Eu gerei um certificado ssh como este:
ssh-keygen -f ca_key# gera um par de chaves ssh para usar como certificado- gerar uma chave de host
ssh-keygen -s ca_key -I cert_identifier -h host_key.pub - especifique a chave do host no arquivo de configuração sshd do servidor:
TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub - gerar um certificado local para acessar o host usando um certificado ssh:
ssh-keygen -s ca_key -I cert_identifier user_key.pub. Isso deve gerar user_key-cert.pub
Agora posso ssh -i user_key user@hostefetuar login no servidor usando (que usa user_key-cert.pub). Como posso revogar o certificado que não seja a desativação do arquivo TrustedUserCAKeys?
Respostas:
sshd_config possui um arquivo RevokedKeys. Você pode listar várias chaves ou certificados, um por linha. No futuro, o OpenSSH suportará a revogação pelo número de série do certificado, o que resultará em listas de revogação muito menores.
fonte
Estes podem ser do seu interesse:
CARevocationFile /path/to/bundle.crl Este arquivo contém várias "CRLs" de assinantes de certificados no formato PEM concatenadas.
CARevocationPath / path / to / CRLs / "Hash dir" com "Certificate Revocation List" (CRL) dos assinantes de certificado. Cada CRL deve ser armazenada em um arquivo separado com o nome [HASH] .r [NUMBER], onde [HASH] é o valor de hash da CRL e [NUMBER] é um número inteiro começando do zero. Hash é resultado de um comando como este: $ openssl crl -in crl_file_name -noout -hash
(três primeiros hits do Google em uma pesquisa por "ssh ca revoke" ...)
fonte