ssh-keygen – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

ssh-keygen — Generierung, Verwaltung und Konvertierung von Authentifizierungsschlüsseln

ZUSAMMENFASSUNG

ssh-keygen [-q] [-b Bits] [-t dsa | ecdsa | ed25519 | rsa | rsa1] [-N neue_passphrase]
[-C Kommentar] [-f Ausgabeschlüsseldatei]
ssh-keygen -p [-P alte_passphrase] [-N neue_passphrase] [-f Schlüsseldatei]
ssh-keygen -i [-m Schlüsselformat] [-f input_keyfile]
ssh-keygen -e [-m Schlüsselformat] [-f input_keyfile]
ssh-keygen -y [-f input_keyfile]
ssh-keygen -c [-P Passphrase] [-C Kommentar] [-f Schlüsseldatei]
ssh-keygen -l [-v] [-E fingerabdruck_hash] [-f input_keyfile]
ssh-keygen -B [-f input_keyfile]
ssh-keygen -D pkcs11
ssh-keygen -F hostname [-f bekannte_hosts_datei] [-l]
ssh-keygen -H [-f bekannte_hosts_datei]
ssh-keygen -R hostname [-f bekannte_hosts_datei]
ssh-keygen -r hostname [-f input_keyfile] [-g]
ssh-keygen -G Ausgabedatei [-v] [-b Bits] [-M Erinnerung] [-S Startpunkt]
ssh-keygen -T Ausgabedatei -f Eingabedatei [-v] [-a Runde] [-J Anzahl_Zeilen] [-j Startlinie]
[-K checkpt] [-W Generator]
ssh-keygen -s ca_key -I Zertifikatsidentität [-h] [-n Auftraggeber] [-O zu erhalten]
[-V Gültigkeitsintervall] [-z Seriennummer] Datei ...
ssh-keygen -L [-f input_keyfile]
ssh-keygen -A
ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z Versionsnummer] Datei ...
ssh-keygen -Q -f krl_file Datei ...

BESCHREIBUNG

ssh-keygen generiert, verwaltet und konvertiert Authentifizierungsschlüssel für ssh(1). ssh-keygen können.
Erstellen Sie Schlüssel für die Verwendung durch die SSH-Protokollversionen 1 und 2. Protokoll 1 sollte nicht verwendet werden und wird auch verwendet
Wird nur zur Unterstützung älterer Geräte angeboten. Es leidet unter einer Reihe von kryptografischen Problemen
Schwachstellen und unterstützt nicht viele der erweiterten Funktionen, die für Protokoll 2 verfügbar sind.

Der Typ des zu generierenden Schlüssels wird mit angegeben -t Möglichkeit. Wenn ohne aufgerufen
Argumente, ssh-keygen generiert einen RSA-Schlüssel zur Verwendung in SSH-Protokoll-2-Verbindungen.

ssh-keygen wird auch zum Generieren von Gruppen zur Verwendung im Diffie-Hellman-Gruppenaustausch (DH-) verwendet.
GEX). Siehe die MODULI GENERATION Abschnitt für Details.

Schließlich ssh-keygen kann zum Generieren und Aktualisieren von Schlüsselsperrlisten sowie zum Testen verwendet werden
ob gegebene Schlüssel von einem entzogen wurden. Siehe die SCHLÜSSEL WIDERRUF Listen Abschnitt für
Details.

Normalerweise führt jeder Benutzer, der SSH mit Public-Key-Authentifizierung verwenden möchte, dies einmal aus
Erstellen Sie den Authentifizierungsschlüssel ~/.ssh/identität, ~/.ssh/id_dsa, ~/.ssh/id_ecdsa,
~/.ssh/id_ed25519 or ~/.ssh/id_rsa. Darüber hinaus kann der Systemadministrator dies nutzen
Hostschlüssel generieren.

