SSH через полномочия сертификата

Кажется, что здесь есть несколько проблем ...

Основная путаница заключается в том, что вы подписываете публичных клавиш, а не закрытыми ключами. Если вы попытаетесь подписать закрытый ключ с именем «ID_RSA» SSH-Keygen, просто проигнорируют это и используют «ID_RSA.PUB» в одном каталоге. Если этот открытый ключ нет, он просто дает вам одно и то же сообщение об ошибке, если вы пытались подписать файл, который не существовал.

Также при подписании, если вы используете частный ключ, называемый «quey.key», ваш подписанный открытый ключ должен быть называться «uey.key-cert.pub» и быть в том же каталоге, либо оно выиграло T использовать это, и все это не работает.

Что касается «Принципалов» ... Если у вас их (они необязательны), они указывают, какие пользователи вы можете войти в систему как. Итак, если вы подпишете открытый ключ с помощью Pricanals, вы можете использовать только это только для того, чтобы войти в качестве этих пользователей.

1. Ваш клиент не представляет сертификат, потому что у него его нет. Вам необходимо сгенерировать один ( ssh-keygen -s keys / ca.key -I jruser -n jruser keys / client.key.pub ). Новый сертификат ( keys / client.key_cert.pub ) будет автоматически получен ssh и представлен на сервер.
2. В строке cert-Authority в authorized_keys отсутствует необходимое назначение Principal (например, Principalals = "jruser" ).
3. Для отладки вы можете использовать ssh -v как обычно. Алгоритмы аутентификации имеют в своих именах слово "cert", когда используется аутентификация по сертификату.
4. Я предлагаю использовать параметр TrustedUserCAKeys (в sshd_config ) вместо того, чтобы писать строки cert-Authority , потому что это более старая и хорошо протестированная форма сертификаты пользователей ssh.

Хорошее краткое руководство по настройке (а также сертификатов ключей хоста): https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to -validate-hosts-and-clients-with-ubuntu