服务器安装 CA 公钥
# 服务器安装 CA 公钥
为了让服务器信任用户证书,必须将 CA 签发用户证书的公钥user_ca.pub
,拷贝到服务器。
$ scp ~/.ssh/user_ca.pub root@host.example.com:/etc/ssh/
1
上面的命令,将 CA 签发用户证书的公钥user_ca.pub
,拷贝到 SSH 服务器的/etc/ssh
目录。
然后,将下面一行添加到服务器配置文件/etc/ssh/sshd_config
。
TrustedUserCAKeys /etc/ssh/user_ca.pub
1
上面的做法是将user_ca.pub
加到/etc/ssh/sshd_config
,这会产生全局效果,即服务器的所有账户都会信任user_ca
签发的所有用户证书。
另一种做法是将user_ca.pub
加到服务器某个账户的~/.ssh/authorized_keys
文件,只让该账户信任user_ca
签发的用户证书。具体方法是打开~/.ssh/authorized_keys
,追加一行,开头是@cert-authority principals="..."
,然后后面加上user_ca.pub
的内容,大概是下面这个样子。
@cert-authority principals="user" ssh-rsa AAAAB3Nz...XNRM1EX2gQ==
1
上面代码中,principals="user"
指定用户登录的服务器账户名,一般就是authorized_keys
文件所在的账户。
重新启动 sshd。
$ sudo systemctl restart sshd.service
# 或者
$ sudo service sshd restart
1
2
3
2
3
至此,SSH 服务器已配置为信任user_ca
签发的证书。
上次更新: 2023/10/17, 16:39:02 访问次数: 0