并结合更简单的远程检查来验证 SSHD 使用的密钥是否是您刚刚检查其证书生命周期的密钥。