配置sshd使用CA签名证书登录_ssh证书登录_更新sshd服务端的通讯密钥
配置sshd使用CA签名证书登录_ssh证书登录_更新sshd服务端的通讯密钥
转载注明来源: 本文链接 来自osnosn的博客,写于 2022-11-06.
用CA签名证书登录
- 请参考【SSH 证书登录教程】,这个旧了。
- 参考:【Creating SSH CA Certificate Signing Keys】,这是基于openSSH-5.3p1
- 【SSH 证书登录教程】
- 【基于CA签名的用户公钥管理】,【基于CA签名的用户公钥管理】
- 【证书登录的流程】
- 【Linux 采用 SSH CA 登陆验证】
- putty-0.77 还不支持这种认证。putty-0.78 开始支持CA签名证书认证。
- winscp-5.21.5 还不支持这种认证。下一个版本可能会支持。
ssh登录过程中,基于签名(证书)的用户认证
-
基于 openSSH-8.0p1 , 测试成功。
-
创建 用于签发用户证书的密钥(用户CA)。管理员创建,私钥不传递。
ssh-keygen -t ed25519 -C user_ca@myCA -f user_ca
。
得到两个文件,user_ca
,user_ca.pub
。
只是密钥对,不是证书。因为没做自签名证书。 -
让sshd服务端信任"用户CA"的公钥。(方法一,用户级)
建议限制 principals。如果多个服务器信任同一个CA,只要每个服务器上的 principals 都不同。
就能做到,用同一个CA签发的用户证书,能登录其中一个服务器,而不能登录别的服务器。
在sshd服务器上,用户的~/.ssh/authorized_keys
中加入一行(用户CA的公钥)。此文件权限mode要求是0600。
cert-authority,principals="host02,allhost" ssh-ed25519 AAAAC.....xx user_ca@myCA
内容为 user_ca.pub 文件的内容。
如果用户证书包含 host02 或 allhost 才能登录(此种情况不判断用户名)。
每个想用证书登录的用户的~/.ssh/authorized_keys
都要加一行。- 不做限制,在sshd服务器上,用户的
~/.ssh/authorized_keys
中加入一行(用户CA的公钥)。
cert-authority ssh-ed25519 AAAAC.....xx user_ca@myCA
如果用户证书没有principals,可以登录
如果用户证书有principals,必须包含用户名 才能登录。
- 不做限制,在sshd服务器上,用户的
-
让sshd服务端信任"用户CA"的公钥。(方法二,全局系统级)
在sshd服务器上,在/etc/ssh/sshd_config
中加入一行:
TrustedUserCAKeys /etc/ssh/user_ca_list.pub
,
重启 sshd 服务生效,service sshd restart
。
这种配置,用户证书必须有principals,且包含用户名才能登录。
user_ca_list.pub
可以多行,CA公钥文件user_ca.pub
的内容占其中一行。文件权限mode可以是0600或0644。
例如:ssh-ed25519 AAAAC.....xx Comment
-
静态限制 principals
在sshd服务器上,创建 principals 目录mkdir /etc/ssh/principals
。此目录权限mode要求是0755。
然后在/etc/ssh/sshd_config
中再加入一行,重启 sshd 服务。
AuthorizedPrincipalsFile /etc/ssh/principals/%u
。
之后再次修改user_ca_list.pub
和/etc/ssh/principals/
中的文件,无需重启sshd即生效。AuthorizedPrincipalsFile
,只能配置一个路径,不支持多个路径。- 根据不同的用户名, 限制 principals, 比如
/etc/ssh/principals/root
文件:
一行一个 principal。文件权限mode必须是0644。## 注释:/etc/ssh/principals/root文件内容 principl_01 principl_02
- 用户证书包含任意一个 principal 才能登录。这种情况不匹配用户名,用户证书的principals包含"用户名"无用。
- 如果对应用户的文件不存在或为空,用户证书无论包含什么princpals,或者无principal,都不能登录。
-
动态限制 principals
在sshd服务器上,/etc/ssh/sshd_config
中再加入两行:
AuthorizedPrincipalsCommand /etc/ssh/princ.sh %u %U %s %i
,
AuthorizedPrincipalsCommandUser root
, (或指定一个别的用户身份)
重启 sshd 服务生效,service sshd restart
