генерирует, управляет и преобразует ключи аутентификации для
может создавать ключи для использования по протоколу SSH версии 2.
Тип генерируемого ключа указывается с помощью параметра
При вызове без каких-либо аргументов
сгенерирует ключ RSA.
также используется для создания групп для использования в групповом обмене Диффи-Хеллмана (DH-GEX). Подробная информация приведена в разделе
Наконец,
можно использовать для создания и обновления списков отзыва ключей, а также для проверки того, были ли данные ключи отозваны по одному. Для получения подробной информации см. раздел
Обычно каждый пользователь, желающий использовать SSH с аутентификацией по открытому ключу, запускает
один раз, чтобы создать ключ аутентификации в
or
Кроме того, системный администратор может использовать
для генерации ключей хоста.
Обычно эта программа генерирует ключ и запрашивает файл, в котором будет храниться закрытый ключ. Открытый ключ хранится в файле с тем же именем, но с добавлением
Программа также запрашивает парольную фразу. Ключевая фраза может быть пустой, чтобы указать на отсутствие ключевой фразы (ключи хоста должны содержать пустую ключевую фразу), или это может быть строка произвольной длины. Парольная фраза похожа на пароль, за исключением того, что это может быть фраза, состоящая из ряда слов, знаков препинания, цифр, пробелов или любой строки символов, которую вы хотите. Хорошие парольные фразы имеют длину 10-30 символов, не являются простыми предложениями или иным образом легко угадываемыми (английская проза содержит всего 1-2 бита энтропии на символ и предоставляет очень плохие парольные фразы) и содержат сочетание прописных и строчных букв, цифр и неалфавитно-цифровых символов. Ключевую фразу можно изменить позже, используя параметр
Восстановить потерянную парольную фразу невозможно. Если парольная фраза утеряна или забыта, то необходимо сгенерировать новый ключ и скопировать соответствующий открытый ключ на другие компьютеры.
по умолчанию будет записывать ключи в формате, специфичном для OpenSSH. Этот формат предпочтителен, поскольку он обеспечивает более надежную защиту для ключей, пока они не используются, а также позволяет хранить комментарии к ключам в самом файле закрытого ключа. Комментарий к ключу может быть полезен для идентификации ключа. Комментарий инициализируется значением
при создании ключа, но может быть изменен с помощью параметра
Для
по-прежнему возможно записывать ранее используемые закрытые ключи формата PEM, используя параметр
Это может использоваться при генерации новых ключей, а существующие ключи нового формата могут быть преобразованы с использованием этого параметра в сочетании с параметром
(изменить парольную фразу).
После того, как ключ сгенерирован,
выполнит запрос пути к ключу для активации.
Доступны следующие параметры:
Для каждого из типов ключей (rsa, dsa, ecdsa и ed25519), для которых ключей хоста не существует, сгенерировать ключи хоста с путем к файлу ключа по умолчанию, пустой парольной фразой, битами по умолчанию для типа ключа и комментарием по умолчанию. Если также указан параметр
то его аргумент используется в качестве префикса пути по умолчанию для результирующих файлов ключей хоста. Это используется сценариями системного администрирования для генерации новых ключей хоста.
Определяет количество используемых раундов KDF (функции получения ключа, сейчас
при сохранении закрытого ключа. Чем больше число, тем медленнее проверка парольной фразы и выше устойчивость к взлому пароля методом перебора (в случае кражи ключей). Значение по умолчанию — 16 раундов.
Показать дайджест bubblebabble для указанного файла закрытого или открытого ключа.
Указать количество битов в создаваемом ключе. Для ключей RSA минимальный размер составляет 1024 бита, а значение по умолчанию — 3072 бита. Как правило, 3072 бита считается достаточным. Ключи DSA должны иметь длину ровно 1024 бита, как указано в FIPS 186-2. Для ключей ECDSA параметр
определяет длину ключа, выбирая один из трех размеров эллиптической кривой: 256, 384 или 521 бит. Попытка использовать длины битов, отличные от этих трех значений, для ключей ECDSA завершится неудачей. Ключи ECDSA-SK, Ed25519 и Ed25519-SK имеют фиксированную длину, и параметр
будет проигнорирован.
Добавить новый комментарий.
Запросить изменение комментария в файлах закрытого и открытого ключей. Программа запросит файл, содержащий закрытые ключи, парольную фразу, если она есть в ключе, и новый комментарий.
