Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

14.3.4. SSH CA 公開鍵の配布と信頼

プロジェクトから証明書の認証されたログインを許可するホストは、ユーザーの証明書を認証するために、ユーザー証明書の署名に使用された CA の公開キーを信頼するように設定する必要があります。この例では、ca_user_key.pub です。
ca_user_key.pub 鍵を公開し、リモートユーザーがログインできるように必要なすべてのホストにダウンロードします。または、CA ユーザーの公開鍵をすべてのホストにコピーします。実稼働環境では、公開鍵をまず管理者アカウントにコピーすることを検討してください。secure copy コマンドを使用して、公開鍵をリモートホストにコピーすることができます。このコマンドは、
scp ~/.ssh/ca_user_key.pub root@host_name.example.com:/etc/ssh/
の形式を取ります。host_name は、ログインプロセス中に提示されるユーザーの証明書の認証に必要なサーバーのホスト名です。秘密鍵ではなく公開鍵をコピーしてください。たとえば、root で以下を実行します。 
~]# scp ~/.ssh/ca_user_key.pub root@host_name.example.com:/etc/ssh/
The authenticity of host 'host_name.example.com (10.34.74.56)' can't be established.
RSA key fingerprint is fc:23:ad:ae:10:6f:d1:a1:67:ee:b1:d5:37:d4:b0:2f.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'host_name.example.com,10.34.74.56' (RSA) to the list of known hosts.
root@host_name.example.com's password:
ca_user_key.pub                                       100%  420     0.4KB/s   00:00
リモートユーザー認証の場合、CA キーは、cert-authority ディレクティブを使用するか、/etc /ssh/sshd_config ファイルの TrustedUserCAKeys ディレクティブを使用してグローバルに使用することで、~/.ssh/authorized_keys ファイルで信頼されるユーザー/authorized_keys としてマークできます。リモートホスト認証の場合、CA キーは、/etc/ssh/known_hosts ファイルまたは ~/.ssh/ssh_known_hosts ファイルのユーザーごとに信頼できるとマークできます。

手順14.2 ユーザー署名キーの信頼

  • 1 つ以上の原則が記載されていて、設定がグローバルを有効にする場合は、/etc/ssh/sshd_config ファイルを以下のように編集します。
    TrustedUserCAKeys /etc/ssh/ca_user_key.pub
    sshd を再起動して変更を適用します。 
    ~]# service sshd restart
不明なホストについての警告が表示されないようにするには、ユーザーのシステムが、ホスト証明書の署名に使用された CA の公開鍵を信頼する必要があります。この例では ca_host_key.pub です。

手順14.3 ホスト署名キーの信頼

  1. ホスト証明書の署名に使用される公開鍵の内容を抽出します。たとえば、CA では以下のようになります。 
    cat ~/.ssh/ca_host_key.pub
ssh-rsa  AAAAB5Wm.== root@ca-server.example.com
  2. サーバーの署名済みホスト証明書を信頼するようにクライアントシステムを設定するには、ca_host_key.pub の内容をグローバル known_hosts ファイルに追加します。これにより、新しいマシンが *.example.com ドメインで接続されるたびに、すべてのユーザーに対して、サーバーのホストが CA 公開鍵に対してアドバタイズされた証明書が自動的にチェックされます。root としてログインし、/etc/ssh/ssh_known_hosts ファイルを設定します。 
    ~]# vi /etc/ssh/ssh_known_hosts
# A CA key, accepted for any host in *.example.com
@cert-authority *.example.com ssh-rsa AAAAB5Wm.
    ssh-rsa AAAAB5Wm.ca_host_key.pub の内容です。上記は、システムが CA サーバーのホスト公開鍵を信頼するように設定します。これにより、ホストが提示する証明書のグローバル認証ができるようになります。