客户端安装 CA 公钥
# 客户端安装 CA 公钥
为了让客户端信任服务器证书,必须将 CA 签发服务器证书的公钥host_ca.pub
,加到客户端的/etc/ssh/ssh_known_hosts
文件(全局级别)或者~/.ssh/known_hosts
文件(用户级别)。
具体做法是打开ssh_known_hosts
或known_hosts
文件,追加一行,开头为@cert-authority *.example.com
,然后将host_ca.pub
文件的内容(即公钥)粘贴在后面,大概是下面这个样子。
@cert-authority *.example.com ssh-rsa AAAAB3Nz...XNRM1EX2gQ==
1
上面代码中,*.example.com
是域名的模式匹配,表示只要服务器符合该模式的域名,且签发服务器证书的 CA 匹配后面给出的公钥,就都可以信任。如果没有域名限制,这里可以写成*
。如果有多个域名模式,可以使用逗号分隔;如果服务器没有域名,可以用主机名(比如host1,host2,host3
)或者 IP 地址(比如11.12.13.14,21.22.23.24
)。
然后,就可以使用证书,登录远程服务器了。
$ ssh -i ~/.ssh/user_key user@host.example.com
1
上面命令的-i
参数用来指定用户的密钥。如果证书与密钥在同一个目录,则连接服务器时将自动使用该证书。
上次更新: 2023/10/17, 16:39:02 访问次数: 0