ssh-keygen - En ligne dans le Cloud

PROGRAMME:

Nom

ssh-keygen — génération, gestion et conversion des clés d'authentification

SYNOPSIS

ssh-keygen [-q] [-b les bits] [-t dsa | ECDSA | ed25519 | rsa | rsa1] [-N nouvelle_phrase de passe]
[-C commentaire] [-f fichier_clé_de sortie]
ssh-keygen -p [-P ancienne_phrase de passe] [-N nouvelle_phrase de passe] [-f fichier clé]
ssh-keygen -i [-m format_clé] [-f fichier_clé_d'entrée]
ssh-keygen -e [-m format_clé] [-f fichier_clé_d'entrée]
ssh-keygen -y [-f fichier_clé_d'entrée]
ssh-keygen -c [-P mot de passe] [-C commentaire] [-f fichier clé]
ssh-keygen -l [-v] [-E empreinte_empreinte] [-f fichier_clé_d'entrée]
ssh-keygen -B [-f fichier_clé_d'entrée]
ssh-keygen -D pkcs11
ssh-keygen -F nom d'hôte [-f fichier_hôte_connu] [-l]
ssh-keygen -H [-f fichier_hôte_connu]
ssh-keygen -R nom d'hôte [-f fichier_hôte_connu]
ssh-keygen -r nom d'hôte [-f fichier_clé_d'entrée] [-g]
ssh-keygen -G fichier de sortie [-v] [-b les bits] [-M Mémoire] [-S point de départ]
ssh-keygen -T fichier de sortie -f fichier_entrée [-v] [-a tours] [-J nombre_lignes] [-j ligne de départ]
[-K point de contrôle] [-W générateur]
ssh-keygen -s clé_ca -I certificat_identité [-h] [-n directeurs] [-O option]
[-V intervalle_validité] [-z numéro de série] filet
ssh-keygen -L [-f fichier_clé_d'entrée]
ssh-keygen -A
ssh-keygen -k -f fichier_krl [-u] [-s ca_public] [-z numéro de version] filet
ssh-keygen -Q -f fichier_krl filet

DESCRIPTION

ssh-keygen génère, gère et convertit les clés d'authentification pour ssh (1). ssh-keygen vous
créer des clés à utiliser par les versions 1 et 2 du protocole SSH. Le protocole 1 ne doit pas être utilisé et est
uniquement proposé pour prendre en charge les appareils hérités. Il souffre d'un certain nombre de
faiblesses et ne prend pas en charge la plupart des fonctionnalités avancées disponibles pour le protocole 2.

Le type de clé à générer est spécifié avec le -t option. S'il est invoqué sans aucun
arguments, ssh-keygen générera une clé RSA à utiliser dans les connexions du protocole SSH 2.

ssh-keygen est également utilisé pour générer des groupes à utiliser dans l'échange de groupe Diffie-Hellman (DH-
GEX). Voir le MODULES GÉNÉRATION section pour plus de détails.

Enfin, ssh-keygen peut être utilisé pour générer et mettre à jour des listes de révocation de clés et pour tester
si les clés données ont été révoquées par un. Voir le clé - KEY RÉVOCATION LISTE section pour
détails.

Normalement, chaque utilisateur souhaitant utiliser SSH avec une authentification par clé publique l'exécute une fois pour
créer la clé d'authentification dans ~/.ssh/identité, ~/.ssh/id_dsa, ~/.ssh/id_ecdsa,
~/.ssh/id_ed25519 or ~/.ssh/id_rsa. De plus, l'administrateur système peut l'utiliser pour
générer des clés d'hôte.

Normalement, ce programme génère la clé et demande un fichier dans lequel stocker le privé
clé. La clé publique est stockée dans un fichier du même nom mais « .pub » ajouté. Les
programme demande également une phrase secrète. La phrase secrète peut être vide pour indiquer l'absence de phrase secrète
(les clés d'hôte doivent avoir une phrase secrète vide), ou il peut s'agir d'une chaîne de longueur arbitraire. UNE
La phrase secrète est similaire à un mot de passe, sauf qu'il peut s'agir d'une phrase avec une série de mots,
ponctuation, chiffres, espaces ou toute chaîne de caractères de votre choix. Bonnes phrases secrètes
contiennent de 10 à 30 caractères, ne sont pas des phrases simples ou facilement devinables (anglais
la prose n'a que 1 à 2 bits d'entropie par caractère et fournit de très mauvaises phrases secrètes), et
contiennent un mélange de lettres majuscules et minuscules, de chiffres et de caractères non alphanumériques. Les
La phrase secrète peut être modifiée ultérieurement en utilisant le -p option.

