Come revocare un certificato ssh (non un file di identità ssh!)

Ho generato un certificato ssh come questo:

1. ssh-keygen -f ca_key # genera una coppia di chiavi ssh da usare come certificato
2. generare una chiave host ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. specifica la chiave host nel file di configurazione sshd del server: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. generare un certificato locale per accedere all'host utilizzando un certificato ssh: ssh-keygen -s ca_key -I cert_identifier user_key.pub. Questo dovrebbe generare user_key-cert.pub

Ora posso accedere al server utilizzando ssh -i user_key user@host(che utilizza user_key-cert.pub). Come posso revocare il certificato oltre a disabilitare il file TrustedUserCAKeys?

sshd_config ha un file RevokedKeys. Puoi elencare più chiavi o certificati al suo interno, uno per riga. In futuro, OpenSSH supporterà la revoca tramite il numero di serie del certificato, che renderà gli elenchi di revoca molto più piccoli.

Questi potrebbero essere di tuo interesse:

CARevocationFile /path/to/bundle.crl Questo file contiene più "Elenco di revoche di certificati" (CRL) di firmatari di certificati in formato PEM concatenati insieme.

CARevocationPath / path / to / CRLs / "Hash dir" con "Certificate Revocation List" (CRL) dei firmatari del certificato. Ogni CRL deve essere archiviato in un file separato con il nome [HASH] .r [NUMBER], dove [HASH] è il valore hash CRL e [NUMBER] è un numero intero che inizia da zero. L'hash è il risultato di un comando come questo: $ openssl crl -in crl_file_name -noout -hash

(primi 3 risultati di Google nella ricerca di "ssh ca revoke" ...)