ssh-keygen - عبر الإنترنت في السحابة

برنامج:

اسم

سه-كجن - توليد مفتاح المصادقة وإدارته وتحويله

موجز

سه-كجن [-q] [-b بت] [-t DSA | إكسدسا | ed25519 | آر إس إيه | rsa1] [-N new_passphrase]
[-C التعليق] [-f input_keyfile]
سه-كجن -p [-P old_passphrase] [-N new_passphrase] [-f ملف مفتاح]
سه-كجن -i [-m key_format] [-f input_keyfile]
سه-كجن -e [-m key_format] [-f input_keyfile]
سه-كجن -y [-f input_keyfile]
سه-كجن -c [-P عبارة المرور] [-C التعليق] [-f ملف مفتاح]
سه-كجن -l [-v] [-E بصمة_هاش] [-f input_keyfile]
سه-كجن -B [-f input_keyfile]
سه-كجن -D pkcs11
سه-كجن -F اسم المضيف [-f known_hosts_file] [-l]
سه-كجن -H [-f known_hosts_file]
سه-كجن -R اسم المضيف [-f known_hosts_file]
سه-كجن -r اسم المضيف [-f input_keyfile] [-g]
سه-كجن -G ملف إلاخراج [-v] [-b بت] [-M ذاكرة] [-S نقطة البداية]
سه-كجن -T ملف إلاخراج -f ملف_المدخلات [-v] [-a جولات] [-J عدد_الأسطر] [-j خط البداية]
[-K com.checkpt] [-W مولد كهربائي]
سه-كجن -s ca_key -I هوية_شهادة [-h] [-n مدراء] [-O خيار]
[-V Validity_interval] [-z رقم سري] ملف
سه-كجن -L [-f input_keyfile]
سه-كجن -A
سه-كجن -k -f krl_file [-u] [-s ca_public] [-z رقم الإصدار] ملف
سه-كجن -Q -f krl_file ملف

الوصف

سه-كجن يولد ويدير ويحول مفاتيح المصادقة لـ سه(1). سه-كجن يمكن
إنشاء مفاتيح للاستخدام من خلال إصدارات بروتوكول SSH 1 و 2. يجب عدم استخدام البروتوكول 1 وهو كذلك
عرضت فقط لدعم الأجهزة القديمة. يعاني من عدد من التشفير
نقاط ضعف ولا يدعم العديد من الميزات المتقدمة المتاحة للبروتوكول 2.

يتم تحديد نوع المفتاح المراد إنشاؤه بامتداد -t خيار. إذا تم الاحتجاج به دون أي
الحجج، سه-كجن سيُنشئ مفتاح RSA للاستخدام في اتصالات بروتوكول SSH 2.

سه-كجن يستخدم أيضًا لإنشاء مجموعات لاستخدامها في تبادل مجموعة Diffie-Hellman (DH-
GEX). انظر مودولي GENERATION قسم لمزيد من التفاصيل.

وفي الختام سه-كجن يمكن استخدامها لإنشاء وتحديث قوائم إبطال المفاتيح ، ولاختبار
سواء تم إبطال المفاتيح المعطاة من قبل أحد. انظر KEY إبطال LISTS قسم ل
تفاصيل.

عادةً ما يقوم كل مستخدم يرغب في استخدام SSH مع مصادقة المفتاح العام بتشغيل هذا مرة واحدة إلى
إنشاء مفتاح المصادقة في ~ / .ssh / هوية, ~ / .ssh / id_dsa, ~ / .ssh / id_ecdsa,
~ / .ssh / id_ed25519 or ~ / .ssh / id_rsa. بالإضافة إلى ذلك ، قد يستخدم مسؤول النظام هذا لـ
توليد مفاتيح المضيف.

