Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

14.3.8. SSH CA 証明書の取り消し

証明書が盗まれる場合、取り消す必要があります。OpenSSH は失効リストを配布するメカニズムを提供していませんが、依然として失効リストを作成し、他の方法で配布して、事前に作成して配布されるすべてのホストおよびユーザー証明書を変更できます。
鍵を取り消すには、それらを revoked_keys ファイルに追加し、以下のように sshd_config ファイルにファイル名を指定します。
RevokedKeys /etc/ssh/revoked_keys
: このファイルが読み取り可能でない場合は、全ユーザーに対して公開鍵認証が拒否されることに注意してください。
キーが取り消されているかどうかをテストするには、失効リストにキーが存在するようクエリーします。以下のようなコマンドを使用します。
ssh-keygen -Qf /etc/ssh/revoked_keys ~/.ssh/id_rsa.pub
ユーザーは、cert-authority ディレクティブを変更して known_hosts ファイルで 取り消しするように CA 証明書を取り消す ことができます。