到目前為止,我在其他地方找不到這個問題。如果有的話請告訴我。
我的一位老員工習慣使用我們產生的 pem 檔案(我不知道何時)來登入我們的 freebsd 伺服器,而無需使用憑證。他已經離開公司,我們想撤銷該 pem 文件,以避免他登入我們的伺服器。有什麼方法可以停用/無效/撤銷 pem 檔案嗎?
謝謝
答案1
authorized_keys您需要從伺服器上的使用者檔案中刪除使用者的公鑰。預設位置是.ssh使用者主目錄中的目錄。例如,對於用戶部落格該文件將為/home/bloggs/.ssh/authorized_keys.
該文件將包含與用戶的私鑰相對應的公鑰部落格可以用來登入您的伺服器。如果部落格已離開公司,則只需刪除所有條目即可。更好的是,刪除他/她的帳戶。
如果這是共享帳戶,您需要找出該文件中的哪些公鑰對應於私鑰部落格仍然可以存取並刪除那些。刪除錯誤的使用者就會將合法使用者拒於門外。幸運的是,文件中的許多條目authorized_keys在密鑰末尾都有包含用戶詳細資訊的註釋。這可以幫助您清除需要刪除的密鑰。
答案2
這取決於他登入的服務。大多數使用 SSL 的應用程式都有一個可選的 RevokedKeys 選項,該選項連結到包含已撤銷金鑰清單的檔案。這些文件通常是“crl”文件 - 谷歌搜尋密鑰撤銷(服務)應該為您提供準確的資訊。
此選項的名稱將根據服務而有所不同 - OpenVPN 呼叫參數 crl-verify,Apache 用戶端憑證使用 SSLCARe VocationPath,ngix 使用 ssl_crl