عادةً ما يُنشئ هذا البرنامج المفتاح ويطلب ملفًا لتخزين الملف الخاص
مفتاح. يتم تخزين المفتاح العام في ملف يحمل نفس الاسم ولكن ملحق ".pub". ال
يطلب البرنامج أيضًا عبارة مرور. قد تكون عبارة المرور فارغة للإشارة إلى عدم وجود عبارة مرور
(يجب أن تحتوي مفاتيح المضيف على عبارة مرور فارغة) ، أو قد تكون سلسلة ذات طول عشوائي. أ
تشبه عبارة المرور كلمة المرور ، إلا أنها يمكن أن تكون عبارة تحتوي على سلسلة من الكلمات ،
علامات الترقيم أو الأرقام أو المسافات البيضاء أو أي سلسلة من الأحرف تريدها. عبارات مرور جيدة
تتكون من 10 إلى 30 حرفًا ، وهي ليست جملًا بسيطة أو يمكن تخمينها بسهولة (الإنجليزية
النثر لديه 1-2 بت فقط من إنتروبيا لكل شخصية ، ويوفر عبارات مرور سيئة للغاية) ، و
تحتوي على مزيج من الأحرف الكبيرة والصغيرة والأرقام والأحرف غير الأبجدية الرقمية. ال
يمكن تغيير عبارة المرور لاحقًا باستخدام -p الخيار.

لا توجد طريقة لاستعادة عبارة المرور المفقودة. إذا فقدت عبارة المرور أو نسيتها ، فإن ملف
يجب إنشاء المفتاح ونسخ المفتاح العمومي المقابل إلى أجهزة أخرى.

بالنسبة لمفاتيح RSA1 ، يوجد أيضًا حقل تعليق في ملف المفتاح مخصص فقط للراحة
المستخدم للمساعدة في التعرف على المفتاح. يمكن أن يخبر التعليق ما هو المفتاح ، أو أي شيء آخر
مفيد. تتم تهيئة التعليق إلى "user @ host" عندما يتم إنشاء المفتاح ، ولكن يمكن ذلك
تغيرت باستخدام -c الخيار.

بعد إنشاء المفتاح ، توضح الإرشادات الواردة أدناه المكان الذي يجب وضع المفاتيح فيه
مفعل.

الخيارات كالتالي:

-A لكل نوع من أنواع المفاتيح (rsa1 و rsa و dsa و ecdsa و ed25519) التي تعمل مفاتيح المضيف عليها
غير موجود ، قم بإنشاء مفاتيح المضيف باستخدام مسار ملف المفتاح الافتراضي ، وهو ملف
عبارة المرور والبتات الافتراضية لنوع المفتاح والتعليق الافتراضي. هذا مستخدم من قبل
نصوص إدارة النظام لإنشاء مفاتيح مضيف جديدة.

-a جولات
عند حفظ مفتاح خاص بتنسيق جديد (على سبيل المثال ، مفتاح ed25519 أو أي مفتاح بروتوكول SSH 2
عندما -o تم تعيين العلم) ، يحدد هذا الخيار عدد KDF (اشتقاق المفتاح
الدالة) الجولات المستخدمة. تؤدي الأرقام الأكبر إلى إبطاء التحقق من عبارة المرور و
زيادة المقاومة لتكسير كلمات المرور بالقوة الغاشمة (في حالة سرقة المفاتيح).

عند فحص مرشحات DH-GEX (باستخدام ملف -T يأمر). يحدد هذا الخيار ملف
عدد الاختبارات البدائية التي يجب إجراؤها.

-B إظهار ملخص الفقاعة التفسيرية لملف مفتاح خاص أو عام محدد.

-b بت
يحدد عدد وحدات البت في المفتاح المراد إنشاؤها. بالنسبة لمفاتيح RSA ، الحد الأدنى للحجم
هو 1024 بت والافتراضي هو 2048 بت. بشكل عام ، يتم اعتبار 2048 بت
كافٍ. يجب أن تكون مفاتيح DSA بالضبط 1024 بت كما هو محدد بواسطة FIPS 186-2. ل
مفاتيح ECDSA ، و -b يحدد العلم طول المفتاح عن طريق الاختيار من بين ثلاثة
أحجام المنحنى البيضاوي: 256 أو 384 أو 521 بت. محاولة استخدام أطوال بت أخرى
من هذه القيم الثلاث لمفاتيح ECDSA ستفشل. مفاتيح Ed25519 لها طول ثابت
و -b سيتم تجاهل العلم.

