Короче говоря:
Создать ключ CA для ключей хоста:
ssh-keygen -f host_ca {{1} }
Подпишите все ключи хоста и скопируйте их на сервер:
ssh-keygen -s host_ca -I host_foo -h -n foo.bar.com -V + 52w / etc / ssh / ssh_host_rsa_key.pub
Настроить сервер ( / etc / ssh / sshd_config
) для рекламы сертификатов (в дополнение к ключам хоста):
HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
Настройте клиентов ( / etc / ssh / ssh_known_hosts
) (также ваш сервер, если вы ищите взаимную связь):
@ cert-Authority * .bar.com ssh- rsa AAAAB3 [...] == Комментарий
Создать ключ CA для пользователей:
ssh-keygen -f user_ca
Настроить сервер для принимать ключи, подписанные этим ЦС (опять же в `/ etc / ssh / sshd_config '):
TrustedUserCAKeys /etc/ssh/user_ca.pub
Подписать ключ аутентификации:
ssh-keygen -s user_ca -I user_thomas -n thomas, thomas2 -V + 52w /path/to/id_rsa.pub
Дополнительные примечания доступны на habets.se или на странице руководства для sshd
. Он должен ответить на все ваши вопросы, но если нет, не стесняйтесь спрашивать дальше.