Загрузить открытые ключи, предоставленные общей библиотекой PKCS#11
При использовании в сочетании с
этот параметр указывает, что ключ CA находится в токене PKCS#11 (подробности см. в разделе
Задать алгоритм хэширования, используемый при отображении отпечатков ключей. Доступные значения —
и
Значение по умолчанию —
Cчитать закрытый или открытый файл ключа OpenSSH и вывести на стандартный вывод открытый ключ в одном из форматов, указанных в параметре
Формат экспорта по умолчанию —
Этот параметр позволяет экспортировать ключи OpenSSH для использования другими программами, включая несколько коммерческих реализаций SSH.
Выполнить поиск по указанному имени хоста (с необязательным номером порта) в файле
со списком всех найденных вхождений. Этот параметр полезен для поиска хэшированных имен хостов или адресов, а также может использоваться в сочетании с параметром
для печати найденных ключей в хэшированном формате.
Задать имя файла ключа.
Использовать общий формат DNS при отображении записей ресурсов отпечатков с помощью команды
Хэшировать файл
Это заменяет все имена хостов и адреса хэшированными представлениями в указанном файле; исходное содержимое перемещается в файл с суффиксом .old. Эти хэши могут обычно использоваться
и
но они не раскрывают идентифицирующую информацию, если содержимое файла будет раскрыто. Этот параметр не изменяет существующие хэшированные имена хостов и поэтому безопасен для использования с файлами, в которых смешиваются хэшированные и не хэшированные имена.
При подписании ключа создать сертификат хоста вместо сертификата пользователя. Для получения подробной информации см. раздел
Указать идентификатор ключа при подписании открытого ключа. Для получения подробной информации см. раздел
Этот параметр считывает незашифрованный файл закрытого (или общедоступного) ключа в формате, указанном параметром
и выводит совместимый с OpenSSH закрытый (или общедоступный) ключ в стандартный вывод. Этот параметр позволяет импортировать ключи из другого программного обеспечения, включая несколько коммерческих реализаций SSH. Формат импорта по умолчанию —
Загрузить резидентные ключи из средства проверки подлинности FIDO. Файлы открытых и закрытых ключей будут записаны в текущий каталог для каждого загруженного ключа. Если подключено несколько средств проверки подлинности FIDO, ключи будут загружены с первого подключенного средства проверки подлинности. Для получения дополнительной информации см. раздел
Сгенерировать файл KRL. В этом режиме
сгенерирует файл KRL в местоположении, указанном с помощью флага
который аннулирует каждый ключ или сертификат, представленные в командной строке. Ключи/сертификаты, подлежащие отзыву, могут быть указаны в файле открытого ключа или с использованием формата, описанного в разделе
Вывести содержимое одного или нескольких сертификатов.
Отобразить отпечаток указанного файла открытого ключа. Для ключей RSA и DSA
пытается найти соответствующий файл открытого ключа и выводит его отпечаток. В сочетании с
вместе с отпечатком поставляется визуальное представление ключа в формате ASCII.
Сгенерировать возможные параметры группового обмена Диффи-Хеллмана (DH-GEX) для последующего использования методами обмена ключами
Числа, сгенерированные с помощью этой операции, должны быть дополнительно проверены перед использованием. Для получения дополнительной информации см. раздел
Отобразить параметры-кандидаты для обмена группами Диффи-Хеллмана. При этом будет принят список чисел-кандидатов и проверено, что они являются безопасными простыми числами (Софи Жермен) с приемлемыми генераторами групп. Результаты этой операции могут быть добавлены к
Для получения дополнительной информации см. раздел
Указать формат ключа для создания ключей, параметры преобразования
(импорт),
(экспорт) и действия по изменению пароля
Последними можно воспользоваться для преобразования форматов закрытых ключей OpenSSH и закрытых ключей PEM. Поддерживаемые форматы ключей:
(открытый или закрытый ключ RFC 4716 / SSH2),
(открытый или закрытый ключ PKCS8) или
(открытый ключ PEM). По умолчанию OpenSSH будет записывать вновь созданные закрытые ключи в своем собственном формате, но при преобразовании типичным форматом экспорта открытых ключей является
Установка формата
при создании или обновлении поддерживаемого типа закрытого ключа ключ будет сохранен в устаревшем формате закрытого ключа PEM.
Предоставляет новую парольную фразу.