Il n'y a aucun moyen de récupérer une phrase secrète perdue. Si la phrase secrète est perdue ou oubliée, un nouveau
La clé doit être générée et la clé publique correspondante copiée sur d'autres machines.

Pour les clés RSA1, il existe également un champ de commentaire dans le fichier de clé qui n'est destiné qu'à
l'utilisateur pour aider à identifier la clé. Le commentaire peut dire à quoi sert la clé, ou quoi qu'il en soit
utile. Le commentaire est initialisé à « user@host » lors de la création de la clé, mais peut être
modifié à l'aide du -c option.

Une fois qu'une clé est générée, les instructions ci-dessous détaillent où les clés doivent être placées pour être
activé.

Les options sont les suivantes :

-A Pour chacun des types de clés (rsa1, rsa, dsa, ecdsa et ed25519) pour lesquels les clés d'hôte ne
n'existe pas, générez les clés d'hôte avec le chemin du fichier de clés par défaut, un
phrase secrète, bits par défaut pour le type de clé et commentaire par défaut. Ceci est utilisé par
scripts d'administration système pour générer de nouvelles clés d'hôte.

-a tours
Lors de l'enregistrement d'une clé privée de nouveau format (c'est-à-dire une clé ed25519 ou n'importe quelle clé du protocole SSH 2
lorsque le -o flag est défini), cette option spécifie le nombre de KDF (dérivation de clé
fonction) tours utilisés. Des nombres plus élevés entraînent une vérification plus lente de la phrase secrète et
résistance accrue au craquage des mots de passe par force brute (en cas de vol des clés).

Lors de la sélection des candidats DH-GEX (en utilisant le -T commander). Cette option spécifie le
nombre de tests de primalité à effectuer.

-B Affiche le condensé bubblebabble du fichier de clé privée ou publique spécifié.

-b les bits
Spécifie le nombre de bits dans la clé à créer. Pour les clés RSA, la taille minimale
est de 1024 bits et la valeur par défaut est de 2048 bits. Généralement, 2048 bits sont considérés
suffisant. Les clés DSA doivent être exactement de 1024 bits comme spécifié par FIPS 186-2. Pour
clés ECDSA, les -b flag détermine la longueur de la clé en sélectionnant l'un des trois
tailles de courbes elliptiques : 256, 384 ou 521 bits. Tenter d'utiliser d'autres longueurs de bits
que ces trois valeurs pour les clés ECDSA échouera. Les clés Ed25519 ont une longueur fixe
et la -b le drapeau sera ignoré.

-C commentaire
Fournit un nouveau commentaire.

-c Demandes de modifier le commentaire dans les fichiers de clé privée et publique. Cette opération
n'est pris en charge que pour les clés RSA1. Le programme demandera le fichier contenant
les clés privées, pour la phrase secrète si la clé en a une, et pour le nouveau commentaire.

-D pkcs11
Téléchargez les clés publiques RSA fournies par la bibliothèque partagée PKCS#11 pkcs11. Quand
utilisé en combinaison avec -s, cette option indique qu'une clé CA réside dans un
Jeton PKCS#11 (voir le CERTIFICATS pour plus de détails).

-E empreinte_empreinte
Spécifie l'algorithme de hachage utilisé lors de l'affichage des empreintes digitales clés. Options valides
sont : « md5 » et « sha256 ». La valeur par défaut est « sha256 ».

-e Cette option lira un fichier de clé OpenSSH privé ou public et imprimera sur stdout le
clé dans l'un des formats spécifiés par le -m option. Le format d'exportation par défaut est
« RFC4716 ». Cette option permet d'exporter les clés OpenSSH pour une utilisation par d'autres programmes,
y compris plusieurs implémentations SSH commerciales.

-F nom d'hôte
Rechercher le spécifié nom d'hôte dans un hôtes_connus fichier, répertoriant toutes les occurrences
trouvé. Cette option est utile pour trouver des noms d'hôtes ou des adresses hachés et peut également être
utilisé en conjonction avec le -H option pour imprimer les clés trouvées dans un format haché.

-f nom de fichier
Spécifie le nom de fichier du fichier de clé.

-G fichier de sortie
Générez des nombres premiers candidats pour DH-GEX. Ces amorces doivent être examinées pour la sécurité
(en utilisant le -T option) avant utilisation.

