Sam Bull Asked: 2018-01-14 08:26:53 +0800 CST2018-01-14 08:26:53 +0800 CST 2018-01-14 08:26:53 +0800 CST 将 SSH CA 证书限制为特定用户/组 772 是否可以将 CA 证书的使用限制为特定用户/主体/组? 用例是我想要 2 个 CA 证书。一个将用作自动化系统的一部分来签署用户密钥。如果此证书被泄露,我想确保它不能用于允许某人登录管理员帐户。 另一个 CA 证书显然会更安全地存储(气隙等)并用于管理员帐户。 ssh openssh 1 个回答 Voted Best Answer Sam Bull 2018-01-15T05:53:55+08:002018-01-15T05:53:55+08:00 基于 Ulrich Schwarz 的评论: 如果我将普通用户添加到一个endusers组,那么我可以像这样设置 sshd_config: TrustedUserCAKeys /etc/ssh/admin_ca.pub Match Group endusers TrustedUserCAKeys /etc/ssh/user_ca.pub 这导致 user_ca 仅被endusers组中的用户接受,而 admin_ca 可用于任何用户。
基于 Ulrich Schwarz 的评论:
如果我将普通用户添加到一个
endusers组,那么我可以像这样设置 sshd_config:这导致 user_ca 仅被
endusers组中的用户接受,而 admin_ca 可用于任何用户。