Windows Server 2019의 OpenSSH는 ssh-keygen이 아닌 PowerShell을 통해 생성된 클라이언트 인증서를 사용할 수 있나요?

Question

예, 아니오. 그러나 대부분은 그렇지 않습니다.

OpenSSH 클라이언트는 X.509 인증서 형식이나 PKCS#12(.pfx) 개인 키 형식을 인식하지 못하며 Windows CAPI에 저장된 어떤 항목에도 액세스할 수 없습니다. 그것은 사용할 수 있습니다열쇠하지만 먼저 적절한 형식으로 추출해야 합니다.
마찬가지로, OpenSSH 서버는 X.509 인증서를authorized_keys에 넣는 것을 허용하지 않으며(동일한 공개 키 추출을 수행해야 함) 루트 기관에 대해 이를 확인하는 방법도 전혀 모릅니다.
직접적인 X.509 인증서 사용을 지원하는 타사 포크인 Roumen Petrov의 "PKIX-SSH"가 있습니다. (하지만 .pfx 또는 CAPI 개인 키 로드를 지원하지 않는 것 같습니다. 여전히 변환해야 할 가능성이 높습니다. PEM 또는 PKCS#8 형식으로).
그러나 Windows에서는 Windows CAPI에 저장된 인증서를 지원하는 PuTTY-CAC(널리 사용되는 PuTTY 포크)를 선호할 것입니다.

내가 그랬어예상하다Microsoft는 CAPI에서 인증서와 키를 사용할 수 있도록 OpenSSH 포트를 조정했지만 대신 기존 ssh-agent를 사용했습니다.

Answer 1

예, 아니오. 그러나 대부분은 그렇지 않습니다.

OpenSSH 클라이언트는 X.509 인증서 형식이나 PKCS#12(.pfx) 개인 키 형식을 인식하지 못하며 Windows CAPI에 저장된 어떤 항목에도 액세스할 수 없습니다. 그것은 사용할 수 있습니다열쇠하지만 먼저 적절한 형식으로 추출해야 합니다.
마찬가지로, OpenSSH 서버는 X.509 인증서를authorized_keys에 넣는 것을 허용하지 않으며(동일한 공개 키 추출을 수행해야 함) 루트 기관에 대해 이를 확인하는 방법도 전혀 모릅니다.
직접적인 X.509 인증서 사용을 지원하는 타사 포크인 Roumen Petrov의 "PKIX-SSH"가 있습니다. (하지만 .pfx 또는 CAPI 개인 키 로드를 지원하지 않는 것 같습니다. 여전히 변환해야 할 가능성이 높습니다. PEM 또는 PKCS#8 형식으로).
그러나 Windows에서는 Windows CAPI에 저장된 인증서를 지원하는 PuTTY-CAC(널리 사용되는 PuTTY 포크)를 선호할 것입니다.

내가 그랬어예상하다Microsoft는 CAPI에서 인증서와 키를 사용할 수 있도록 OpenSSH 포트를 조정했지만 대신 기존 ssh-agent를 사용했습니다.

관련 정보