-g Utilisez le format DNS générique lors de l'impression des enregistrements de ressources d'empreintes digitales à l'aide du -r
commander.

-H Hachez un hôtes_connus déposer. Cela remplace tous les noms d'hôtes et adresses par hachage
représentations dans le fichier spécifié ; le contenu original est déplacé vers un fichier
avec un suffixe .old. Ces hachages peuvent être utilisés normalement par ssh ainsi que sshd, mais ils le font
ne pas révéler d'informations d'identification si le contenu du dossier est divulgué. Cette
L'option ne modifiera pas les noms d'hôtes hachés existants et peut donc être utilisée en toute sécurité sur
fichiers qui mélangent des noms hachés et non hachés.

-h Lors de la signature d'une clé, créez un certificat hôte au lieu d'un certificat utilisateur. S'il te plaît
voir la CERTIFICATS section pour plus de détails.

-I certificat_identité
Spécifiez l'identité de la clé lors de la signature d'une clé publique. S'il vous plaît voir le CERTIFICATS
section pour plus de détails.

-i Cette option lira un fichier de clé privée (ou publique) non crypté au format
spécifié par le -m option et imprimer une clé privée (ou publique) compatible OpenSSH
à la sortie standard. Cette option permet d'importer des clés d'autres logiciels, dont plusieurs
implémentations SSH commerciales. Le format d'importation par défaut est « RFC4716 ».

-J nombre_lignes
Quitter après avoir filtré le nombre de lignes spécifié lors de l'exécution du candidat DH
dépistage à l'aide du -T option.

-j ligne de départ
Commencez le filtrage au numéro de ligne spécifié lors de l'exécution du filtrage des candidats DH
en utilisant l' -T option.

-K point de contrôle
Écrire la dernière ligne traitée dans le fichier point de contrôle lors de l'exécution du candidat DH
dépistage à l'aide du -T option. Cela sera utilisé pour sauter des lignes dans le fichier d'entrée
qui ont déjà été traités si le travail est redémarré.

-k Générez un fichier KRL. Dans ce mode, ssh-keygen générera un fichier KRL au
emplacement spécifié via le -f indicateur qui révoque chaque clé ou certificat présenté
sur la ligne de commande. Les clés/certificats à révoquer peuvent être spécifiés par clé publique
fichier ou en utilisant le format décrit dans le clé - KEY RÉVOCATION LISTE .

-L Imprime le contenu d'un ou plusieurs certificats.

-l Afficher l'empreinte du fichier de clé publique spécifié. Les clés privées RSA1 sont également
prise en charge. Pour les clés RSA et DSA ssh-keygen essaie de trouver la clé publique correspondante
fichier et imprime son empreinte digitale. Si combiné avec -v, une représentation d'art ASCII
de la clé est fournie avec l'empreinte digitale.

-M Mémoire
Spécifiez la quantité de mémoire à utiliser (en mégaoctets) lors de la génération de modules candidats
pour DH-GEX.

-m format_clé
Spécifiez un format de clé pour le -i (importer) ou -e (exporter) les options de conversion. Les
les formats de clé pris en charge sont : « RFC4716 » (clé publique ou privée RFC 4716/SSH2), « PKCS8 »
(Clé publique PEM PKCS8) ou « PEM » (Clé publique PEM). Le format de conversion par défaut est
« RFC4716 ».

-N nouvelle_phrase de passe
Fournit la nouvelle phrase secrète.

-n directeurs
Spécifiez un ou plusieurs principaux (noms d'utilisateur ou d'hôte) à inclure dans un certificat
lors de la signature d'une clé. Plusieurs principaux peuvent être spécifiés, séparés par des virgules.
S'il vous plaît voir le CERTIFICATS section pour plus de détails.

