Как проверить, что сертификат ssh был подписан указанным секретным ключом SSH CA?
Мне удалось решить эту проблему с помощью следующих команд:
mv /var/lib/dpkg/info/coturn.* /tmp/
dpkg --remove --force-remove-reinstreq coturn
Это сработало. И я снова установил котурн, тогда все заработало.
Para obtener de forma remota el certificado de host ssh (s ), puede usarssh-keyscan -c <hostname>(sin la opción -c, solo obtendrá la clave de host (s )). Para limitar a un tipo de certificado específico, puede incluir -t type, usando ssh-rsano ssh-rsa-cert-v01@openssh.com, si es necesario.
Luego, puede extraer los detalles del certificado, incluida la clave pública de la CA firmante, con ssh-keygen -L -f <certfile>. Si usa (minúsculas)-len su lugar, entonces ssh-keygensolo genera la información sobre la clave de host pública (subyacente )incrustada en el certificado, en lugar de todos los elementos del certificado.
No he ido tan lejos como para configurar una firma para mi ssh interno. Pero cuando estaba haciendo eso para imap, aprendí una forma simple de verificar las cosas.
Verhttps://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.htmlpara más detalles.
Básicamente, usando "openssl s _client..." puede obtener muchos datos útiles para nosotros.
p. ej., mi CA sin firmar (sin firmar )ssh (nota -No se enviaron nombres de CA de clientes, y comparar con el informe "auto -firmado" obtenido de mi prueba de imaps)
openssl s_client -connect x072:22
CONNECTED(00000003)
804401144:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:825:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1526335517
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
Mientras que cuando me conecto a mis servicios de imaps -veo una cadena de certificados (profundidad :0 self -firmado ).
root@x071:[/root]openssl s_client -connect x063:993
CONNECTED(00000003)
depth=0 C = NL, ST = N. Holland, L = Amsterdam, O = ROOTVG, OU = aixtools
verify error:num=18:self signed certificate
verify return:1
depth=0 C = NL, ST = N. Holland, L = Amsterdam, O = ROOTVG, OU = aixtools
verify error:num=26:unsupported certificate purpose
verify return:1
depth=0 C = NL, ST = N. Holland, L = Amsterdam, O = ROOTVG, OU = aixtools
verify return:1
---
Certificate chain
0 s:/C=NL/ST=N. Holland/L=Amsterdam/O=ROOTVG/OU=aixtools
i:/C=NL/ST=N. Holland/L=Amsterdam/O=ROOTVG/OU=aixtools
---
Server certificate
-----BEGIN CERTIFICATE-----
snip...
Estos difieren del uso de ssh -keygen, que debo investigar más por mi cuenta. Pero creo que me quedaré con el cliente de openssl s _debido a su división.