Normalerweise generiert dieses Programm den Schlüssel und fragt nach einer Datei, in der der private Schlüssel gespeichert werden soll
Taste. Der öffentliche Schlüssel wird in einer Datei mit demselben Namen, aber mit dem Zusatz „.pub“ gespeichert. Der
Das Programm fragt außerdem nach einer Passphrase. Die Passphrase kann leer sein, um anzuzeigen, dass keine Passphrase vorhanden ist
(Hostschlüssel müssen eine leere Passphrase haben) oder es kann sich um eine Zeichenfolge beliebiger Länge handeln. A
Eine Passphrase ähnelt einem Passwort, außer dass es sich um eine Phrase mit einer Reihe von Wörtern handeln kann.
Satzzeichen, Zahlen, Leerzeichen oder eine beliebige Zeichenfolge. Gute Passphrasen
sind 10–30 Zeichen lang, keine einfachen Sätze oder auf andere Weise leicht zu erraten (Englisch).
Prosa hat nur 1-2 Bit Entropie pro Zeichen und bietet sehr schlechte Passphrasen) und
enthalten eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und nicht alphanumerischen Zeichen. Der
Die Passphrase kann später mithilfe von geändert werden -p .

Es gibt keine Möglichkeit, eine verlorene Passphrase wiederherzustellen. Wenn die Passphrase verloren geht oder vergessen wird, erhalten Sie eine neue
Der Schlüssel muss generiert und der entsprechende öffentliche Schlüssel auf andere Maschinen kopiert werden.

Für RSA1-Schlüssel gibt es in der Schlüsseldatei auch ein Kommentarfeld, das nur der Benutzerfreundlichkeit dient
Der Benutzer soll dabei helfen, den Schlüssel zu identifizieren. Der Kommentar kann sagen, wozu der Schlüssel dient oder was auch immer
nützlich. Der Kommentar wird beim Erstellen des Schlüssels auf „user@host“ initialisiert, kann aber sein
geändert mit -c .

Nachdem ein Schlüssel generiert wurde, wird in den folgenden Anweisungen detailliert beschrieben, wo die Schlüssel platziert werden sollen
aktiviert.

Die Optionen sind wie folgt:

-A Für jeden Schlüsseltyp (rsa1, rsa, dsa, ecdsa und ed25519), für den Hostschlüssel geeignet sind
Nicht vorhanden, generieren Sie die Hostschlüssel mit dem Standardpfad der Schlüsseldatei, also leer
Passphrase, Standardbits für den Schlüsseltyp und Standardkommentar. Dies wird von verwendet
Systemverwaltungsskripte zum Generieren neuer Hostschlüssel.

-a Runde
Beim Speichern eines privaten Schlüssels im neuen Format (z. B. eines ed25519-Schlüssels oder eines beliebigen SSH-Protokoll-2-Schlüssels).
wenn das -o Flag gesetzt ist), gibt diese Option die Anzahl der KDF (Schlüsselableitung) an
Funktion) Runden verwendet. Höhere Zahlen führen zu einer langsameren Passphrasenüberprüfung und
Erhöhter Widerstand gegen Brute-Force-Knacken von Passwörtern (falls die Schlüssel gestohlen werden).

Beim Screening von DH-GEX-Kandidaten (unter Verwendung von -T Befehl). Diese Option gibt die an
Anzahl der durchzuführenden Primzahltests.

-B Zeigt den Bubblebabble-Digest der angegebenen privaten oder öffentlichen Schlüsseldatei an.

-b Bits
Gibt die Anzahl der Bits im zu erstellenden Schlüssel an. Für RSA-Schlüssel die Mindestgröße
beträgt 1024 Bit und der Standardwert ist 2048 Bit. Im Allgemeinen werden 2048 Bit berücksichtigt
ausreichend. DSA-Schlüssel müssen gemäß FIPS 1024-186 genau 2 Bit lang sein. Für
ECDSA-Schlüssel, die -b Flag bestimmt die Schlüssellänge durch Auswahl einer von drei
Elliptische Kurvengrößen: 256, 384 oder 521 Bit. Es wird versucht, andere Bitlängen zu verwenden
als diese drei Werte für ECDSA-Schlüssel verwendet werden, schlägt fehl. Ed25519-Schlüssel haben eine feste Länge
und der -b Flag wird ignoriert.