-O option
Spécifiez une option de certificat lors de la signature d'une clé. Cette option peut être spécifiée
plusieurs fois. S'il vous plaît voir le CERTIFICATS rubrique pour plus de détails. Les options qui
sont valables pour les certificats d'utilisateurs sont :

clair Effacez toutes les autorisations activées. Ceci est utile pour effacer l'ensemble par défaut
des autorisations afin que les autorisations puissent être ajoutées individuellement.

force-commande=commander
Force l'exécution de commander au lieu de tout shell ou commande spécifié par
l'utilisateur lorsque le certificat est utilisé pour l'authentification.

pas de transfert d'agent
Désactiver agent ssh(1) renvoi (autorisé par défaut).

pas de redirection de port
Désactivez la redirection de port (autorisée par défaut).

non-pty Désactivez l'allocation PTY (autorisée par défaut).

pas d'utilisateur-rc
Désactiver l'exécution de ~/.ssh/rc by sshd(8) (autorisé par défaut).

pas de redirection x11
Désactivez le transfert X11 (autorisé par défaut).

agent-de-permis-transmission
Permet agent ssh(1) expédition.

autorisation-port-forwarding
Permet la redirection de port.

permis-pty
Permet l'attribution de PTY.

permis-utilisateur-rc
Permet l'exécution de ~/.ssh/rc by sshd (8).

autorisation-x11-transmission
Permet le transfert X11.

adresse-source=liste_adresses
Restreindre les adresses sources à partir desquelles le certificat est considéré
valide. Les liste_adresses est une liste séparée par des virgules d'un ou plusieurs
paires adresse/masque réseau au format CIDR.

À l'heure actuelle, aucune option n'est valide pour les clés d'hôte.

-o Causes ssh-keygen pour enregistrer les clés privées en utilisant le nouveau format OpenSSH plutôt que le
format PEM plus compatible. Le nouveau format a augmenté la résistance à la force brute
le craquage de mot de passe mais n'est pas pris en charge par les versions d'OpenSSH antérieures à la 6.5. Ed25519
les clés utilisent toujours le nouveau format de clé privée.

-P mot de passe
Fournit la (ancienne) phrase secrète.

-p Demande de modifier la phrase secrète d'un fichier de clé privée au lieu d'en créer un nouveau
Clé privée. Le programme demandera le fichier contenant la clé privée, par exemple
l'ancienne phrase secrète et deux fois pour la nouvelle phrase secrète.

-Q Testez si les clés ont été révoquées dans un KRL.

-q Silence ssh-keygen.

-R nom d'hôte
Supprime toutes les clés appartenant à nom d'hôte d'un hôtes_connus déposer. Cette option est
utile pour supprimer les hôtes hachés (voir le -H option ci-dessus).

-r nom d'hôte
Imprimez l'enregistrement de ressource d'empreinte digitale SSHFP nommé nom d'hôte pour le public spécifié
fichier clé.

-S Commencer
Spécifiez le point de départ (en hexadécimal) lors de la génération des modules candidats pour DH-GEX.

-s clé_ca
Certifier (signer) une clé publique à l'aide de la clé CA spécifiée. S'il vous plaît voir le CERTIFICATS
section pour plus de détails.

Lors de la génération d'un KRL, -s spécifie un chemin vers un fichier de clé publique CA utilisé pour révoquer
certificats directement par ID de clé ou numéro de série. Voir le clé - KEY RÉVOCATION LISTE
section pour plus de détails.

-T fichier de sortie
Testez les nombres premiers candidats à l'échange de groupes DH (générés à l'aide du -G option) pour la sécurité.

-t dsa | ECDSA | ed25519 | rsa | rsa1
Spécifie le type de clé à créer. Les valeurs possibles sont « rsa1 » pour le protocole
version 1 et « dsa », « ecdsa », « ed25519 » ou « rsa » pour le protocole version 2.

-u Mettre à jour un KRL. Lorsqu'il est spécifié avec -k, les clés répertoriées via la ligne de commande sont ajoutées à
le KRL existant plutôt qu'un nouveau KRL en cours de création.

-V intervalle_validité
Spécifiez un intervalle de validité lors de la signature d'un certificat. Un intervalle de validité peut
consister en une seule fois, indiquant que le certificat est valide à partir de maintenant et
expirant à ce moment-là, ou peut consister en deux heures séparées par deux points pour indiquer
un intervalle de temps explicite. L'heure de début peut être spécifiée sous forme de date au format AAAAMMJJ
format, une heure au format AAAAMMJJHHMMSS ou une heure relative (à l'heure actuelle)
consistant en un signe moins suivi d'une heure relative dans le format décrit dans
la section FORMATS HORAIRES de sshd_config(5). L'heure de fin peut être spécifiée comme un
date AAAAMMJJ, une heure AAAAMMJJHHMMSS ou une heure relative commençant par un plus
caractère.

