Як відкликати сертифікат ssh (не файл посвідчення ssh!)

Я створив такий сертифікат ssh:

1. ssh-keygen -f ca_key # генерувати ключ ssh для використання в якості сертифіката
2. згенерувати хост-ключ ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. вкажіть ключ хоста у файлі конфігурації sshd сервера: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. генерувати локальний сертифікат для доступу хоста , використовуючи SSH сертифікат: ssh-keygen -s ca_key -I cert_identifier user_key.pub. Це має створити user_key-cert.pub

Тепер я можу ввійти на сервер за допомогою ssh -i user_key user@host(який використовує user_key-cert.pub). Як я можу відкликати сертифікат, окрім відключення файлу TrustedUserCAKeys?

sshd_config має файл RevokedKeys. Ви можете перерахувати в ньому кілька ключів або сертифікатів, по одному на рядок. Надалі OpenSSH підтримуватиме скасування за серійним номером сертифікатів, що дозволить зробити набагато менші списки відкликань.

Вони можуть вас зацікавити:

CARevocationFile /path/to/bundle.crl Цей файл містить декілька "Список відкликаних сертифікатів" (CRL) підписників сертифікатів у форматі PEM, об'єднаних разом.

CARevocationPath / шлях / до / CRL / "Hash dir" зі "Списком відкликань сертифікатів" (CRL) сертифікатів, що підписують сертифікати. Кожен CRL повинен зберігатися в окремому файлі з ім'ям [HASH] .r [NUMBER], де [HASH] - хеш-значення CRL і [NUMBER] - ціле число, починаючи з нуля. Хеш - результат такої команди: $ openssl crl -в crl_file_name -noout -hash

(перші 3 звернення Google у пошуку за "ssh ca revoke" ...)