-C Kommentar
Stellt einen neuen Kommentar bereit.

-c Fordert die Änderung des Kommentars in den privaten und öffentlichen Schlüsseldateien an. Diese Operation
wird nur für RSA1-Schlüssel unterstützt. Das Programm fordert Sie zur Eingabe der Datei auf, die Folgendes enthält
die privaten Schlüssel, für die Passphrase, falls der Schlüssel eine hat, und für den neuen Kommentar.

-D pkcs11
Laden Sie die öffentlichen RSA-Schlüssel herunter, die von der gemeinsam genutzten PKCS#11-Bibliothek bereitgestellt werden pkcs11. Wenn
verwendet in Kombination mit -s, diese Option gibt an, dass sich ein CA-Schlüssel in einem befindet
PKCS#11-Token (siehe ZERTIFIKATE Abschnitt für Details).

-E fingerabdruck_hash
Gibt den Hash-Algorithmus an, der beim Anzeigen von Schlüsselfingerabdrücken verwendet wird. Gültige Optionen
sind: „md5“ und „sha256“. Der Standardwert ist „sha256“.

-e Diese Option liest eine private oder öffentliche OpenSSH-Schlüsseldatei und gibt sie auf der Standardausgabe aus
Geben Sie eines der von der angegebenen Formate ein -m Möglichkeit. Das Standardexportformat ist
„RFC4716“. Diese Option ermöglicht den Export von OpenSSH-Schlüsseln zur Verwendung durch andere Programme.
einschließlich mehrerer kommerzieller SSH-Implementierungen.

-F hostname
Suchen Sie nach dem angegebenen hostname in einem bekannte_hosts Datei, in der alle Vorkommnisse aufgelistet sind
gefunden. Diese Option ist nützlich, um gehashte Hostnamen oder Adressen zu finden und möglicherweise auch
verwendet in Verbindung mit der -H Option zum Drucken gefundener Schlüssel in einem Hash-Format.

-f Dateinamen
Gibt den Dateinamen der Schlüsseldatei an.

-G Ausgabedatei
Generieren Sie Kandidaten-Primzahlen für DH-GEX. Diese Primzahlen müssen auf Sicherheit überprüft werden
(Verwendung der -T Option) vor der Verwendung.

-g Verwenden Sie beim Drucken von Fingerabdruck-Ressourceneinträgen das generische DNS-Format -r
Befehl.

-H Hash a bekannte_hosts Datei. Dadurch werden alle Hostnamen und Adressen durch Hashes ersetzt
Darstellungen innerhalb der angegebenen Datei; Der ursprüngliche Inhalt wird in eine Datei verschoben
mit einem .old-Suffix. Diese Hashes können normal verwendet werden ssh und sshd, aber sie tun es
keine identifizierenden Informationen preisgeben, wenn der Inhalt der Datei offengelegt wird. Das
Die Option ändert keine vorhandenen gehashten Hostnamen und kann daher sicher verwendet werden
Dateien, die gehashte und nicht gehashte Namen mischen.

-h Erstellen Sie beim Signieren eines Schlüssels ein Host-Zertifikat anstelle eines Benutzerzertifikats. Bitte
finden Sie in der ZERTIFIKATE Abschnitt für Details.

-I Zertifikatsidentität
Geben Sie beim Signieren eines öffentlichen Schlüssels die Schlüsselidentität an. Bitte sehen Sie sich ... an ZERTIFIKATE
Abschnitt für Details.

-i Diese Option liest eine unverschlüsselte private (oder öffentliche) Schlüsseldatei im Format
angegeben durch die -m Option und drucken Sie einen OpenSSH-kompatiblen privaten (oder öffentlichen) Schlüssel aus
zu stdout. Diese Option ermöglicht den Import von Schlüsseln aus anderer Software, einschließlich mehrerer
kommerzielle SSH-Implementierungen. Das Standardimportformat ist „RFC4716“.

