LINUX.ORG.RU
ФорумTalks

[вещества][криптография][объясните] OpenSSL vs OpenSSH и CA

 , ,


0

0

Мама, а чому у OpenSSH свой велосипед какой-то, а не стандартные OpenSSL-сертификаты?

Сейчас обновляю на своем сервере бардак из старых сертификатов. Взял TinyCA (не Ъ, но зато гламурненько), сделал свой самоподписный CA, сертификатиков клиентских и серверных под все дела, и вспомнил про SSH. Вроде бы все то же самое, но формат ключей свой собственный. Т.е. заранее раскладывать по машинкам (с OpenVZ их много) подписанные моим CA ключи и доверять не каждому отдельному хосту что он там себе нагенерил, а одному CA, гарантирующему что все в порядке, не выходит.

Поэтому спрашиваю у экспертов по всем вопросам — а) это я не понимаю ничего в SSH; б) это Тео (как?!) с ребятами построили собственный велосипед, или в) OpenSSH все умеет, а это я был излишне труЪ и не нашел ссылки в гугле чтобы пройти по ней, чем и невозбранно достигнуть желаемого?

anonymous

>а это я был излишне труЪ и не нашел ссылки в гугле чтобы пройти по ней, чем и невозбранно достигнуть желаемого?

Именно так, и вам достопочтенный сэр Анонимус предлагается совершить противоправный акт в отношении близлежащей стены.

Велосипед не OpenSSH, а CA.

anonymous
()
Ответ на: комментарий от anonymous

> и вам достопочтенный сэр Анонимус предлагается совершить противоправный акт в отношении близлежащей стены.

Любезно соглашусь на Ваше предложение, любезный сэр, но перед этим попросил бы Вас соизволить рассказать поподробнее о том, почему CA — велосипед?

Мне всегда казалось что CA это очевидное явление, исходящее из цепочек подписи сертификатов.

anonymous
()

Я конечно не пробывал (как то не доводилось), но может быть AuthorizedKeysFile - то что вы ищите? OpenSSL сертификаты - это какие? Вроде как у нас общепринятый формат - X.509 (=

vasily_pupkin ★★★★★
()
Ответ на: комментарий от vasily_pupkin

> Я конечно не пробывал (как то не доводилось), но может быть AuthorizedKeysFile - то что вы ищите?

Нет, это я знаю, это не то. Вот что я хочу: у меня есть 100 хостов. На каждый из них я генерю ключик, подписанный своим CA. И, когда я с какого-то хоста иду, то меня не спрашивают что я иду на новый хост с таким-то отпечатком ключа, а видят что этот неизвестный ключ подписан моим CA и, следовательно, является доверенным. Т.е. вместо впихивания на каждой машине откуда я буду ходить по SSH сотни записей в .ssh/known_hosts я один раз показываю свой CA и говорю «написанному — верить».

> OpenSSL сертификаты - это какие? Вроде как у нас общепринятый формат - X.509

Да, речь о X.509. Большое спасибо, совсем из головы вылетело это название.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks