Пари ключів повинні бути створені користувачем.
Користувач зберігає приватну половину - ви ніколи її не бачите. Якщо у вас є чийсь приватний ключ у формі, де ви можете його читати / використовувати, ви робите неправильну безпеку.
Публічна половина надається вам (за будь-яким механізмом, який ви хочете: веб-форма, електронна пошта, передайте мені-на-компакт-диску), яку ви хочете централізувати, як тільки захочете. Деякі місця зберігають відкриті ключі в LDAP. Інші виштовхують authorized_keys
файли за допомогою їх системи розгортання.
У моєму середовищі користувачі, які потребують доступу до оболонки, дають мені свої відкриті ключі. Ці ключі додаються до нашої системи LDAP і sshd
консультуються із відкритими відкритими ключами для кожного користувача для аутентифікації їх за допомогою патчу відкритого ключа LDAP .
Коли комусь потрібно додати додатковий ключ або відкликати існуючий ключ, він повідомляє адміністратора, і ми піклуємося про нього. Врешті-решт, під час масштабування я застосую систему, яка дозволяє людям обертати власні відкриті ключі.
На кожному з наших сайтів є пара серверів LDAP, синхронізована з нашим майстром з реплікацією LDAP, яка зберігає дані послідовними (і доступними) у кожному місці.
Все, що я описав, можна зробити з програмним забезпеченням з відкритим кодом. Є також комерційні продукти, які роблять те саме.
Вам потрібно більш ретельно вивчити наявні варіанти та вирішити, який із них найкраще підходить для вашого оточення. Якщо у вас є додаткові (конкретніші) запитання, ми, мабуть, можемо бути кориснішими.