Realmente no estoy seguro de las diferencias principales entre cada uno, pero ¿puede OpenSSH en Windows Server 2019 emplear certificados de cliente creados a través de PowerShell (*.pfx,.cer) en lugar de utilizar pares de claves pública/privada (.pub, *.) generado a través de ssh-keygen?
Respuesta1
Sí y no, pero sobre todo no.
El cliente OpenSSH no comprende el formato de certificado X.509 ni el formato de clave privada PKCS#12 (.pfx) y tampoco puede acceder a nada almacenado en Windows CAPI. Puede utilizar elllavesellos mismos, pero primero deben extraerse en el formato apropiado.
Del mismo modo, el servidor OpenSSH no le permite colocar certificados X.509 en claves_autorizadas (tendría que realizar la misma extracción de clave pública) y tampoco tiene la menor idea de cómo verificarlos con las autoridades raíz.
Hay una bifurcación de terceros, "PKIX-SSH" de Roumen Petrov, que admite el uso directo de certificados X.509 (pero no creo que admita la carga de claves privadas .pfx o CAPI; lo más probable es que aún necesites convertirlas). en formato PEM o PKCS#8).
Sin embargo, en Windows, probablemente prefiera PuTTY-CAC (una bifurcación de PuTTY ampliamente utilizada) que admite certificados almacenados en Windows CAPI.
HiceesperarMicrosoft adaptará su puerto OpenSSH para poder usar certificados y claves en CAPI, pero en su lugar optaron por el agente ssh tradicional...