-J Anzahl_Zeilen
Verlassen Sie den Vorgang, nachdem Sie die angegebene Anzahl von Zeilen überprüft haben, während Sie den DH-Kandidaten ausführen
Screening mit dem -T .

-j Startlinie
Beginnen Sie mit dem Screening bei der angegebenen Zeilennummer, während Sie das DH-Kandidaten-Screening durchführen
Verwendung der -T .

-K checkpt
Schreiben Sie die zuletzt verarbeitete Zeile in die Datei checkpt während der Durchführung des DH-Kandidaten
Screening mit dem -T Möglichkeit. Dies wird verwendet, um Zeilen in der Eingabedatei zu überspringen
die bereits verarbeitet wurden, wenn der Job erneut gestartet wird.

-k Generieren Sie eine KRL-Datei. In diesem Modus ssh-keygen generiert eine KRL-Datei am
Ort, der über die angegeben wurde -f Flag, das jeden vorgelegten Schlüssel oder jedes vorgelegte Zertifikat widerruft
auf der Kommandozeile. Zu widerrufende Schlüssel/Zertifikate können durch öffentliche Schlüssel angegeben werden
Datei oder verwenden Sie das in der beschriebene Format SCHLÜSSEL WIDERRUF Listen .

-L Druckt den Inhalt eines oder mehrerer Zertifikate.

-l Fingerabdruck der angegebenen öffentlichen Schlüsseldatei anzeigen. Private RSA1-Schlüssel sind ebenfalls vorhanden
unterstützt. Für RSA- und DSA-Schlüssel ssh-keygen versucht den passenden öffentlichen Schlüssel zu finden
Datei und druckt ihren Fingerabdruck. In Kombination mit -v, eine ASCII-Kunstdarstellung
Der Schlüssel wird mit dem Fingerabdruck geliefert.

-M Erinnerung
Geben Sie die Speichermenge an, die beim Generieren von Kandidatenmodulen verwendet werden soll (in Megabyte).
für DH-GEX.

-m Schlüsselformat
Geben Sie ein Schlüsselformat für an -i (Import) bzw -e (Export-)Konvertierungsoptionen. Der
Unterstützte Schlüsselformate sind: „RFC4716“ (öffentlicher oder privater RFC 4716/SSH2-Schlüssel), „PKCS8“
(PEM PKCS8 öffentlicher Schlüssel) oder „PEM“ (PEM öffentlicher Schlüssel). Das Standardkonvertierungsformat ist
„RFC4716“.

-N neue_passphrase
Stellt die neue Passphrase bereit.

-n Auftraggeber
Geben Sie einen oder mehrere Prinzipale (Benutzer- oder Hostnamen) an, die in ein Zertifikat aufgenommen werden sollen
beim Signieren eines Schlüssels. Es können mehrere Prinzipale angegeben werden, die durch Kommas getrennt sind.
Bitte beachten Sie die ZERTIFIKATE Abschnitt für Details.

-O zu erhalten
Geben Sie beim Signieren eines Schlüssels eine Zertifikatsoption an. Diese Option kann angegeben werden
mehrmals. Bitte sehen Sie sich ... an ZERTIFIKATE Weitere Informationen finden Sie im Abschnitt. Die Optionen, die
Als Benutzerzertifikate gelten:

klar Löschen Sie alle aktivierten Berechtigungen. Dies ist nützlich, um den Standardsatz zu löschen
Anzahl der Berechtigungen, sodass Berechtigungen einzeln hinzugefügt werden können.

Kraftbefehl=Befehl
Erzwingt die Ausführung von Befehl anstelle einer von angegebenen Shell oder eines Befehls
der Benutzer, wenn das Zertifikat zur Authentifizierung verwendet wird.

No-Agent-Weiterleitung
Deaktivieren SSH-Agent(1) Weiterleitung (standardmäßig zulässig).