Par exemple : "+52w1d" (valable de maintenant à 52 semaines et un jour à partir de maintenant), "-4w:+4w"
(valable d'il y a quatre semaines à quatre semaines à partir de maintenant), "20100101123000:20110101123000"
(valable de 12h30, 1er janvier 2010 à 12h30, 1er janvier 2011),
« -1d:20110101 » (valable d'hier à minuit le 1er janvier 2011).

-v Mode verbeux. Causes ssh-keygen pour imprimer des messages de débogage sur sa progression.
Ceci est utile pour déboguer la génération de modules. Plusieurs -v les options augmentent la
verbosité. Le maximum est de 3.

-W générateur
Spécifiez le générateur souhaité lors du test des modules candidats pour DH-GEX.

-y Cette option lira un fichier au format OpenSSH privé et imprimera une clé publique OpenSSH
à la sortie standard.

-z numéro de série
Spécifie un numéro de série à intégrer dans le certificat pour distinguer ce
certificat d'autres de la même autorité de certification. Le numéro de série par défaut est zéro.

Lors de la génération d'un KRL, le -z flag est utilisé pour spécifier un numéro de version KRL.

MODULES GÉNÉRATION

ssh-keygen peut être utilisé pour générer des groupes pour le Diffie-Hellman Group Exchange (DH-GEX)
protocole. La génération de ces groupes est un processus en deux étapes : d'abord, les nombres premiers candidats sont
généré à l'aide d'un processus rapide mais gourmand en mémoire. Ces premiers candidats sont alors
testé pour l'adéquation (un processus gourmand en CPU).

La génération des nombres premiers s'effectue à l'aide de la -G option. La longueur souhaitée des nombres premiers peut
être spécifié par le -b option. Par exemple:

# ssh-keygen -G modules-2048.candidates -b 2048

Par défaut, la recherche de nombres premiers commence à un point aléatoire dans la plage de longueur souhaitée.
Ceci peut être outrepassé en utilisant le -S option, qui spécifie un point de départ différent (en
hexadécimal).

Une fois qu'un ensemble de candidats ont été générés, ils doivent être sélectionnés pour leur adéquation. Cette
peut être effectué à l'aide du -T option. Dans ce mode ssh-keygen liront les candidats de
entrée standard (ou un fichier spécifié à l'aide de la -f option). Par exemple:

# ssh-keygen -T modules-2048 -f modules-2048.candidates

Par défaut, chaque candidat sera soumis à 100 tests de primalité. Cela peut être outrepassé
en utilisant l' -a option. La valeur du générateur DH sera choisie automatiquement pour le premier
à l'étude. Si un générateur spécifique est souhaité, il peut être demandé en utilisant le -W
option. Les valeurs de générateur valides sont 2, 3 et 5.

Des groupes DH blindés peuvent être installés dans /etc/ssh/modules. Il est important que ce fichier
contient des modules d'une plage de longueurs de bits et que les deux extrémités d'une connexion partagent
modules.

CERTIFICATS

ssh-keygen prend en charge la signature de clés pour produire des certificats qui peuvent être utilisés pour l'utilisateur ou
authentification de l'hôte. Les certificats se composent d'une clé publique, de quelques informations d'identité, de zéro
ou plusieurs noms principaux (utilisateur ou hôte) et un ensemble d'options signées par un
Clé d'autorité de certification (CA). Les clients ou les serveurs peuvent alors faire confiance uniquement à la clé CA et
vérifier sa signature sur un certificat plutôt que de faire confiance à de nombreuses clés utilisateur/hôte. Noter que
Les certificats OpenSSH sont un format différent et beaucoup plus simple des certificats X.509
utilisé dans ssl (8).

ssh-keygen prend en charge deux types de certificats : utilisateur et hôte. Certificats d'utilisateur
authentifient les utilisateurs auprès des serveurs, tandis que les certificats d'hôte authentifient les hôtes du serveur auprès des utilisateurs.
Pour générer un certificat utilisateur :

$ ssh-keygen -s /chemin/vers/ca_key -I key_id /chemin/vers/user_key.pub

Le certificat résultant sera placé dans /chemin/vers/user_key-cert.pub. Un certificat d'hôte
nécessite le -h option:

$ ssh-keygen -s /chemin/vers/ca_key -I key_id -h /chemin/vers/host_key.pub

Le certificat hôte sera envoyé à /chemin/vers/host_key-cert.pub.

Il est possible de signer à l'aide d'une clé CA stockée dans un token PKCS#11 en fournissant le token
bibliothèque utilisant -D et en identifiant la clé CA en fournissant sa moitié publique comme argument pour
-s:

$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub

Dans tous les cas, id_clé est un "identifiant de clé" qui est enregistré par le serveur lorsque le certificat
est utilisé pour l'authentification.

