Сервер службы сертификации SSH +?

Можно ли настроить SSH (например, через pam), чтобы проверить открытый ключ подключающегося клиента на сервере CA? Я пробовал с gnupg (через gpg-agent --daemon --enable-ssh-support ), а также попытался работать с OpenCA, который был предназначен для установки только для установки. Кроме того, документация ужасает, когда дело доходит до них обоих.

То, что я хотел бы сделать, – это нечто вроде:
[Клиент] –SSH -> «Сервер» <—> [Сервер CA]

Вся платформа основана на nix, и теперь я открыт для предложений, потому что сейчас я застрял на этом.

GnuPG

Я установил его в базовом режиме, как можно дальше, следуя этим руководствам:

  • http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/
  • https://wiki.archlinux.org/index.php/GnuPG

Моя первоначальная мысль заключалась в том, чтобы настроить мой собственный «ключ-сервер», который gpg может отправлять и проверять на наличие ключей, но нет никакой информации об этом, что так когда-либо (или, по крайней мере, никому, что я мог найти).

И из того, что я понимаю, я должен был бы сделать ssh-add -l чтобы перечислить все мои ключи, но это дает мне: у The agent has no identities. что не так странно, потому что я никогда не указывал, где их брать, но «он должен просто работать» (…?).

Gpg.conf выглядит так:

 ... lots of default ... personal-digest-preferences SHA512 cert-digest-algo SHA512 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed homedir /etc/gnupg use-agent 

и мой gpg-agent.conf :

 pinentry-program /usr/bin/pinentry-curses default-cache-ttl 10800 default-cache-ttl-ssh 10800 write-env-file /etc/gnupg/.gpg-agent-info enable-ssh-support 

И просто чтобы убедиться, что у меня есть ключ и gpg отвечает:

 ~]# gpg --list-keys /etc/gnupg/pubring.gpg ---------------------- pub 4096R/#######2 2013-12-10 [expired: 2014-12-10] uid Anton (...) <mail> sub 4096R/#######5 2013-12-10 [expires: 2014-12-10] 

OpenCA

Когда, наконец, все было на месте и началось, я попал на веб-сайт, в котором говорится, что моя «симметричная длина ключа – короткая», и я не могу пройти мимо этого.

  • SSH не прослушивает порт 443
  • Как отслеживать время соединения ssh, время отключения и время простоя?
  • Есть ли способ иметь регулярное выражение в ~ / .ssh / config
  • Блокировка SSH: подозрительная локальная проблема, а не удаленная
  • Почему этот сценарий оболочки терпит неудачу в bash, но команды работают в SSH?
  • Как я могу добраться до удаленного ssh-сервера через свой http-прокси (80-й порт)?
  • SSH Основные разрешения Настройки Chmod?
  • Условия, отправленные через ssh, выполняются локально, а не удаленно
  • shorewall / iptables - ограничение исходящих портов пользователем
  • Как я могу определить, содержит ли чей-то SSH-ключ пустую кодовую фразу?
  • ssh settings `allowopen =" localhost: 4000 "` не ограничивает перенаправление удаленных портов
  • Linux и Unix - лучшая ОС в мире.