検索
サポートコンソール開発者トライアルの開始お問い合わせ

14.3.4. SSH CA 公開鍵の配布と信頼

download PDF
プロジェクトから証明書の認証されたログインを許可するホストは、ユーザーの証明書を認証するために、ユーザー証明書の署名に使用された CA の公開キーを信頼するように設定する必要があります。この例では、ca_user_key.pub です。
ca_user_key.pub 鍵を公開し、リモートユーザーがログインできるように必要なすべてのホストにダウンロードします。または、CA ユーザーの公開鍵をすべてのホストにコピーします。実稼働環境では、公開鍵をまず管理者アカウントにコピーすることを検討してください。secure copy コマンドを使用して、公開鍵をリモートホストにコピーすることができます。このコマンドは、
scp ~/.ssh/ca_user_key.pub root@host_name.example.com:/etc/ssh/
の形式を取ります。host_name は、ログインプロセス中に提示されるユーザーの証明書の認証に必要なサーバーのホスト名です。秘密鍵ではなく公開鍵をコピーしてください。たとえば、root で以下を実行します。 
~]# scp ~/.ssh/ca_user_key.pub root@host_name.example.com:/etc/ssh/
The authenticity of host 'host_name.example.com (10.34.74.56)' can't be established.
RSA key fingerprint is fc:23:ad:ae:10:6f:d1:a1:67:ee:b1:d5:37:d4:b0:2f.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'host_name.example.com,10.34.74.56' (RSA) to the list of known hosts.
root@host_name.example.com's password:
ca_user_key.pub                                       100%  420     0.4KB/s   00:00
リモートユーザー認証の場合、CA キーは、cert-authority ディレクティブを使用するか、/etc /ssh/sshd_config ファイルの TrustedUserCAKeys ディレクティブを使用してグローバルに使用することで、~/.ssh/authorized_keys ファイルで信頼されるユーザー/authorized_keys としてマークできます。リモートホスト認証の場合、CA キーは、/etc/ssh/known_hosts ファイルまたは ~/.ssh/ssh_known_hosts ファイルのユーザーごとに信頼できるとマークできます。

手順14.2 ユーザー署名キーの信頼

  • 1 つ以上の原則が記載されていて、設定がグローバルを有効にする場合は、/etc/ssh/sshd_config ファイルを以下のように編集します。
    TrustedUserCAKeys /etc/ssh/ca_user_key.pub
    sshd を再起動して変更を適用します。 
    ~]# service sshd restart
不明なホストについての警告が表示されないようにするには、ユーザーのシステムが、ホスト証明書の署名に使用された CA の公開鍵を信頼する必要があります。この例では ca_host_key.pub です。

手順14.3 ホスト署名キーの信頼

  1. ホスト証明書の署名に使用される公開鍵の内容を抽出します。たとえば、CA では以下のようになります。 
    cat ~/.ssh/ca_host_key.pub
ssh-rsa  AAAAB5Wm.== root@ca-server.example.com
  2. サーバーの署名済みホスト証明書を信頼するようにクライアントシステムを設定するには、ca_host_key.pub の内容をグローバル known_hosts ファイルに追加します。これにより、新しいマシンが *.example.com ドメインで接続されるたびに、すべてのユーザーに対して、サーバーのホストが CA 公開鍵に対してアドバタイズされた証明書が自動的にチェックされます。root としてログインし、/etc/ssh/ssh_known_hosts ファイルを設定します。 
    ~]# vi /etc/ssh/ssh_known_hosts
# A CA key, accepted for any host in *.example.com
@cert-authority *.example.com ssh-rsa AAAAB5Wm.
    ssh-rsa AAAAB5Wm.ca_host_key.pub の内容です。上記は、システムが CA サーバーのホスト公開鍵を信頼するように設定します。これにより、ホストが提示する証明書のグローバル認証ができるようになります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.