Keine Portweiterleitung
Deaktivieren Sie die Portweiterleitung (standardmäßig zulässig).

nein-pty Deaktivieren Sie die PTY-Zuweisung (standardmäßig zulässig).

no-user-rc
Ausführung von deaktivieren ~/.ssh/rc by sshd(8) (standardmäßig zulässig).

no-x11-forwarding
Deaktivieren Sie die X11-Weiterleitung (standardmäßig zulässig).

Permit-Agent-Weiterleitung
Erlaubt SSH-Agent(1) Weiterleitung.

Permit-Port-Weiterleitung
Ermöglicht die Portweiterleitung.

Erlaubnis-Pty
Ermöglicht die PTY-Zuweisung.

erlauben-user-rc
Ermöglicht die Ausführung von ~/.ssh/rc by sshd(8).

erlauben-x11-weiterleitung
Ermöglicht die X11-Weiterleitung.

Quelladresse=Adressliste
Beschränken Sie die Quelladressen, von denen das Zertifikat berücksichtigt wird
gültig. Der Adressliste ist eine durch Kommas getrennte Liste von einem oder mehreren
Adress-/Netzmaskenpaare im CIDR-Format.

Derzeit sind keine Optionen für Hostschlüssel gültig.

-o Ursachen ssh-keygen um private Schlüssel im neuen OpenSSH-Format zu speichern, anstatt im
kompatibleres PEM-Format. Das neue Format hat die Widerstandsfähigkeit gegen Brute-Force erhöht
Das Knacken von Passwörtern wird jedoch von OpenSSH-Versionen vor 6.5 nicht unterstützt. Ed25519
Schlüssel verwenden immer das neue private Schlüsselformat.

-P Passphrase
Stellt die (alte) Passphrase bereit.

-p Fordert die Änderung der Passphrase einer privaten Schlüsseldatei an, anstatt eine neue zu erstellen
Privat Schlüssel. Das Programm fragt nach der Datei, die den privaten Schlüssel enthält, z
die alte Passphrase und zweimal für die neue Passphrase.

-Q Testen Sie, ob Schlüssel in einer KRL widerrufen wurden.

-q Schweigen ssh-keygen.

-R hostname
Entfernt alle zugehörigen Schlüssel hostname von einem bekannte_hosts Datei. Diese Option ist
nützlich, um gehashte Hosts zu löschen (siehe -H Option oben).

-r hostname
Drucken Sie den SSHFP-Fingerabdruck-Ressourcendatensatz mit dem Namen hostname für die angegebene Öffentlichkeit
Schlüsseldatei.

-S Anfang
Geben Sie den Startpunkt (in Hex) an, wenn Sie Kandidatenmodule für DH-GEX generieren.

-s ca_key
Zertifizieren (signieren) Sie einen öffentlichen Schlüssel mit dem angegebenen CA-Schlüssel. Bitte sehen Sie sich ... an ZERTIFIKATE
Abschnitt für Details.

Beim Generieren einer KRL -s Gibt einen Pfad zu einer öffentlichen CA-Schlüsseldatei an, die zum Widerrufen verwendet wird
Zertifikate direkt nach Schlüssel-ID oder Seriennummer. Siehe die SCHLÜSSEL WIDERRUF Listen
Abschnitt für Details.

-T Ausgabedatei
Testen Sie DH-Gruppenaustauschkandidaten-Primzahlen (erzeugt mit dem -G Option) aus Sicherheitsgründen.

-t dsa | ecdsa | ed25519 | rsa | rsa1
Gibt den Typ des zu erstellenden Schlüssels an. Die möglichen Werte sind „rsa1“ für Protokoll
Version 1 und „dsa“, „ecdsa“, „ed25519“ oder „rsa“ für Protokollversion 2.

-u Aktualisieren Sie eine KRL. Wenn angegeben mit -k, werden über die Befehlszeile aufgelistete Schlüssel hinzugefügt
Die vorhandene KRL wird verwendet, anstatt dass eine neue KRL erstellt wird.

