Я сгенерировал сертификат SSH, как это:
ssh-keygen -f ca_key
# создать пару ключей ssh для использования в качестве сертификата- генерировать ключ хоста
ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
- укажите ключ хоста в конфигурационном файле sshd сервера:
TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
- генерировать локальный сертификат для доступа хоста , используя SSH сертификат:
ssh-keygen -s ca_key -I cert_identifier user_key.pub
. Это должно генерировать user_key-cert.pub
Теперь я могу войти на сервер с помощью ssh -i user_key user@host
(который использует user_key-cert.pub). Как я могу отозвать сертификат, кроме отключения файла TrustedUserCAKeys?
Ответы:
sshd_config имеет файл RevokedKeys. В нем можно перечислить несколько ключей или сертификатов, по одному на строку. В будущем OpenSSH будет поддерживать отзыв по серийному номеру сертификата, что сделает списки отзыва намного меньшими.
источник
Они могут представлять интерес для вас:
CARevocationFile /path/to/bundle.crl Этот файл содержит несколько «списков отзыва сертификатов» (CRL) лиц, подписавших сертификаты в формате PEM, соединенных вместе.
CARevocationPath / path / to / CRLs / "Хэш-каталог" с "Списком отзыва сертификатов" (CRL) подписавших сертификат. Каждый CRL должен храниться в отдельном файле с именем [HASH] .r [NUMBER], где [HASH] является значением хеш-функции CRL, а [NUMBER] является целым числом, начинающимся с нуля. Хеш является результатом такой команды: $ openssl crl -in crl_file_name -noout -hash
(первые 3 поиска в Google по запросу "ssh ca revoke" ...)
источник