Указать один или несколько принципалов (имена пользователей или хостов), которые должны быть включены в сертификат при подписании ключа. Можно указать несколько принципалов, разделив принципалы запятыми. Подробности см. в разделе
Указать параметр ключ/значение. Специфичны для действия, которое было запрошено выполнит
При подписании сертификатов в качестве аргумента может быть указан один из параметров, перечисленных в разделе
При выполнении создания или проверки модулей может быть указан один из параметров, перечисленных в разделе
При генерации ключей на основе аутентификатора FIDO могут быть указаны параметры, перечисленные в разделе
При выполнении параметров, связанных с подписью, с использованием флага
принимаются следующие параметры:
Выбрать алгоритм хэширования подписываемого сообщения. Допустимые алгоритмы
и
Значение по умолчанию -
Выведите полный открытый ключ на стандартный вывод после проверки подписи.
Указать время, которое будет использоваться при проверке подписей вместо текущего времени. Время может быть указано в виде даты или времени в форматах ГГГГММДД[Z] или ГГГГММДДХХММ[SS][Z]. Даты и время будут интерпретироваться в текущем системном часовом поясе, если к ним не добавлен символ Z, что приводит к их интерпретации в часовом поясе UTC.
При генерации записей SSHFP DNS из открытых ключей с использованием флага
принимаются следующие параметры:
Выбрать алгоритм хэширования, который будет использоваться при выводе записей SSHFP с использованием флага
Допустимыми алгоритмами являются
и
По умолчанию выводятся оба.
Параметр
может быть указан несколько раз.
Предоставить (старую) парольную фразу.
Запросить изменение парольной фразы файла закрытого ключа вместо создания нового закрытого ключа. Программа запросит файл, содержащий закрытый ключ, для старой парольной фразы и дважды для новой парольной фразы.
Проверить, были ли отозваны ключи в KRL. Если также указан параметр
то будет напечатано содержимое KRL.
Подавить вывод сообщений
Удалить все ключи, принадлежащие указанному
(с необязательным номером порта) из файла
Этот параметр полезен для удаления хэшированных хостов (см. параметр
выше).
Вывести запись ресурса отпечатков SSHFP с
для указанного файла открытого ключа.
Сертифицировать (подписать) открытый ключ, используя указанный ключ центра сертификации. Подробности смотрите в разделе
При создании KRL
указывает путь к файлу открытого ключа CA, используемому для отзыва сертификатов непосредственно по идентификатору ключа или серийному номеру. Подробности смотрите в разделе
Указывает тип создаваемого ключа. Возможными значениями являются
или
Этот флаг также может использоваться для указания желаемого типа подписи при подписании сертификатов с использованием ключа RSA CA. Доступными вариантами подписи RSA являются
(подписи SHA1, не рекомендуется),
и
(значение по умолчанию).
При использовании в сочетании с
или
этот параметр указывает, что ключ CA находится в
См. раздел
для получения дополнительной информации.
Обновить KRL. Если указано значение
то ключи, перечисленные в командной строке, добавляются к существующему KRL, а не создается новый KRL.
Указать интервал действия при подписании сертификата. Интервал действия может состоять из одного времени, указывающего на то, что сертификат действителен с настоящего момента и истекает в это время, или может состоять из двух периодов, разделенных двоеточием, для указания явного временного интервала.
Время начала может быть указано следующим образом:
Строка
указывает на то, что у сертификата не указано время запуска.
Дата или время в системном часовом поясе, отформатированы как ГГГГММДД или ГГГГММДДЧЧММ[СС].
Дата или время в часовом поясе UTC в виде ГГГГММДДZ или ГГГГММДДЧЧММ[СС]Z.
Относительное время до текущего системного времени состоит из знака минус, за которым следует интервал в формате, описанном в разделе ФОРМАТЫ ВРЕМЕНИ
Необработанные секунды с начала эпохи (1 января 1970 года 00:00:00 UTC) в виде шестнадцатеричного числа, начинающегося с
Время окончания может быть указано аналогично времени начала:
Строка
указывает на то, что сертификат не имеет указанного времени окончания.
Дата или время в системном часовом поясе, отформатированы как ГГГГММДД или ГГГГММДДЧЧММ[СС].
Дата или время в часовом поясе UTC в виде ГГГГММДДZ или ГГГГММДДЧЧММ[СС]Z.