-V Gültigkeitsintervall
Geben Sie beim Signieren eines Zertifikats ein Gültigkeitsintervall an. Ein Gültigkeitsintervall kann
bestehen aus einer einzigen Zeit, die angibt, dass das Zertifikat ab jetzt und gültig ist
zu diesem Zeitpunkt abläuft, oder kann aus zwei durch einen Doppelpunkt getrennten Zeitangaben bestehen
ein explizites Zeitintervall. Die Startzeit kann als Datum im Format JJJJMMTT angegeben werden
Format, eine Zeit im Format YYYYMMDDHHMMSS oder eine relative Zeit (zur aktuellen Zeit)
bestehend aus einem Minuszeichen, gefolgt von einer relativen Zeitangabe im Format wie in beschrieben
den Abschnitt ZEITFORMATE von sshd_config(5). Die Endzeit kann als angegeben werden
JJJJMMTT-Datum, eine JJJJMMT-HMMSS-Zeit oder eine relative Zeit, die mit einem Pluszeichen beginnt
Charakter.

Zum Beispiel: „+52w1d“ (gültig von jetzt bis 52 Wochen und einen Tag), „-4w:+4w“
(gültig von vor vier Wochen bis in vier Wochen), „20100101123000:20110101123000“
(gültig von 12:30 Uhr, 1. Januar 2010 bis 12:30 Uhr, 1. Januar 2011),
„-1d:20110101“ (gültig von gestern bis Mitternacht, 1. Januar 2011).

-v Ausführlicher Modus. Ursachen ssh-keygen um Debugging-Meldungen über den Fortschritt zu drucken.
Dies ist hilfreich beim Debuggen der Modulgenerierung. Mehrere -v Optionen erhöhen die
Ausführlichkeit. Das Maximum liegt bei 3.

-W Generator
Geben Sie den gewünschten Generator an, wenn Sie Kandidatenmodule für DH-GEX testen.

-y Diese Option liest eine private Datei im OpenSSH-Format und druckt einen öffentlichen OpenSSH-Schlüssel
zu stdout.

-z Seriennummer
Gibt eine Seriennummer an, die zur Unterscheidung in das Zertifikat eingebettet werden soll
Zertifikat von anderen von derselben CA. Die Standardseriennummer ist Null.

Beim Generieren einer KRL wird die -z Flag wird verwendet, um eine KRL-Versionsnummer anzugeben.

MODULI GENERATION

ssh-keygen kann verwendet werden, um Gruppen für den Diffie-Hellman Group Exchange (DH-GEX) zu generieren.
Protokoll. Die Generierung dieser Gruppen erfolgt in zwei Schritten: Zunächst werden Primzahlkandidaten erstellt
wird mithilfe eines schnellen, aber speicherintensiven Prozesses generiert. Diese Primzahlkandidaten sind dann
auf Eignung getestet (ein CPU-intensiver Prozess).

Die Erzeugung von Primzahlen erfolgt mit -G Möglichkeit. Die gewünschte Länge der Primzahlen kann
durch die angegeben werden -b Möglichkeit. Zum Beispiel:

# ssh-keygen -G moduli-2048.candidates -b 2048

Standardmäßig beginnt die Suche nach Primzahlen an einem zufälligen Punkt im gewünschten Längenbereich.
Dies kann mit überschrieben werden -S Option, die einen anderen Startpunkt angibt (in
verhexen).

Sobald eine Reihe von Kandidaten zusammengestellt wurde, müssen diese auf ihre Eignung überprüft werden. Das
kann mit durchgeführt werden -T Möglichkeit. In diesem Modus ssh-keygen wird Kandidaten vorlesen
Standardeingabe (oder eine Datei, die mit der -f Möglichkeit). Zum Beispiel:

# ssh-keygen -T moduli-2048 -f moduli-2048.candidates

Standardmäßig wird jeder Kandidat 100 Primzahltests unterzogen. Dies kann außer Kraft gesetzt werden
Verwendung der -a Möglichkeit. Der DH-Generatorwert wird automatisch für die Primzahl ausgewählt
unter Berücksichtigung. Wenn ein bestimmter Generator gewünscht wird, kann dieser über das angefordert werden -W
Möglichkeit. Gültige Generatorwerte sind 2, 3 und 5.