-C التعليق
يقدم تعليقاً جديداً.

-c يطلب تغيير التعليق في ملفات المفاتيح الخاصة والعامة. هذه العملية
مدعوم فقط لمفاتيح RSA1. سيطالبك البرنامج بالملف الذي يحتوي على
المفاتيح الخاصة ، لعبارة المرور إذا كان المفتاح يحتوي على واحدة ، وللتعليق الجديد.

-D pkcs11
قم بتنزيل مفاتيح RSA العامة التي توفرها مكتبة PKCS # 11 المشتركة pkcs11. عندما
تستخدم بالاشتراك مع -s، يشير هذا الخيار إلى أن مفتاح CA موجود في ملف
رمز PKCS # 11 (انظر ملف شهادات للحصول على التفاصيل).

-E بصمة_هاش
يحدد خوارزمية التجزئة المستخدمة عند عرض بصمات المفاتيح. خيارات صالحة
هي: “md5” و “sha256”. الافتراضي هو "sha256".

-e سيقرأ هذا الخيار ملف مفتاح OpenSSH خاصًا أو عامًا ويطبع إلى stdout
مفتاح بأحد التنسيقات المحددة بواسطة -m خيار. تنسيق التصدير الافتراضي هو
"RFC4716". يسمح هذا الخيار بتصدير مفاتيح OpenSSH لتستخدمها برامج أخرى ،
بما في ذلك العديد من تطبيقات SSH التجارية.

-F اسم المضيف
ابحث عن المحدد اسم المضيف في known_hosts ملف ، مع سرد أي تكرارات
وجد. يفيد هذا الخيار في العثور على أسماء أو عناوين مضيف مجزأة وقد يكون كذلك
تستخدم بالاقتران مع -H خيار لطباعة المفاتيح الموجودة بتنسيق مجزأ.

-f اسم الملف
يحدد اسم ملف المفتاح.

-G ملف إلاخراج
توليد الأعداد الأولية المرشحة لـ DH-GEX. يجب فحص هذه الأعداد الأولية للتأكد من سلامتها
(باستخدام -T الخيار) قبل الاستخدام.

-g استخدم تنسيق DNS العام عند طباعة سجلات موارد بصمات الأصابع باستخدام ملف -r
أمر.

-H تجزئة أ known_hosts ملف. هذا يستبدل جميع أسماء المضيفين والعناوين بالمجزأة
تمثيلات داخل الملف المحدد ؛ يتم نقل المحتوى الأصلي إلى ملف
مع لاحقة قديمة. يمكن استخدام هذه التجزئة بشكل طبيعي بواسطة سه سشدلكنهم يفعلون
لا تكشف عن معلومات التعريف في حالة الكشف عن محتويات الملف. هذا
لن يقوم الخيار بتعديل أسماء المضيفات المجزأة الحالية وبالتالي فهو آمن للاستخدام على
الملفات التي تمزج بين الأسماء المجزأة وغير المجزأة.

-h عند توقيع مفتاح ، أنشئ شهادة مضيف بدلاً من شهادة مستخدم. لو سمحت
راجع شهادات قسم لمزيد من التفاصيل.

-I هوية_شهادة
حدد هوية المفتاح عند توقيع مفتاح عمومي. الرجاء مراجعة شهادات
قسم لمزيد من التفاصيل.