Относительное время после текущего системного времени, состоящее из знака плюс, за которым следует интервал в формате, описанном в разделе ФОРМАТЫ ВРЕМЕНИ в справочном руководстве
Необработанные секунды с начала эпохи (1 января 1970 года 00:00:00 UTC) в виде шестнадцатеричного числа, начинающегося с
Например:
Действует с настоящего момента до 52 недель и через один день.
Действует с четырех недель назад по четыре недели спустя.
Действует с 12:30 1 января 2010 года по 12:30 1 января 2011 года.
Аналогично, но интерпретируется в часовом поясе UTC, а не в системном часовом поясе.
Действует со вчерашнего дня до полуночи 1 января 2011 года.
Действует примерно с начала 1970 года по май 2033 года.
Действует с одной минуты назад и никогда не истекает.
Режим подробных сообщений. Предписывает
выводить диагностические сообщения о прогрессе обработки задач. Данный параметр может быть применен для диагностики создания модулей. Добавление дополнительного параметра
повышает подробность. Самым подробным является режим с тремя параметрами
Задать путь к библиотеке, которая будет использована при создании любых ключей FIDO на стороне средства распознавания. Переопределяет типичное использование встроенной поддержки HID USB.
Найти участника(ов), связанного(ых) с открытым ключом подписи, предоставленным с использованием флага
в файле авторизованных подписантов, предоставленном с использованием флага
Формат файла разрешенных подписантов задокументирован в разделе
ниже. Если найден один или несколько подходящих участников, то они возвращаются на стандартный вывод.
Найти участника, соответствующего имени участника, указанному с помощью флага
в файле разрешенных подписантов, указанном с помощью флага
Если найден один или несколько подходящих участников, они возвращаются на стандартный вывод.
Проверить, что подпись, сгенерированная с использованием
имеет допустимую структуру. Это не проверяет, если подпись исходит от авторизованного подписанта. При проверке подписи
принимает сообщение из стандартного ввода и пространство имен подписи с использованием
Файл, содержащий соответствующую подпись, также должен быть предоставлен с использованием флага
При успешной проверке подписи
возвращает нулевой статус выхода.
Криптографически подписать файл или некоторые данные с помощью SSH-ключа. При подписании
принимает ноль или более файлов для подписи в командной строке. Если файлы не указаны, то
подпишет данные, представленные из стандартного ввода. Подписи записываются в путь к входному файлу с добавлением
или на стандартный вывод, если сообщение, подлежащее подписи, было прочитано из стандартного ввода.
Ключ, используемый для подписи, указывается с помощью параметра
и может относиться либо к закрытому ключу, либо к открытому ключу с закрытой половиной, доступной через
Дополнительное пространство имен подписей, используемое для предотвращения путаницы подписей в разных доменах использования (например, подпись файлов против подписи электронной почты), должно быть предоставлено с помощью флага
Пространства имен представляют собой произвольные строки и могут включать:
для подписи файла,
для подписи электронной почты. Для пользовательского использования рекомендуется использовать имена, следующие за шаблоном ПРОСТРАНСТВО_ИМЕН@ИМЯ.ДОМЕНА для создания однозначных пространств имен.
Запросить на проверку подпись, сгенерированную с использованием
как описано выше. При проверке подписи
принимает сообщение из стандартного ввода и пространство имен подписи с использованием
Файл, содержащий соответствующую подпись, также должен быть предоставлен с использованием флага
вместе с идентификатором подписанта с использованием
и списком разрешенных подписантов с помощью флага
Формат файла разрешенных подписантов описан в разделе
ниже. Файл, содержащий отозванные ключи, может быть передан с использованием флага
Файлом отзыва может быть KRL или список открытых ключей, состоящий из одной строки. При успешной проверке авторизованным подписантом сигнализирует
возвращает нулевой статус выхода.
Этот параметр будет считывать закрытый файл формата OpenSSH и выводить открытый ключ OpenSSH на стандартный вывод.
Задать алгоритм защитного преобразования, который следует использовать для защитного преобразования при записи файла закрытого ключа в формате OpenSSH. Список доступных алгоритмов защитного преобразования можно получить с помощью
Значение по умолчанию \m
Указать серийный номер, который должен быть встроен в сертификат, чтобы отличать этот сертификат от других из того же центра сертификации. Если
имеет префикс
то серийный номер будет увеличиваться для каждого сертификата, подписанного в одной командной строке. Серийный номер по умолчанию нулевой.