Es können abgeschirmte DH-Gruppen installiert werden /etc/ssh/moduli. Es ist wichtig, dass diese Datei
enthält Module mit einer Reihe von Bitlängen und beide Enden einer Verbindung haben gemeinsame Werte
Moduli.

ZERTIFIKATE

ssh-keygen Unterstützt das Signieren von Schlüsseln zur Erstellung von Zertifikaten, die für Benutzer oder verwendet werden können
Host-Authentifizierung. Zertifikate bestehen aus einem öffentlichen Schlüssel, einigen Identitätsinformationen und Null
oder mehr Prinzipalnamen (Benutzer oder Host) und eine Reihe von Optionen, die von a signiert sind
Schlüssel der Zertifizierungsstelle (CA). Clients oder Server vertrauen dann möglicherweise nur dem CA-Schlüssel und
Überprüfen Sie die Signatur eines Zertifikats, anstatt vielen Benutzer-/Hostschlüsseln zu vertrauen. Beachten Sie, dass
OpenSSH-Zertifikate haben ein anderes und viel einfacheres Format als die X.509-Zertifikate
benutzt in ssl(8).

ssh-keygen unterstützt zwei Arten von Zertifikaten: Benutzer- und Hostzertifikate. Benutzerzertifikate
authentifizieren Benutzer gegenüber Servern, während Hostzertifikate Server-Hosts gegenüber Benutzern authentifizieren.
So generieren Sie ein Benutzerzertifikat:

$ ssh-keygen -s /path/to/ca_key -I key_id /path/to/user_key.pub

Das resultierende Zertifikat wird eingefügt /path/to/user_key-cert.pub. Ein Host-Zertifikat
erfordert die -h Option:

$ ssh-keygen -s /path/to/ca_key -I key_id -h /path/to/host_key.pub

Das Host-Zertifikat wird ausgegeben /path/to/host_key-cert.pub.

Es ist möglich, mit einem CA-Schlüssel zu signieren, der in einem PKCS#11-Token gespeichert ist, indem Sie das Token bereitstellen
Bibliothek mit -D und Identifizieren des CA-Schlüssels durch Bereitstellen seiner öffentlichen Hälfte als Argument dafür
-s:

$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub

Auf alle Fälle, key_id ist eine „Schlüsselkennung“, die vom Server beim Zertifikatserhalt protokolliert wird
wird zur Authentifizierung verwendet.

Zertifikate können auf ihre Gültigkeit für eine Reihe von Prinzipalnamen (Benutzer/Host) beschränkt werden. Von
Standardmäßig sind generierte Zertifikate für alle Benutzer oder Hosts gültig. Um ein Zertifikat zu erstellen
für eine bestimmte Menge von Prinzipalen:

$ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
$ ssh-keygen -s ca_key -I key_id -h -n host.domain host_key.pub

Zusätzliche Einschränkungen hinsichtlich der Gültigkeit und Verwendung von Benutzerzertifikaten können durch festgelegt werden
Zertifikatsoptionen. Eine Zertifikatsoption kann möglicherweise Funktionen der SSH-Sitzung deaktivieren
gültig nur, wenn sie von bestimmten Quelladressen stammen, oder kann die Verwendung eines erzwingen
spezifischen Befehl. Eine Liste gültiger Zertifikatoptionen finden Sie in der Dokumentation für -O
Option oben.

Schließlich können Zertifikate mit einer Gültigkeitsdauer definiert werden. Der -V Option erlaubt
Angabe der Start- und Endzeiten des Zertifikats. Ein Zertifikat, das jeweils vorgelegt wird
außerhalb dieses Bereichs gelten nicht als gültig. Standardmäßig sind Zertifikate gültig ab
UNIX-Epoche in ferner Zukunft.