。#!/bin/sh # 例子 /etc/ssh/princ.sh 文件, 权限mode是 0755,owner,group 都是 root # 传入四个参数 $1=username,$2=user ID, $3=证书的serial num, $4=证书的key ID # 例子中, $3 $4 没有使用 # 因 OpenSSH 权限提升漏洞 (CVE-2021-41617), 此程序只能由管理员编写,不应该开放给用户修改。 host=myhost02 buf="$host-$1" buf2=$(echo "$buf" |/bin/shasum -) buf2=${buf2%% *-} echo "$buf2" if [ "$2" -eq 0 ]; then echo "$host-root" echo "allhost-root" else echo "$buf" echo "allhost-user" fi
-
AuthorizedPrincipalsCommandUser abc
指定程序以 abc 用户身份执行。
可以接受 "%u" 表示以登录的身份执行, 但不建议。 -
另一个例子,也可以通过webserver查询principals。
AuthorizedPrincipalsCommand /bin/curl -s http://localhost/sshprincipals?user=%u&serial=%s&id=%i
-
任何用户登录,使用的用户证书,签名的CA在
TrustedUserCAKeys
列表中,
sshd 都会先检查AuthorizedPrincipalsFile
中的 principals,
如果找不到,才会执行AuthorizedPrincipalsCommand
程序。
如果程序的输出中,也没有找到匹配的 principals,则认证失败。 -
任何用户登录,使用的用户证书,签名的CA不在
TrustedUserCAKeys
列表中,
sshd不使用AuthorizedPrincipalsFile
,AuthorizedPrincipalsCommand
中的principals。 -
用户证书的签名CA通过
TrustedUserCAKeys
认证的,都必须有principals。
无principals的用户证书,不能登录。即使sshd服务端的principals为空,也不能登录。 -
有
AuthorizedPrincipalsFile
或AuthorizedPrincipalsCommand
配置时,
这种情况不匹配用户名,用户证书的principals包含"用户名"无用。
-
-
只要是用这个密钥(用户CA)签名过的用户公钥,满足 principals 要求,就能登录此sshd服务器的相应用户。
-
创建用户密钥。用户自己创建,私钥不传递。
ssh-keygen -t ed25519 -C user@myhost -f users_key
得到两个文件,users_key
,users_key.pub
。 -
用 user_ca (私钥)对用户密钥的公钥签名,得到一个用户证书。
只把用户公钥发给管理员签名即可。只须要有"users_key.pub"公钥文件,无需用户的私钥文件。
ssh-keygen -s user_ca -I ident -z 01 -n user1,principal_02 -V -10m:+90d users_key.pub
得到一个文件users_key-cert.pub
,发回给用户。
-n user1,principal_02
限制证书的用户名 或principals。不限制就去掉这个参数。
-V -1m:+10d
限制证书的时效。不限制就去掉这个参数。
-O source-address=192.168.123.0/24,10.1.2.3
限制来源IP。
-O force-command="date"
强制只执行某个命令。
-z 01
序号,数字。 -
查看已经签名的用户证书的内容。
ssh-keygen -L -f users_key-cert.pub
。 -
在ssh客户端上,
把两个文件放在一起users_key
,users_key-cert.pub
。这个文件没用users_key.pub
。
用命令ssh user1@sshd服务器 -i users_key
就能够登录了。 -
创建或更新 KRL 文件。然后把 KRL 文件传到sshd服务器上。或者直接在sshd服务器上创建或更新。
创建 revoke 文件,并把证书加入:ssh-keygen -k -z 01 -f KRL_file key-cert.pub
。
更新 revoke 文件,并把公钥加入:ssh-keygen -ku -z 01 -f KRL_file key.pub
。
更新 revoke 文件,并把CA公钥加入:ssh-keygen -ku -z 01 -f KRL_file user_ca.pub
。
其中-z 01
序号,数字。在 KRL 中作为版本号。
不仅能吊销ca签名证书,也可以吊销普通密钥的公钥。 -
列出 KRL 文件内容:
ssh-keygen -Ql -f KRL_file
。
测试 key-cert.pub 是否被 revoked :ssh-keygen -Q -f KRL_file key-cert.pub