Les certificats peuvent être limités pour être valides pour un ensemble de noms principaux (utilisateur/hôte). Par
par défaut, les certificats générés sont valides pour tous les utilisateurs ou hôtes. Pour générer un certificat
pour un ensemble spécifié de principaux :

$ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
$ ssh-keygen -s ca_key -I key_id -h -n host.domain host_key.pub

Des limitations supplémentaires sur la validité et l'utilisation des certificats d'utilisateur peuvent être spécifiées via
options de certificat. Une option de certificat peut désactiver des fonctionnalités de la session SSH, peut être
valable uniquement lorsqu'elle est présentée à partir d'adresses de source particulières ou peut forcer l'utilisation d'un
commande spécifique. Pour obtenir la liste des options de certificat valides, consultez la documentation du -O
option ci-dessus.

Enfin, les certificats peuvent être définis avec une durée de vie de validité. Les -V l'option permet
spécification des heures de début et de fin du certificat. Un certificat qui est présenté à la fois
en dehors de cette plage ne sera pas considérée comme valide. Par défaut, les certificats sont valables à partir de
UNIX Epoch dans un futur lointain.

Pour que les certificats soient utilisés pour l'authentification de l'utilisateur ou de l'hôte, la clé publique de l'AC doit être
approuvé par sshd(8) ou ssh(1). Veuillez vous référer à ces pages de manuel pour plus de détails.

clé - KEY RÉVOCATION LISTE

ssh-keygen est capable de gérer les listes de révocation de clés (KRL) au format OpenSSH. Ces fichiers binaires
spécifier les clés ou les certificats à révoquer en utilisant un format compact, en prenant aussi peu qu'un
bit par certificat s'ils sont révoqués par numéro de série.

Les KRL peuvent être générés à l'aide du -k drapeau. Cette option lit un ou plusieurs fichiers du
ligne de commande et génère un nouveau KRL. Les fichiers peuvent contenir soit une spécification KRL (voir
ci-dessous) ou des clés publiques, répertoriées une par ligne. Les clés publiques simples sont révoquées en énumérant leurs
hachage ou contenu dans le KRL et certificats révoqués par numéro de série ou ID de clé (si le
série est zéro ou non disponible).

La révocation des clés à l'aide d'une spécification KRL offre un contrôle explicite sur les types d'enregistrement
utilisé pour révoquer les clés et peut être utilisé pour révoquer directement les certificats par numéro de série ou clé
pièce d'identité sans avoir en main le certificat original complet. Une spécification KRL consiste
de lignes contenant l'une des directives suivantes suivies de deux points et d'une directive-
information spécifique.

en série: numéro de série[-numéro de série]
Révoque un certificat avec le numéro de série spécifié. Les numéros de série sont en 64 bits
valeurs non comprises zéro et peuvent être exprimées en décimal, hexadécimal ou octal. Si deux
les numéros de série sont spécifiés séparés par un tiret, puis la plage de numéros de série
y compris et entre chacun est révoqué. La clé CA doit avoir été spécifiée sur le
ssh-keygen ligne de commande en utilisant le -s option.

id: id_clé
Révoque un certificat avec la chaîne d'ID de clé spécifiée. La clé CA doit avoir été
spécifié sur le ssh-keygen ligne de commande en utilisant le -s option.

clé: Clé publique
Révoque la clé spécifiée. Si un certificat est répertorié, il est alors révoqué en tant que
clé publique simple.

sha1: Clé publique
Révoque la clé spécifiée par son hachage SHA1.

Les KRL peuvent être mis à jour en utilisant le -u drapeau en plus de -k. Lorsque cette option est spécifiée,
les clés répertoriées via la ligne de commande sont fusionnées dans le KRL, s'ajoutant à celles déjà présentes.

Il est également possible, étant donné un KRL, de tester s'il révoque une (ou des) clé(s) particulière(s).
Votre -Q flag interrogera un KRL existant, testant chaque clé spécifiée sur la ligne de commande. Si
toute clé répertoriée sur la ligne de commande a été révoquée (ou une erreur s'est produite) alors
ssh-keygen sortira avec un état de sortie différent de zéro. Un statut de sortie zéro ne sera renvoyé
si aucune clé n'a été révoquée.

Utilisez ssh-keygen en ligne à l'aide des services onworks.net