Hat jemand OpenSSH unter Windows erfolgreich mit von einer Zertifizierungsstelle signierten Host-Zertifikaten konfiguriert? In meinem Fall verwendet OpenSSH dieses signierte Zertifikat nicht.
Ich habe es versucht:
- Durch das öffentliche OpenSSH-Zertifikat von Hashicorp Vault generiertes Sign.
- Geben Sie ein Zertifikatsschlüsselpaar mit derselben SSH-Engine in Vault aus.
In beiden Fällen schreibt OpenSSH unter Windows den Fehler: sshd: Fehler: Der öffentliche Schlüssel für PROGRAMDATA/ssh/ssh_host_ed25519_key stimmt nicht mit dem privaten Schlüssel überein.
SSH-Keyscan von einem anderen Host zeigt, dass der Windows-Host einen Kurzschlüssel zurückgibt, der nicht signiert ist und dynamisch basierend auf dem privaten Schlüssel generiert wird
Antwort1
Signierte öffentliche Schlüssel sollten am Ende mit „cert“ benannt werden. Beispiel: ssh_host_ed25519_key-cert.pub. Leider ist dies in den OpenSSH-Dokumenten nicht klar beschrieben. Sie finden es im ssh-keysign-Handbuch:https://man.openbsd.org/ssh-keysign.8