3.2. 通过保存在智能卡上的 SSH 密钥进行身份验证

流程

1. 列出所有由 OpenSC PKCS #11 模块提供的密钥，包括其 PKCS #11 URIs，并将输出保存到 key.pub 文件：

   $ ssh-keygen -D pkcs11: > keys.pub

   Copy to Clipboard Toggle word wrap

2. 将公钥传送到远程服务器。使用ssh-copy-id 命令和上一步中创建的 keys.pub 文件：

   $ ssh-copy-id -f -i keys.pub <username@ssh-server-example.com>

   Copy to Clipboard Toggle word wrap

3. 使用 ECDSA 密钥连接到 < ssh-server-example.com >。您可以只使用 URI 的子集，它唯一引用您的密钥，例如：

   $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

   因为 OpenSSH 使用 p11-kit-proxy 包装器，且 OpenSC PKCS #11 模块已注册到 p11-kit 工具，因此您可以简化上一个命令：

   $ ssh -i "pkcs11:id=%01" <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

   如果您跳过 PKCS #11 URI 的 id= 部分，则 OpenSSH 会加载代理模块中可用的所有密钥。这可减少输入所需的数量：

   $ ssh -i pkcs11: <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

4. 可选：您可以在 ~/.ssh/config 文件中使用同样的 URI 字符串来使配置持久：

   $ cat ~/.ssh/config
   IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
   $ ssh <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

   ssh 客户端工具现在自动使用此 URI 和智能卡中的密钥。