Damit Zertifikate für die Benutzer- oder Hostauthentifizierung verwendet werden können, muss der öffentliche Schlüssel der Zertifizierungsstelle vorhanden sein
vertraut von sshd(8) oder ssh(1). Weitere Informationen finden Sie in diesen Handbuchseiten.

SCHLÜSSEL WIDERRUF Listen

ssh-keygen ist in der Lage, Key Revocation Lists (KRLs) im OpenSSH-Format zu verwalten. Diese Binärdateien
Geben Sie die zu widerrufenden Schlüssel oder Zertifikate in einem kompakten Format an, das nur einen benötigt
Bit pro Zertifikat, wenn sie anhand der Seriennummer widerrufen werden.

KRLs können mit generiert werden -k Flagge. Diese Option liest eine oder mehrere Dateien aus dem
Befehlszeile und generiert eine neue KRL. Die Dateien können entweder eine KRL-Spezifikation enthalten (siehe
unten) oder öffentliche Schlüssel, jeweils einer pro Zeile aufgeführt. Einfache öffentliche Schlüssel werden durch Auflistung ihrer widerrufen
Hash oder Inhalte in der KRL und Zertifikate, die nach Seriennummer oder Schlüssel-ID widerrufen wurden (falls die
Seriennummer ist Null oder nicht verfügbar).

Das Sperren von Schlüsseln mithilfe einer KRL-Spezifikation bietet eine explizite Kontrolle über die Datensatztypen
Wird zum Widerrufen von Schlüsseln verwendet und kann zum direkten Widerrufen von Zertifikaten anhand der Seriennummer oder des Schlüssels verwendet werden
Ausweis ohne Vorlage des vollständigen Originalzertifikats. Eine KRL-Spezifikation besteht
von Zeilen, die eine der folgenden Anweisungen enthalten, gefolgt von einem Doppelpunkt und einigen Anweisungen:
genaue Informationen.

seriell: Seriennummer[-Seriennummer]
Widerruft ein Zertifikat mit der angegebenen Seriennummer. Seriennummern sind 64-Bit
Werte außer Null und können dezimal, hexadezimal oder oktal ausgedrückt werden. Wenn zwei
Seriennummern werden durch einen Bindestrich getrennt angegeben, dann der Bereich der Seriennummern
einschließlich und zwischen jedem wird widerrufen. Der CA-Schlüssel muss auf dem angegeben sein
ssh-keygen Befehlszeile mit der -s .

id: key_id
Widerruft ein Zertifikat mit der angegebenen Schlüssel-ID-Zeichenfolge. Der CA-Schlüssel muss gewesen sein
angegeben auf der ssh-keygen Befehlszeile mit der -s .

Haupt: Öffentlicher Schlüssel
Widerruft den angegebenen Schlüssel. Wenn ein Zertifikat aufgeführt ist, wird es als widerrufen
einfacher öffentlicher Schlüssel.

sha1: Öffentlicher Schlüssel
Widerruft den angegebenen Schlüssel anhand seines SHA1-Hashs.

KRLs können mit aktualisiert werden -u Flagge zusätzlich zu -k. Wenn diese Option angegeben ist,
Über die Befehlszeile aufgelistete Schlüssel werden in die KRL eingefügt und zu den bereits vorhandenen hinzugefügt.

Bei einer gegebenen KRL ist es auch möglich zu testen, ob sie einen bestimmten Schlüssel (oder mehrere Schlüssel) widerruft.
Die -Q Das Flag fragt eine vorhandene KRL ab und testet jeden in der Befehlszeile angegebenen Schlüssel. Wenn
Dann wurde jeder in der Befehlszeile aufgeführte Schlüssel widerrufen (oder es ist ein Fehler aufgetreten).
ssh-keygen wird mit einem Exit-Status ungleich Null beendet. Es wird nur ein Null-Exit-Status zurückgegeben
wenn kein Schlüssel widerrufen wurde.

Verwenden Sie ssh-keygen online über die Dienste von onworks.net