-i سيقرأ هذا الخيار ملف مفتاح خاص (أو عام) غير مشفر بالتنسيق
المحدد بواسطة -m الخيار وطباعة مفتاح خاص (أو عام) متوافق مع OpenSSH
إلى stdout. يسمح هذا الخيار باستيراد مفاتيح من برامج أخرى ، بما في ذلك العديد
تطبيقات SSH التجارية. تنسيق الاستيراد الافتراضي هو "RFC4716".

-J عدد_الأسطر
اخرج بعد فحص عدد الخطوط المحددة أثناء أداء مرشح DH
الفرز باستخدام ملف -T الخيار.

-j خط البداية
ابدأ الفرز عند رقم السطر المحدد أثناء إجراء فحص مرشح DH
يستخدم ال -T الخيار.

-K com.checkpt
اكتب آخر سطر تمت معالجته في الملف com.checkpt أثناء أداء مرشح DH
الفرز باستخدام ملف -T خيار. سيتم استخدام هذا لتخطي الأسطر في ملف الإدخال
التي تمت معالجتها بالفعل في حالة إعادة تشغيل الوظيفة.

-k قم بإنشاء ملف KRL. في هذا الوضع ، سه-كجن سيولد ملف KRL في الامتداد
الموقع المحدد عبر -f العلم الذي يبطل كل مفتاح أو شهادة مقدمة
في سطر الأوامر. المفاتيح / الشهادات التي سيتم إبطالها يمكن تحديدها بواسطة المفتاح العام
ملف أو باستخدام التنسيق الموضح في ملف KEY إبطال LISTS والقسم الخاص به.

-L يطبع محتويات شهادة واحدة أو أكثر.

-l إظهار بصمة ملف المفتاح العام المحدد. مفاتيح RSA1 الخاصة هي أيضًا
أيد. لمفاتيح RSA و DSA سه-كجن يحاول العثور على المفتاح العمومي المطابق
ملف ويطبع بصماته. إذا تم دمجها مع -v، تمثيل فني ASCII
من المفتاح مع بصمة الإصبع.

-M ذاكرة
حدد حجم الذاكرة المراد استخدامها (بالميغابايت) عند إنشاء وحدات مرشحة
لـ DH-GEX.

-m key_format
حدد تنسيق مفتاح لملف -i (استيراد) أو -e (تصدير) خيارات التحويل. ال
تنسيقات المفاتيح المدعومة هي: "RFC4716" (RFC 4716 / SSH2 مفتاح عام أو خاص) ، "PKCS8"
(المفتاح العام PEM PKCS8) أو "PEM" (المفتاح العام PEM). تنسيق التحويل الافتراضي هو
"RFC4716".

-N new_passphrase
يوفر عبارة المرور الجديدة.

-n مدراء
حدد أساسيًا واحدًا أو أكثر (اسم مستخدم أو مضيف) ليتم تضمينه في الشهادة
عند توقيع مفتاح. يمكن تحديد مبادئ أساسية متعددة ، مفصولة بفواصل.
يرجى الاطلاع على شهادات قسم لمزيد من التفاصيل.

-O خيار
حدد خيار الشهادة عند توقيع مفتاح. قد يتم تحديد هذا الخيار
عدة مرات. الرجاء مراجعة شهادات قسم للحصول على التفاصيل. الخيارات التي
صالحة لشهادات المستخدم هي:

واضح امسح جميع الأذونات الممكّنة. هذا مفيد لمسح المجموعة الافتراضية
من الأذونات لذلك يمكن إضافة الأذونات بشكل فردي.

قيادة القوة=أمر
يفرض تنفيذ أمر بدلاً من أي قذيفة أو أمر محدد بواسطة
المستخدم عند استخدام الشهادة للمصادقة.

لا وكيل الشحن
تعطيل سه وكيل(1) إعادة التوجيه (مسموح به افتراضيًا).

لا ميناء الشحن
تعطيل إعادة توجيه المنفذ (مسموح به افتراضيًا).

لا pty تعطيل تخصيص PTY (مسموح به افتراضيًا).

