Я создал такой сертификат ssh:
ssh-keygen -f ca_key # генерировать пару ключей ssh для использования в качестве сертификатаssh-keygen -s ca_key -I cert_identifier -h host_key.pubTrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pubssh-keygen -s ca_key -I cert_identifier user_key.pub. Это должно сгенерировать user_key-cert.pubТеперь я могу войти на сервер, используя ssh -i user_key user@host (который использует user_key-cert.pub). Как я могу отозвать сертификат, кроме отключения файла TrustedUserCAKeys?
sshd_config имеет файл RevokedKeys. В нем можно указать несколько ключей или сертификатов, по одному в каждой строке. В будущем OpenSSH будет поддерживать отзыв по серийному номеру сертификата, что приведет к уменьшению списков отзыва.
Они могут быть вам интересны:
CARevocationFile /path/to/bundle.crl Этот файл содержит несколько "Списков отзыва сертификатов" (CRL) подписантов сертификатов в формате PEM, объединенных вместе.
CARevocationPath / path / to / CRLs / "Hash dir" с "списком отзыва сертификатов" (CRL) подписантов сертификатов. Каждый CRL должен храниться в отдельном файле с именем [HASH] .r [NUMBER], где [HASH] - хеш-значение CRL, а [NUMBER] - целое число, начинающееся с нуля. Хеш - результат такой команды: $ openssl crl -in crl_file_name -noout -hash
(первые 3 запроса Google по запросу "ssh ca revoke" ...)