Queremos probar una conexión con OpenSSH usando certificados X509 usandoHorquilla pkixssh de Roumen Petrov.
Realmente no entiendo cómo funciona la autenticación completa y especialmente cómo crear los certificados con los estándares X509 para la validación de certificados de clave pública.
Entonces explicaré primero cómo lo entiendo y el proceso completo que seguiré para probar una conexión entre un"cliente"y un"servidor"máquina con bifurcación PKIXSSH de OpenSSH, utilizando certificados X509. Para realizar la prueba utilizaremos una tercera máquina, a la que llamaremos"maquina de control", máquina que actuará como “Autoridad de Certificación”
Para entender cómo funciona he leído los siguientes documentos:
- "Acceso escalable y seguro con SSH", de Facebook: muy útil para entender cuál es el papel de una autoridad de certificación en la validación de claves públicas.
- "CÓMO Certificados SSH y X509", de los foros de discusión de Gentoo: Un tutorial realmente bueno y necesario
- "Certificados x509 para SSH", publicación del blog "Linux Attitude": otro tutorial, este en francés
En un breve resumen, y si lo he entendido bien, así es como funciona:
- X509 es un estándar para firmar claves públicas. Las claves públicas firmadas se consideran válidas si se conoce la Autoridad de Certificación.
- Podemos firmar claves públicas para hosts y usuarios.
- Con los certificados X509 podemos iniciar sesión en un servidor OpenSSH sin utilizar contraseñas y sin utilizar la autenticación tradicional de clave pública-privada OpenSSH. Esto significa queno se deben copiar claves públicas de usuario en los servidores de destino.
- Si utilizamos certificados X509 para hosts, el cliente confiará en el servidor OpenSSH sin necesidad de agregar manualmente su clave pública en el archivoknown_host.
Queremos hacer dos pruebas:
- Pruebe la conexión de un usuario desde la máquina cliente al servidor utilizando un certificado X509
- En un segundo paso, agregue autenticación para el host del servidor.
He llegado a la conclusión de que se deben seguir los siguientes pasos
En la máquina de "control":
- Configurar y crear las claves para nuestra autoridad de certificación de pruebas.
- Enviar la clave pública de la autoridad de certificación al demonio OpenSSH de la máquina "servidor", para que nuestra CA sea reconocida
En la máquina "cliente":
- crear la clave privada y la clave pública para el usuario
- enviar la clave pública a la máquina de control para que la firme la ca
- agregue el certificado al archivo de clave privada para que se presente al servidor
En este punto todo debería estar en su lugar, para que podamos probar la conexión.
¿Lo he entendido correctamente?
Respuesta1
Por fin he entendido y probado la conexión :-).
Escribí una publicación en un blog que acabo de implementar (de manera rápida y sucia, el blog es simple y no muy bonito, pero sí útil).
Puedes leer una descripción completa de la prueba en el artículo."OpenSSH con certificados X509 CÓMO"
Muchas gracias a Roumen Petrov por sus respuestas a mi correo electrónico en la lista de correo del producto.