При создании CRL флаг
используется для указания номера версии CRL.
можно использовать для создания групп для протокола обмена группами Диффи-Хеллмана (DH-GEX). Создание этих групп \m двухэтапный процесс. Cначала генерируются простые числа-кандидаты с использованием быстрого, но требующего больших затрат памяти процесса. Затем эти простые числа-кандидаты тестируются на пригодность (процесс, требующий больших затрат процессора).
Генерация простых чисел выполняется с использованием параметра
Длина простых чисел может быть указана с помощью параметра
Например:
По умолчанию поиск простых чисел начинается со случайной точки в желаемом диапазоне длин. Это может быть переопределено с помощью параметра
который указывает другую начальную точку (в шестнадцатеричном формате).
Как только набор кандидатов сформирован, они должны быть проверены на пригодность. Это может быть выполнено с помощью параметра
В этом режиме
будет считывать кандидатов из стандартного ввода (или файла, указанного с помощью параметра
Например:
По умолчанию каждый кандидат будет подвергнут 100 проверкам на первичность. Это может быть отменено с помощью параметра
Значение генератора DH будет выбрано автоматически для рассматриваемого простого числа. Если требуется конкретный генератор, его можно запросить с помощью параметра
Допустимые значения генератора - 2, 3 и 5.
Проверенные группы DH могут быть установлены в
Важно, чтобы этот файл содержал модули различной длины в битах.
Доступен ряд параметров для генерации модулей и их проверки с помощью флага
Завершить работу после проверки указанного количества строк при выполнении проверки кандидатов DH.
Начать проверку с указанного номера строки при выполнении проверки кандидатов DH.
Записать последнюю обработанную строку в указанный файл при выполнении проверки кандидатов DH. Это будет использоваться для пропуска строк во входном файле, которые уже были обработаны, если задание будет перезапущено.
Указать объем используемой памяти (в мегабайтах) при генерации модулей-кандидатов для DH-GEX.
Указать начальную точку (в шестнадцатеричном формате) при генерации модулей-кандидатов для DH-GEX.
Указать желаемый генератор (в десятичной системе счисления) при проверке модулей-кандидатов для DH-GEX.
поддерживает подписание ключей для создания сертификатов, которые могут использоваться для аутентификации пользователя или хоста. Сертификаты состоят из открытого ключа, некоторой идентификационной информации, нуля или более имен участников (пользователя или хоста) и набора параметров, которые подписываются ключом Центра сертификации (CA). Клиенты или серверы могут тогда доверять только ключу CA и проверять его подпись в сертификате, а не доверять многим ключам пользователя/хоста. Обратите внимание, что сертификаты OpenSSH имеют другой и гораздо более простой формат, чем сертификаты X.509, используемые в
поддерживает два типа сертификатов: пользователя и хоста. Сертификаты пользователя аутентифицируют пользователей на серверах, в то время как сертификаты хоста аутентифицируют хосты сервера для пользователей. Для создания сертификата пользователя:
Полученный сертификат будет помещен в
Для сертификата хоста требуется параметр
Сертификат хоста будет выведен в
Можно подписать, используя ключ CA, хранящийся в токене PKCS#11, предоставив библиотеку токенов с использованием
и идентифицировав ключ CA, предоставив его открытую половину в качестве аргумента
Аналогично, ключ CA может быть размещен в
На это указывает флаг
и, опять же, ключ CA должен быть идентифицирован по его открытой половине.
Во всех случаях
- это "идентификатор ключа", который регистрируется сервером, когда сертификат используется для аутентификации.
Сертификаты могут быть действительны только для набора имен участников (пользователей/хостов). По умолчанию сгенерированные сертификаты действительны для всех пользователей или хостов. Чтобы сгенерировать сертификат для указанного набора участников:
Дополнительные ограничения на действительность и использование пользовательских сертификатов могут быть указаны в параметрах сертификата. Параметр сертификата может отключать функции сессии SSH, может быть действителен только при представлении с определенных исходных адресов или может принудительно использовать определенную команду.
Для пользовательских сертификатов действительны следующие параметры:
Очистить все включенные разрешения. Это полезно для очистки набора разрешений по умолчанию, чтобы разрешения можно было добавлять индивидуально.