。 -
KRL 文件也可以是纯文本的,不用 ssh-keygen 生成,格式同
/etc/ssh/user_ca_list.pub
,一行一个公钥。
例如:ssh-ed25519 AAAAC.....xx Comment
可以是CA公钥 user_ca.pub,也可以是普通密钥的公钥,也可以是用户证书users_key-cert.pub
的内容。 -
让sshd服务器检查 KRL 文件。(KRL文件,纯文本或者二进制格式,都支持)
在sshd服务器上,/etc/ssh/sshd_config
中加入一行RevokedKeys /path_to/KRL_file
,
重启 sshd 服务生效,service sshd restart
。
/path_to/KRL_file
文件的权限mode可以是 0600 或 0644。
之后再次修改 KRL 文件,无需重启sshd。 -
sshd服务器会最先检查 KRL 文件。
即,会吊销在TrustedUserCAKeys
,AuthorizedKeysFile
,AuthorizedKeysCommand
中的公钥。 -
区别:
- 用户证书认证, 可以限制登录用户名 或principals, 可以设置有效期, 可以限制来源IP。
- 密钥认证, 无这些功能。
公钥的动态认证
- 在sshd服务器上,
/etc/ssh/sshd_config
中加入两行:
AuthorizedKeysCommandUser /etc/ssh/keys.sh %u %U
AuthorizedKeysCommandUser root
, (或指定一个别的用户身份)
重启 sshd 服务生效,service sshd restart
。#!/bin/sh # 例子 /etc/ssh/keys.sh 文件, 权限mode是 0755,owner,group 都是 root # 传入两个参数 $1=username,$2=user ID # 例子中, $1 $2 没有使用 # 因 OpenSSH 权限提升漏洞 (CVE-2021-41617), 此程序只能由管理员编写,不应该开放给用户修改。 echo "ssh-ed25519 AAAAC.....xx Comment" # 普通密钥的公钥 echo "cert-authority ssh-ed25519 AAAAC.....xx Comment" # CA的公钥,无principals限制 # CA的公钥, 有principals限制 echo 'cert-authority,principals="host02,allhost" ssh-ed25519 AAAAC.....xx Comment'
AuthorizedKeysCommandUser abc
指定程序以 abc 用户身份执行。
可以接受 "%u" 表示以登录的身份执行, 但不建议。- 任何用户登录,sshd 都会先检查
AuthorizedKeysFile
中的公钥,
如果找不到,才会执行AuthorizedKeysCommand
程序。
如果程序的输出中,也没有找到匹配的公钥,则继续其他认证,如TrustedUserCAKeys
。 - 任何用户登录,使用的用户证书,签名的CA在
AuthorizedKeysFile
或AuthorizedKeysCommand
中找到,
是否有principals限制看匹配行的principals=""
。
在AuthorizedPrincipalsFile
,AuthorizedPrincipalsCommand
的cert-authority...
匹配行中,- 如果无
principals=
则用户证书无principals可以登录,或者用户证书有principals,且包含用户名 才能登录。 - 如果有
principals="xx02,xx03"
则用户证书有principals,且包含任意一个principal 才能登录。
- 如果无
ssh登录过程中,基于签名(证书)的服务器认证
- 基于 openSSH-8.0p1 , 测试成功。
- 创建 用于签发服务器证书的密钥(服务器CA)。管理员创建,私钥不传递。
ssh-keygen -t ed25519 -C server_ca@myCA -f server_ca
。
得到两个文件,server_ca
,server_ca.pub
。
只是密钥对,不是证书。因为没做自签名证书。 - 让ssh客户端信任"服务器CA"的公钥。(用户级)
在ssh客户端上, 用户的~/.ssh/known_hosts
中加入一行(服务器CA的公钥)。此文件权限mode通常是0644。
@cert-authority * ssh-ed25519 AAAAC.....xx server_ca@myCA
内容为 server_ca.pub 文件的内容。 - 让ssh客户端信任"服务器CA"的公钥。(全局)
在ssh客户端上,/etc/ssh/ssh_known_hosts
中加入一行(服务器CA的公钥)。此文件权限mode是0644。
@cert-authority * ssh-ed25519 AAAAC.....xx server_ca@myCA