لا يوجد مستخدم RC
تعطيل تنفيذ ~ / .ssh / rc by سشد(8) (مسموح بشكل افتراضي).

لا x11 إعادة توجيه
تعطيل إعادة توجيه X11 (مسموح به افتراضيًا).

تصريح وكيل الشحن
يسمح سه وكيل(1) إعادة توجيه.

تصريح ميناء الشحن
يسمح بإعادة توجيه المنفذ.

تصريح pty
يسمح بتخصيص PTY.

تصريح المستخدم- RC
يسمح بتنفيذ ~ / .ssh / rc by سشد(8).

تصريح- x11- إعادة توجيه
يسمح بإعادة توجيه X11.

عنوان المصدر=عنوان_قائمة
تقييد عناوين المصدر التي يتم اعتبار الشهادة منها
صالح. ال عنوان_قائمة هي قائمة مفصولة بفواصل تتكون من واحد أو أكثر
أزواج العنوان / قناع الشبكة بتنسيق CIDR.

في الوقت الحالي ، لا توجد خيارات صالحة لمفاتيح المضيف.

-o الأسباب سه-كجن لحفظ المفاتيح الخاصة باستخدام تنسيق OpenSSH الجديد بدلاً من تنسيق
تنسيق PEM أكثر توافقًا. زاد الشكل الجديد من مقاومة القوة الغاشمة
اختراق كلمة المرور ولكن لا تدعمه إصدارات OpenSSH السابقة للإصدار 6.5. Ed25519
تستخدم المفاتيح دائمًا تنسيق المفتاح الخاص الجديد.

-P عبارة المرور
يقدم عبارة المرور (القديمة).

-p يطلب تغيير عبارة مرور ملف مفتاح خاص بدلاً من إنشاء ملف
مفتاح سري. سيطالبك البرنامج بالملف الذي يحتوي على المفتاح الخاص ، لـ
عبارة المرور القديمة ومرتين لعبارة المرور الجديدة.

-Q اختبار ما إذا كان قد تم إبطال المفاتيح في KRL.

-q الصمت سه-كجن.

-R اسم المضيف
يزيل جميع المفاتيح التي تنتمي إلى اسم المضيف من known_hosts ملف. هذا الخيار هو
مفيد لحذف المضيفات المجزأة (راجع ملف -H الخيار أعلاه).

-r اسم المضيف
اطبع سجل مورد بصمة SSHFP المسمى اسم المضيف للجمهور المحدد
ملف مفتاح.

-S بداية
حدد نقطة البداية (في شكل سداسي عشري) عند إنشاء نماذج مرشح لـ DH-GEX.

-s ca_key
المصادقة على (التوقيع) مفتاح عمومي باستخدام مفتاح CA المحدد. الرجاء مراجعة شهادات
قسم لمزيد من التفاصيل.

عند إنشاء KRL ، -s يحدد مسار ملف المفتاح العام CA المستخدم للإلغاء
الشهادات مباشرة عن طريق معرف المفتاح أو الرقم التسلسلي. انظر KEY إبطال LISTS
قسم لمزيد من التفاصيل.

-T ملف إلاخراج
اختبار الأعداد الأولية لمرشح تبادل مجموعة DH (تم إنشاؤها باستخدام ملف -G الخيار) للسلامة.

-t DSA | إكسدسا | ed25519 | آر إس إيه | rsa1
يحدد نوع المفتاح المراد إنشاؤه. القيم المحتملة هي "rsa1" للبروتوكول
الإصدار 1 و "dsa" أو "ecdsa" أو "ed25519" أو "rsa" لإصدار البروتوكول 2.

-u قم بتحديث ملف KRL. عند التحديد بـ -k، تتم إضافة المفاتيح المدرجة عبر سطر الأوامر إلى
يتم إنشاء KRL الحالي بدلاً من KRL الجديد.

