Короче говоря:

Ключи хоста

1. Создать ключ CA для ключей хоста:

    ssh-keygen -f host_ca {{1} } 

2. Подпишите все ключи хоста и скопируйте их на сервер:

    ssh-keygen -s host_ca -I host_foo -h -n foo.bar.com -V + 52w / etc / ssh / ssh_host_rsa_key.pub 
    

3. Настроить сервер ( / etc / ssh / sshd_config ) для рекламы сертификатов (в дополнение к ключам хоста):

    HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub 
    

4. Настройте клиентов ( / etc / ssh / ssh_known_hosts ) (также ваш сервер, если вы ищите взаимную связь):

    @ cert-Authority * .bar.com ssh- rsa AAAAB3 [...] == Комментарий 
    

Ключи аутентификации:

1. Создать ключ CA для пользователей:

     ssh-keygen -f user_ca 
    

2. Настроить сервер для принимать ключи, подписанные этим ЦС (опять же в `/ etc / ssh / sshd_config '):

    TrustedUserCAKeys /etc/ssh/user_ca.pub
   

3. Подписать ключ аутентификации:

     ssh-keygen -s user_ca -I user_thomas -n thomas, thomas2 -V + 52w /path/to/id_rsa.pub
   

Дополнительные примечания доступны на habets.se или на странице руководства для sshd . Он должен ответить на все ваши вопросы, но если нет, не стесняйтесь спрашивать дальше.