Ich habe einen mit Putty generierten SSH-Schlüssel. Der Kommentarbereich hat das Erstellungsdatum „rsa-key-20201015“. Wie kann ich ein Ablaufdatum für einen RSA-SSH-Schlüssel hinzufügen? Ist dies durch Bearbeiten des Kommentarbereichs möglich?
Antwort1
Es gibt keinen Platz, um das Ablaufdatum einzubetteninnerhalbder Schlüssel selbst. Sein Kommentarfeld ist eigentlich nur ein Kommentarfeld und wird vom Server ignoriert – PuTTYgen fügt das Datum nur zu Ihrer eigenen Information hinzu, es fungiert nicht als „Ausstellungsdatum“.
Wenn der Server jedoch OpenSSH ausführtv7.7 oder höher, dann kann stattdessen das Ablaufdatum für einen bestimmten authorized_keysEintrag angegeben werden:
expiry-time="YYYYMMDD" ssh-rsa AAAAB3Nz...w== Some comment
Sie können auch die genaue Zeit angeben YYYYMMDDhhmm(die Standardeinstellung ist Mitternacht 00:00). Wenn Sie beispielsweise angeben 20201030, wird der Eintrag ab 30.10.2020 00:00:00 nicht mehr akzeptiert.
(Beachten Sie, dass sich der eigentliche Schlüssel überhaupt nicht ändert – er hat immer noch dasselbe Format und es ist immer noch kein Ablaufdatum „eingebaut“, nur die authorized_keysDatei hat eines.)
Ältere Systeme unterstützen diese Funktion nicht und erfordern manuelles Cron-Scripting über das Kommentarfeld. Zur Referenz:
- Debian 10 (Buster) und Ubuntu 18.04 (Bionic) haben OpenSSH v7.9 und unterstützen diese Funktion.
- Debian 9 (Stretch) und Ubuntu 16.04 (Xenial) haben OpenSSH v7.2/v7.4 undnichtunterstütze es.
OpenSSH hat auch ein anderes Schlüsselformat (bekannt als „SSH-Zertifikate“), das das Einbetten eines Ablaufdatums ermöglicht. Zertifikate können jedoch nicht mit PuTTY-, WinSCP- oder Bitvise-Clients verwendet werden – sie sind nur mit OpenSSH selbst (d. h. dem sshClient) kompatibel. Weitere Dokumentation zu dieser Funktionalität:https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Zertifikatsbasierte_Authentifizierung