Les certificats OpenSSH permettent de faire confiance à une autorité plutôt qu’à des clés individuelles.
objectifs d’apprentissage
- Créer une CA.
- Signer une clé utilisateur.
- Faire confiance à la CA côté serveur.
prérequis
- Accès à un serveur.
- OpenSSH récent.
notions clés
- ssh-keygen -s.
- principals.
- TrustedUserCAKeys.
démonstration guidée
étape 1
Créer une clé de CA et signer une clé utilisateur.
ssh-keygen -f ca_user -C "ca_user" -N ""
ssh-keygen -s ca_user -I user1 -n ubuntu -V +52w ~/.ssh/id_ed25519.pubétape 2
Configurer le serveur pour faire confiance à la CA.
echo 'TrustedUserCAKeys /etc/ssh/ca_user.pub' | sudo tee -a /etc/ssh/sshd_config
sudo systemctl reload sshd || sudo service ssh reloadexercice
Ajoutez un principal supplémentaire et resignez la clé pour un autre utilisateur.
correction
Signature multi-principals.
ssh-keygen -s ca_user -I user2 -n ubuntu,deploy -V +26w ~/.ssh/id_ed25519.pubquiz éclair
- Quel fichier côté serveur liste les CAs utilisateurs approuvées ?
- a) TrustedUserCAKeys
- b) AuthorizedKeysFile
- c) HostKeyAlgorithms