Включает произвольный критический параметр сертификата или расширение. Указанное
должно содержать доменный суффикс, например
Если указано
то оно включается в качестве содержимого расширения/опции, закодированного в виде строки, в противном случае расширение/опция создается без содержимого (обычно с указанием флага). Расширения могут быть проигнорированы клиентом или сервером, которые их не распознают, в то время как неизвестные критические параметры приведут к отказу в выдаче сертификата.
Принудительно выполняет
вместо любой оболочки или команды, указанной пользователем, когда сертификат используется для аутентификации.
Отключить переадресацию
(разрешена по умолчанию).
Отключить переадресацию портов (разрешена по умолчанию).
Отключить распределение PTY (разрешено по умолчанию).
Отключить выполнение
с помощью
(разрешено по умолчанию).
Отключить переадресацию X11 (разрешена по умолчанию).
Разрешить переадресацию
Разрешить переадресацию портов.
Разрешить распределение PTY.
Разрешить выполнение
с помощью
Разрешить переадресацию X11.
Не требуется, чтобы подписи, созданные с использованием этого ключа, включали демонстрацию присутствия пользователя (например, путем прикосновения пользователя к аутентификатору). Этот параметр имеет смысл только для алгоритмов аутентификации FIDO
и
Ограничить исходные адреса, с которых сертификат считается действительным.
- это разделенный запятыми список из одной или нескольких пар адрес/маска сети в формате CIDR.
Требовать, чтобы подписи, сделанные с использованием этого ключа, указывали на то, что пользователь был сначала проверен. Этот параметр имеет смысл только для алгоритмов аутентификации FIDO
и
В настоящее время аутентификация с помощью PIN-кода является единственным поддерживаемым методом проверки, но в будущем могут поддерживаться и другие методы.
В настоящее время никакие стандартные параметры не действительны для ключей хоста.
Наконец, для сертификатов может быть определен срок действия. Параметр
позволяет указать время начала и окончания действия сертификата. Сертификат, который представлен во время, выходящее за пределы этого диапазона, не будет считаться действительным. По умолчанию сертификаты действительны с эпохи
до отдаленного будущего.
Чтобы сертификаты использовались для аутентификации пользователя или хоста, открытый ключ CA должен быть доверенным
или
Обратитесь к этим страницам руководства для получения подробной информации.
способен генерировать ключи, поддерживаемые аутентификатором FIDO, после чего они могут использоваться так же, как и любой другой тип ключей, поддерживаемый OpenSSH, при условии, что при использовании ключей подключен аппаратный аутентификатор. Аутентификаторы FIDO обычно требуют, чтобы пользователь явно авторизовал операции, прикоснувшись к ним. Ключи FIDO состоят из двух частей: части дескриптора ключа, хранящейся в файле закрытого ключа на диске, и закрытого ключа для каждого устройства, который уникален для каждого средства проверки подлинности FIDO и который нельзя экспортировать с аппаратного обеспечения средства проверки подлинности. Они объединяются аппаратным обеспечением во время аутентификации для получения реального ключа, который используется для подписи вызовов аутентификации. Поддерживаемые типы ключей -
и
Для ключей FIDO допустимы следующие параметры:
Переопределить строку приложения/источника FIDO по умолчанию, равную
Это может быть полезно при генерации резидентных ключей для хоста или домена. Указанная строка приложения должна начинаться с
Указывает путь к строке запроса, которая будет передана аутентификатору FIDO во время генерации ключа. Строка запроса может использоваться как часть внеполосного протокола для регистрации ключа (по умолчанию используется случайный запрос).
Явно указать устройство
для использования, вместо того чтобы позволять промежуточному программному обеспечению аутентификатора выбирать его.
Указать, что сгенерированный закрытый ключ не должен требовать событий касания (присутствия пользователя) при создании подписей. Обратите внимание, что
будет отклонять такие подписи по умолчанию, если только они не переопределены с помощью параметра authorized_keys.
Указать, что дескриптор ключа должен храниться в самом аутентификаторе FIDO. Это упрощает использование аутентификатора на нескольких компьютерах. Резидентные ключи могут поддерживаться в аутентификаторах FIDO 2 и обычно требуют установки PIN-кода в аутентификаторе перед генерацией. Резидентные ключи могут быть загружены с устройства аутентификации с помощью
Хранение обеих частей ключа в устройстве аутентификации FIDO увеличивает вероятность того, что злоумышленник сможет использовать украденное устройство аутентификации.