-V Validity_interval
حدد فترة صلاحية عند توقيع الشهادة. فترة الصلاحية قد
تتكون من مرة واحدة ، مما يشير إلى أن الشهادة صالحة ابتداءً من الآن و
تنتهي صلاحيتها في ذلك الوقت ، أو قد تتكون من مرتين مفصولة بنقطتين للإشارة
فترة زمنية صريحة. يمكن تحديد وقت البدء كتاريخ في YYYYMMDD
تنسيق ، وقت بتنسيق YYYYMMDDHHMMSS أو وقت نسبي (إلى الوقت الحالي)
تتكون من علامة ناقص متبوعة بوقت نسبي بالتنسيق الموصوف في
قسم تنسيقات الوقت من sshd_config(5). يمكن تحديد وقت الانتهاء كملف
تاريخ YYYYMMDD ، وقت YYYYMMDDHHMMSS أو وقت نسبي يبدأ بعلامة الجمع
حرف.

على سبيل المثال: "+ 52w1d" (صالح من الآن إلى 52 أسبوعًا ويوم واحد من الآن) ، "-4w: + 4w"
(صالحة من أربعة أسابيع مضت إلى أربعة أسابيع من الآن) ، "20100101123000: 20110101123000"
(صالح من 12:30 ظهرًا ، 1 يناير 2010 إلى 12:30 ظهرًا ، 1 يناير 2011) ،
"-1d: 20110101" (صالح من الأمس حتى منتصف الليل ، 1 يناير 2011).

-v وضع مفصل. الأسباب سه-كجن لطباعة رسائل تصحيح الأخطاء حول تقدمه.
هذا مفيد لتصحيح أخطاء إنشاء النماذج. عديد -v الخيارات تزيد من
الإسهاب. الحد الأقصى هو 3.

-W مولد كهربائي
حدد المولد المطلوب عند اختبار الوحدات المرشحة لـ DH-GEX.

-y سيقرأ هذا الخيار ملف تنسيق OpenSSH خاص ويطبع مفتاح OpenSSH العمومي
إلى stdout.

-z رقم سري
يحدد رقمًا تسلسليًا ليتم تضمينه في الشهادة لتمييز ذلك
شهادة من آخرين من نفس المرجع المصدق. الرقم التسلسلي الافتراضي هو صفر.

عند إنشاء KRL ، فإن ملف -z يتم استخدام العلم لتحديد رقم إصدار KRL.

مودولي GENERATION

سه-كجن يمكن استخدامها لإنشاء مجموعات لتبادل مجموعة Diffie-Hellman (DH-GEX)
بروتوكول. إن إنشاء هذه المجموعات هو عملية من خطوتين: أولاً ، الأعداد الأولية المرشحة هي
تم إنشاؤه باستخدام عملية سريعة ولكنها تستهلك الكثير من الذاكرة. ثم هذه الأعداد الأولية المرشحة
تم اختباره من أجل الملاءمة (عملية مكثفة لوحدة المعالجة المركزية).

يتم تنفيذ توليد الأعداد الأولية باستخدام -G خيار. الطول المطلوب للأعداد الأولية قد
يتم تحديدها بواسطة -b اختيار. فمثلا:

# ssh-keygen -G moduli-2048.candidates -b 2048

بشكل افتراضي ، يبدأ البحث عن الأعداد الأولية عند نقطة عشوائية في نطاق الطول المطلوب.
قد يتم تجاوز هذا باستخدام -S الخيار ، الذي يحدد نقطة بداية مختلفة (بتنسيق
عرافة).

بمجرد إنشاء مجموعة من المرشحين ، يجب فحصهم للتأكد من ملاءمتهم. هذا
يمكن إجراؤها باستخدام ملف -T خيار. في هذا الوضع سه-كجن سيقرأ المرشحين من
الإدخال القياسي (أو ملف محدد باستخدام امتداد -f خيار). على سبيل المثال:

# ssh-keygen -T moduli-2048 -f moduli-2048.candidates

بشكل افتراضي ، سيخضع كل مرشح لـ 100 اختبار بدائية. قد يتم تجاوز هذا
يستخدم ال -a خيار. سيتم اختيار قيمة مولد DH تلقائيًا للرقم الأولي
في الحسبان. إذا كان مطلوبًا مولدًا معينًا ، فقد يُطلب ذلك باستخدام -W
خيار. قيم المولد الصالحة هي 2 و 3 و 5.

