Kurze Frage zu Public Key authentification

Don83

New Member
Hallo liebe Leut,

ich logge mich regelmäßig auf verschiedenen Servern ein und habe mir auch zum Üben einen kleinen billig Server gemietet.

Die folgende Frage dient also lediglich dem Verständnis und der persönlichen Weiterbildung.

So, das Standard SSH-Verfahren wäre ja, dass man sich mit Passwort direkt auf einem Rechner anmeldet.

Dann gäbe es noch die public-key authentification. Das heisst, User erzeugt ein Schlüsselpaar. Der Publickey wird in seinem Homeverzeichnis in .ssh abgelegt und den Secret Key behält her bei sich. Dann kann sich der User z.B. über Putty in sein Homeverzeichnis auf dem Zielserver connecten.

Jetzt habe ich immer noch etwas von SSH Zertifikaten gelesen. Ist damit die public-key authentification gemeint, oder geht es dabei um etwas anderes?
 

elias5000

Site Reliability Engineer
Ist damit die public-key authentification gemeint
Ja.

Edit: Im Prinzip schon. Es ist so ne art Erweiterung der Keys um eine CA-Signatur die einem das Verteilen der Keys erspart aber dafür das Signieren derselben nebst Konfiguration der CA auf den Kisten abverlangt.
 
Last edited by a moderator:

gunnarh

Allwissende Müllhalde
Nein.
Ein OpenSSH-Zertifikat ist kein OpenSSH-Public-Key.

Ein OpenSSH-Public-Key muss - wie korrekt im Eingangsposting skizziert - für den Benutzer eingetragen werden. Auf jedem Server, auf dem er einsteigen können soll.

Ein OpenSSH-User-Zertifikat hingegen ermöglicht, dass man einfach die OpenSSH-CA trusted und dann - ohne dass man jedem Benutzer einzeln den SSH-PubKey im Authorized_Keys-File hinterlegen müsste - sich die Benutzer anmelden können.

OpenSSH-Zertifikate sind nicht mit X.509-Zertifikaten zu verwechseln. Es gibt auch experimentelle Unterstützung für X.509 Zertifikate in OpenSSH, allerdings soweit ich das weiß hat es diese nicht in die Standarddistributionen geschafft.
 
Top