内容为 server_ca.pub 文件的内容。 - 只要是这个密钥(服务器CA)签名过的服务器公钥,配置到sshd服务器之后。ssh连接服务器时,就不会有连接警告。
- 用 server_ca (私钥)对服务器的公钥签名,得到服务器证书。
直接在sshd服务器上签名,或者把服务器的三个公钥发给管理员签名。
对于openSSH-8,是这三个ssh_host_ecdsa_key.pub
,ssh_host_ed25519_key.pub
,ssh_host_rsa_key.pub
。
比如,签其中一个:ssh-keygen -s server_ca -I ident -z 01 -h /etc/ssh/ssh_host_ed25519_key.pub
得到一个文件ssh_host_ed25519_key-cert.pub
。
别忘了-h
参数,漏了就无效了。
可以带上-V -1m:forever -n "*.myhost.cn,*.xxx.com"
-n abc.mydomain.com
限制证书的域名,IP。不限制就去掉这个参数。
-V -1m:+3d
限制证书的时效。不限制就去掉这个参数。
-z 01
序号,数字。
可以对多个不同类型的公钥签名,得到不同类型的服务器证书。
sshd服务器原本使用的密钥,不满意,可以在sshd服务器上重新生成一遍。保证服务器私钥不传递。见下面【更新sshd服务端的通讯密钥/证书】部分。 - 查看已经签名的服务器证书的内容。
ssh-keygen -L -f ssh_host_ed25519_key-cert.pub
。 - 在sshd服务器上,修改
/etc/ssh/sshd_config
加三行,
HostCertificate /etc/ssh/ssh_host_ecdsa_key-cert.pub
HostCertificate /etc/ssh/ssh_host_ed25519_key-cert.pub
HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
如果只签一个类型的服务器证书,HostCertificate /etc/ssh/....
就只写一行吧。
重启 sshd,执行/sbin/service sshd reload
。 - 在ssh客户端上,用命令
ssh user1@sshd服务器
就没有连接警告了。 - 让ssh客户端 revoked 服务器的公钥。(用户级)
在ssh客户端上,用户的~/.ssh/known_hosts
中加入一行的公钥。
@revoked * ssh-ed25519 AAAAC.....xx server_ca@myCA
内容可以是CA公钥 server_ca.pub,也可以是普通服务器的公钥,也可以是服务器证书ssh_host_ed25519_key-cert.pub
的内容。 - 让ssh客户端 revoked 服务器的公钥。(全局)
在ssh客户端上,/etc/ssh/ssh_config
中加入RevokedHostKeys /path_to/KRL_file
,
/path_to/KRL_file
文件权限mode是0644。
KRL文件格式,可以是纯文本,一行一个公钥。也可以是由ssh-keygen
生成的二进制格式。
ssh-keygen 创建 KRL 文件,见前面【基于签名(证书)的用户认证】部分。 - 让ssh客户端 revoked 服务器的公钥。(全局)
在ssh客户端上,/etc/ssh/ssh_known_hosts
中加入一行,也可以。此文件权限mode是0644。
@revoked * ssh-ed25519 AAAAC.....xx server_ca@myCA
更新 sshd 服务端的通讯密钥/证书,保证服务器安全
- 目前的 OpenSSH-8 需要三套密钥,一共六个文件。
cd /etc/ssh/ ssh-keygen -l -f ssh_host_rsa_key #看一下,原来密钥的注释是什么。然后决定下面的 -C 参数写什么 ssh-keygen -t ecdsa -b 384 -C root@你的机器名 -f ssh_host_ecdsa_key ssh-keygen -t ed25519 -C root@你的机器名 -f ssh_host_ed25519_key ssh-keygen -t rsa -b 4096 -C root@你的机器名 -f ssh_host_rsa_key service sshd restart #重启sshd服务
- 其中,
ecdsa默认是256bit,可以用 -b 指定,
ed25519固定是256bit,不能改,
rsa默认已经从2048改为3072bit了,可以用 -b 指定。 - 还有个简单的办法。
删除所有的服务器密钥rm /etc/ssh/ssh_host_*
, 重新用默认值生成一遍ssh-keygen -A
。
重启sshd服务service sshd restart
。 - 参考【更换ssh通信证书,ssh更改公钥和密钥,以保证服务器安全】
【更换ssh通信证书,ssh更改公钥和密钥,以保证服务器安全】
其他
---end---
转载注明来源: 本文链接 https://www.cnblogs.com/osnosn/p/16870594.html 来自osnosn的博客.