قد يتم تثبيت مجموعات DH التي تم فحصها في / etc / ssh / moduli. من المهم أن هذا الملف
يحتوي على نماذج لمجموعة من أطوال البت وأن طرفي الاتصال مشتركان
نماذج.

شهادات

سه-كجن يدعم توقيع المفاتيح لإنتاج الشهادات التي يمكن استخدامها للمستخدم أو
مصادقة المضيف. تتكون الشهادات من مفتاح عام ، بعض معلومات الهوية ، صفر
أو أسماء رئيسية (مستخدم أو مضيف) ومجموعة من الخيارات التي تم توقيعها بواسطة
مفتاح المرجع المصدق (CA). قد يثق العملاء أو الخوادم عندئذٍ فقط في مفتاح CA و
تحقق من توقيعه على شهادة بدلاً من الوثوق بالعديد من مفاتيح المستخدم / المضيف. لاحظ أن
تعد شهادات OpenSSH تنسيقًا مختلفًا وأبسط بكثير لشهادات X.509
المستخدمة في SSL(8).

سه-كجن يدعم نوعين من الشهادات: المستخدم والمضيف. شهادات المستخدم
مصادقة المستخدمين على الخوادم ، بينما تصادق شهادات المضيف مضيفات الخادم للمستخدمين.
لإنشاء شهادة مستخدم:

$ ssh-keygen -s / path / to / ca_key -I key_id /path/to/user_key.pub

سيتم وضع الشهادة الناتجة في /path/to/user_key-cert.pub. شهادة مضيفة
يتطلب -h الخيار:

$ ssh-keygen -s / path / to / ca_key -I key_id -h /path/to/host_key.pub

سيتم إخراج شهادة المضيف إلى /path/to/host_key-cert.pub.

من الممكن التوقيع باستخدام مفتاح CA مخزّن في رمز PKCS # 11 من خلال توفير الرمز المميز
مكتبة باستخدام -D وتحديد مفتاح CA من خلال تقديم النصف العام كحجة لـ
-s:

$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub

في جميع الحالات، key_id هو "معرف مفتاح" يتم تسجيله من قبل الخادم عند الشهادة
يستخدم للمصادقة.

قد تكون الشهادات محدودة لتكون صالحة لمجموعة من الأسماء الرئيسية (مستخدم / مضيف). بواسطة
الشهادات الافتراضية التي تم إنشاؤها صالحة لجميع المستخدمين أو المضيفين. لتوليد شهادة
لمجموعة محددة من المبادئ:

$ ssh-keygen -s ca_key -I key_id -n user1، user2 user_key.pub
$ ssh-keygen -s ca_key -I key_id -h -n host.domain host_key.pub

يمكن تحديد قيود إضافية على صلاحية واستخدام شهادات المستخدم من خلال
خيارات الشهادة. قد يكون خيار الشهادة تعطيل ميزات جلسة SSH
صالح فقط عند تقديمه من عناوين مصادر معينة أو قد يجبر استخدام
أمر محدد. للحصول على قائمة بخيارات الشهادات الصالحة ، راجع الوثائق الخاصة بـ -O
الخيار أعلاه.

أخيرًا ، يمكن تعريف الشهادات بمدة صلاحية. ال -V يسمح الخيار
تحديد أوقات بدء الشهادة وانتهائها. شهادة يتم تقديمها في كل مرة
خارج هذا النطاق لن يعتبر صالحًا. بشكل افتراضي ، الشهادات صالحة من
عصر UNIX إلى المستقبل البعيد.

