Red Hat Summit14.3.5. SSH 証明書の作成
証明書とは、署名された公開鍵です。ユーザーおよびホストの公開鍵を CA サーバーの秘密鍵で署名するために CA サーバーにコピーする必要があります。
重要
多くのキーを CA にコピーして署名すると、一意に名前が付けられていない場合は混乱が生じる可能性があります。デフォルト名が常に使用されると、コピーされる最新のキーによって、以前のコピーされたキーが上書きされます。これは、1 つの管理者に許容可能なメソッドである可能性があります。以下の例では、デフォルト名が使用されます。実稼働環境では、簡単に認識できる名前を使用することを検討してください。キーのコピー先となる管理ユーザーが所有する CA サーバーに、指定されたディレクトリーを設定することが推奨されます。これらのキーを
root ユーザーの /etc/ssh/ ディレクトリーにコピーすることは推奨していません。以下の例では、key / という名前のディレクトリーを持つ admin という名前 のアカウントが使用されます。
管理者アカウント(この例では
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
鍵をコピーできるようにパーミッションを設定します。
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
admin )と、ユーザーのキーを受け取るディレクトリーを作成します。以下に例を示します。
mkdir keys
~]$ mkdir keyschmod o+w keys
~]$ chmod o+w keys
ls -la keys
total 8
drwxrwxrwx. 2 admin admin 4096 May 22 16:17 .
drwx------. 3 admin admin 4096 May 22 16:17 ..14.3.5.1. ホストを認証する SSH 証明書の作成
リンクのコピーリンクがクリップボードにコピーされました!
ホスト証明書に署名するコマンドの形式は
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
になります。ホスト証明書の名前は
ssh-keygen -s ca_host_key -I host_name -h ssh_host_rsa_key.pub
ssh-keygen -s ca_host_key -I host_name -h ssh_host_rsa_key.pubssh_host_rsa_key-cert.pub です。
手順14.4 ホスト証明書の生成
ユーザーへのホストを認証するには、ホストに公開鍵を生成し、CA で署名した CA サーバーに渡して、ホストへのログインを試行するユーザーに存在するようにホストに保存するために再度渡す必要があります。
- ホスト鍵は、システムで自動的に生成されます。一覧表示するには、以下のコマンドを入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 選択した公開鍵を CA として指定されたサーバーにコピーします。たとえば、ホストからは以下のようになります。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow または、CA から以下を行います。scp root@host_name.example.com:/etc/ssh/ssh_host_rsa_key.pub ~/keys/ssh_host_rsa_key.pub
~]$ scp root@host_name.example.com:/etc/ssh/ssh_host_rsa_key.pub ~/keys/ssh_host_rsa_key.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow - CA サーバーで、ホストの公開鍵に署名します。たとえば、
rootで以下を実行します。host_name は、証明書を必要とするシステムのホスト名です。ssh-keygen -s ~/.ssh/ca_host_key -I host_name -h -Z host_name.example.com -V -1d:+54w /home/admin/keys/ssh_host_rsa_key.pub
~]# ssh-keygen -s ~/.ssh/ca_host_key -I host_name -h -Z host_name.example.com -V -1d:+54w /home/admin/keys/ssh_host_rsa_key.pub Enter passphrase: Signed host key /home/admin/keys/ssh_host_rsa_key-cert.pub: id "host_name" serial 0 for host_name.example.com valid from 2015-05-26T12:21:54 to 2016-06-08T12:21:54Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 証明書をホストにコピーします。CA の場合の例を以下に示します。
scp /home/admin/keys/ssh_host_rsa_key-cert.pub root@host_name.example.com:/etc/ssh/
~]# scp /home/admin/keys/ssh_host_rsa_key-cert.pub root@host_name.example.com:/etc/ssh/ root@host_name.example.com's password: ssh_host_rsa_key-cert.pub 100% 1384 1.5KB/s 00:00Copy to Clipboard Copied! Toggle word wrap Toggle overflow - ユーザーがログインプロセスの開始時に証明書をユーザーのシステムに提示するようにホストを設定します。
rootで、/etc/ssh/sshd_configファイルを以下のように編集します。HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow sshdを再起動して、変更を有効にします。service sshd restart
~]# service sshd restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow - ユーザーのシステムで、ユーザーが以前に設定したホストにログインしている場合は、
~/.ssh/known_hostsファイルからホストに属する鍵を削除します。ユーザーがホストにログインすると、ホストの信頼性についての警告が表示されなくなります。
クライアントシステムでホスト証明書をテストするには、手順14.3「ホスト署名キーの信頼」 の説明に従って、クライアントがグローバル
/etc/ssh/known_hosts ファイルを設定しており、サーバーの公開鍵が ~/.ssh/known_hosts ファイルにないことを確認します。次に、リモートユーザーとして SSH 経由でサーバーへのログインを試みます。ホストの信頼性についての警告は表示されません。必要な場合は SSH コマンドに -v オプションを追加して、ロギング情報を確認します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}