Windows Server 2019 上の OpenSSH は、ssh-keygen ではなく PowerShell 経由で作成されたクライアント証明書を使用できますか?

Question

はい、そしていいえですが、ほとんどはいいえです。

OpenSSHクライアントはX.509証明書形式もPKCS#12（.pfx）秘密鍵形式も理解できず、Windows CAPIに保存されているものにもアクセスできません。キーそれ自体は問題ありませんが、まず適切な形式に抽出する必要があります。
同様に、OpenSSH サーバーでは、authorized_keys に X.509 証明書を配置できません (同じ公開キーの抽出を実行する必要があります)。また、ルート認証局に対して証明書を検証する方法もまったくわかりません。
サードパーティのフォークである Roumen Petrov の「PKIX-SSH」は、X.509 証明書の直接使用をサポートしています (ただし、.pfx または CAPI 秘密キーの読み込みはサポートされていないと思います。おそらく、それらを PEM または PKCS#8 形式に変換する必要があります)。
ただし、Windows では、Windows CAPI に保存された証明書をサポートする PuTTY-CAC (広く使用されている PuTTY のフォーク) の方が適している可能性があります。

やった期待するMicrosoft は OpenSSH ポートを適応させて CAPI で証明書とキーを使用できるようにしましたが、代わりに従来の ssh-agent を選択しました...

Answer 1

はい、そしていいえですが、ほとんどはいいえです。

OpenSSHクライアントはX.509証明書形式もPKCS#12（.pfx）秘密鍵形式も理解できず、Windows CAPIに保存されているものにもアクセスできません。キーそれ自体は問題ありませんが、まず適切な形式に抽出する必要があります。
同様に、OpenSSH サーバーでは、authorized_keys に X.509 証明書を配置できません (同じ公開キーの抽出を実行する必要があります)。また、ルート認証局に対して証明書を検証する方法もまったくわかりません。
サードパーティのフォークである Roumen Petrov の「PKIX-SSH」は、X.509 証明書の直接使用をサポートしています (ただし、.pfx または CAPI 秘密キーの読み込みはサポートされていないと思います。おそらく、それらを PEM または PKCS#8 形式に変換する必要があります)。
ただし、Windows では、Windows CAPI に保存された証明書をサポートする PuTTY-CAC (広く使用されている PuTTY のフォーク) の方が適している可能性があります。

やった期待するMicrosoft は OpenSSH ポートを適応させて CAPI で証明書とキーを使用できるようにしましたが、代わりに従来の ssh-agent を選択しました...

関連情報