当前位置: 首页 > 文档资料 > Yubikey 使用手册 >

使用用户证书验证 SSH (服务端) - 生成密钥吊销列表 (KRL)

优质
小牛编辑
135浏览
2023-12-01

生成密钥吊销列表(KRL)

KRL 是一种精巧的二进制文件格式,它的作用是吊销已签名的 SSH 证书。

  1. 创建一个空的吊销列表:

    1. ❯ touch /etc/ssh/revoked_keys
  2. 修改 /etc/ssh/sshd_config 文件使其包含新的吊销列表:

    1. ❯ RevokedKeys /etc/ssh/revoked_keys
  3. 当必要的时候,可以吊销第一个签名的证书:

    1. ❯ ssh-keygen -k -f revoked_keys -s sshuser.root.ca.pub foo-cert.pub
  4. 当你有增加更多的待吊销证书的需求时(使用 -u):

    1. ❯ ssh-keygen -k -f revoked_keys -s sshuser.root.ca.pub -u bar-cert.pub
  5. 确认吊销生效:

    1. ❯ ssh-keygen -Qf revoked_keys foo-cert.pub
  6. 使用 rsyncscp 或者其他编排工具将revoked_keys 分发给每个主机(/etc/ssh/revoked_keys

注意:只要序列号正常工作, ssh-keygen 不需要使用签名的公共证书去吊销,但目前在 OpenSSH 7.2p2 (Ubuntu) 上无效。