لكي يتم استخدام الشهادات لمصادقة المستخدم أو المضيف ، يجب أن يكون المفتاح العام CA هو
موثوق به سشد(8) أو سه(1). يرجى الرجوع إلى تلك الصفحات اليدوية للحصول على التفاصيل.

KEY إبطال LISTS

سه-كجن قادر على إدارة قوائم إبطال المفاتيح بتنسيق OpenSSH (KRLs). هذه الملفات الثنائية
حدد المفاتيح أو الشهادات التي سيتم إبطالها باستخدام تنسيق مضغوط ، مع استخدام أقل من واحد
بت لكل شهادة إذا تم إبطالها بالرقم التسلسلي.

يمكن إنشاء KRLs باستخدام -k علَم. يقرأ هذا الخيار ملفًا واحدًا أو أكثر من ملف
سطر الأوامر ويولد KRL جديد. قد تحتوي الملفات إما على مواصفات KRL (انظر
أدناه) أو المفاتيح العامة ، مدرجة واحدة في كل سطر. يتم إبطال المفاتيح العامة العادية بإدراج ملفات
التجزئة أو المحتويات في KRL والشهادات التي تم إبطالها بالرقم التسلسلي أو معرّف المفتاح (إذا كان ملف
المسلسل صفر أو غير متوفر).

يوفر إبطال المفاتيح باستخدام مواصفات KRL تحكمًا واضحًا في أنواع السجلات
تُستخدم لإلغاء المفاتيح ويمكن استخدامها لإلغاء الشهادات مباشرةً عن طريق الرقم التسلسلي أو المفتاح
الهوية دون الحصول على الشهادة الأصلية كاملة في متناول اليد. تتكون مواصفات KRL
من الأسطر التي تحتوي على أحد التوجيهات التالية متبوعة بنقطتين وبعض التوجيهات-
معلومات محددة.

مسلسل: رقم سري[-رقم سري]
يبطل شهادة بالرقم التسلسلي المحدد. الأرقام التسلسلية 64 بت
القيم ، لا تشمل الصفر ويمكن التعبير عنها بالنظام العشري أو السداسي أو الثماني. إذا كان اثنان
يتم تحديد الأرقام التسلسلية مفصولة بواصلة ، ثم نطاق الأرقام التسلسلية
بما في ذلك وبين كل يتم إبطالها. يجب تحديد مفتاح المرجع المصدق (CA) في ملف
سه-كجن سطر الأوامر باستخدام -s الخيار.

id: key_id
يبطل شهادة بسلسلة معرّف المفتاح المحدد. يجب أن يكون مفتاح CA هو
المحدد في سه-كجن سطر الأوامر باستخدام -s الخيار.

مفتاح: المفتاح العمومي
يلغي المفتاح المحدد. إذا تم إدراج شهادة ، فسيتم إبطالها كملف
مفتاح عام عادي.

sha1: المفتاح العمومي
إبطال المفتاح المحدد بواسطة تجزئة SHA1 الخاصة به.

يمكن تحديث KRLs باستخدام -u بالإضافة إلى العلم -k. عندما يتم تحديد هذا الخيار ،
يتم دمج المفاتيح المدرجة عبر سطر الأوامر في KRL ، إضافة إلى تلك الموجودة بالفعل.

من الممكن أيضًا ، بالنظر إلى KRL ، اختبار ما إذا كان يلغي مفتاحًا معينًا (أو مفاتيح).
إنّ -Q العلم سوف يستعلم عن KRL موجود ، ويختبر كل مفتاح محدد في سطر الأوامر. لو
تم إبطال أي مفتاح مدرج في سطر الأوامر (أو مصادفة خطأ) بعد ذلك
سه-كجن سيخرج بحالة خروج غير صفرية. سيتم إرجاع حالة الخروج الصفري فقط
إذا لم يتم إبطال أي مفتاح.

استخدم ssh-keygen عبر الإنترنت باستخدام خدمات onworks.net