Имя пользователя, которое будет связано с резидентным ключом, заменяя пустое имя пользователя по умолчанию. Указание имени пользователя может быть полезно при создании нескольких резидентных ключей для одного и того же имени приложения.
Указать, что этот закрытый ключ должен требовать подтверждения пользователя для каждой подписи. Не все средства проверки подлинности FIDO поддерживают этот параметр. В настоящее время аутентификация с помощью PIN-кода является единственным поддерживаемым методом проверки, но в будущем могут поддерживаться и другие методы.
Может использоваться во время генерации ключа для записи данных подтверждения, возвращаемых аутентификаторами FIDO во время генерации ключа. Эта информация потенциально конфиденциальна. По умолчанию эта информация отбрасывается.
способен управлять списками отзыва ключей формата OpenSSH (Crl). В этих двоичных файлах указаны ключи или сертификаты, которые должны быть отозваны, используя компактный формат, занимающий всего один бит на сертификат, если они отзываются по серийному номеру.
KRL могут быть сгенерированы с использованием флага
Эта опция считывает один или несколько файлов из командной строки и генерирует новый KRL. Файлы могут содержать либо спецификацию KRL (см. ниже), либо открытые ключи, перечисленные по одному в строке. Обычные открытые ключи отзываются путем перечисления их хэша или содержимого в KRL, а сертификаты отзываются по серийному номеру или идентификатору ключа (если серийный номер нулевой или недоступен).
Отзыв ключей с использованием спецификации KRL обеспечивает явный контроль над типами записей, используемых для отзыва ключей, и может использоваться для прямого отзыва сертификатов по серийному номеру или идентификатору ключа без наличия полного оригинала сертификата на руках. Спецификация KRL состоит из строк, содержащих одну из следующих директив, за которыми следует двоеточие и некоторая информация, относящаяся к конкретной директиве.
Аннулировать сертификат с указанным серийным номером. Серийные номера представляют собой 64-разрядные значения, не включая ноль, и могут быть выражены в десятичной, шестнадцатеричной или восьмеричной цифрах. Если указаны два серийных номера, разделенных дефисом, то диапазон серийных номеров, включая и между каждым из них, аннулируется. Ключ CA должен быть указан в командной строке
с использованием параметра
Отозвать сертификат с указанной строкой идентификатора ключа. Ключ CA должен быть указан в командной строке
с использованием параметра
Аннулировать указанный ключ. Если сертификат указан в списке, то он аннулируется как обычный открытый ключ.
Отменить указанный ключ, включая его хэш SHA1 в KRL.
Отменить указанный ключ, включая его хэш SHA256 в KRL. KRL, которые отменяют ключи с помощью хэша SHA256, не поддерживаются версиями OpenSSH до 7.9.
Отозвать ключ, используя хэш отпечатка, полученный из сообщения журнала аутентификации
или флага
Здесь поддерживаются только отпечатки SHA256, и результирующие KRL не поддерживаются версиями OpenSSH до 7.9.
KRL может быть обновлен с использованием флага
в дополнение к
Когда указан этот параметр, ключи, перечисленные в командной строке, объединяются в KRL, добавляя к тем, которые уже есть.
Также возможно, учитывая KRL, проверить, отменяет ли он определенный ключ (или ключи). Флаг
будет запрашивать существующий KRL, проверяя каждый ключ, указанный в командной строке. Если какой-либо ключ, указанный в командной строке, был отозван (или обнаружена ошибка), то
завершит работу с ненулевым статусом завершения. Нулевой статус завершения будет возвращен только в том случае, если ни один ключ не был отозван.
При проверке подписей
использует простой список идентификаторов и ключей, чтобы определить, исходит ли подпись из авторизованного источника. В этом файле "разрешенные подписанты" используется формат, созданный по образцу формата файла AUTHORIZED_KEYS, описанного в
Каждая строка файла содержит следующие поля, разделенные пробелами: principals, options, keytype, ключ в кодировке base64. Пустые строки и строки, начинающиеся с
игнорируются как комментарии.
Поле участников представляет собой список шаблонов (см. ШАБЛОНЫ в
состоящий из одного или нескольких шаблонов идентификации ПОЛЬЗОВАТЕЛЯ@ДОМЕНА, разделенных запятыми, которые принимаются для подписи. При проверке идентификатор, представленный с помощью параметра
должен соответствовать шаблону участников, чтобы соответствующий ключ считался приемлемым для проверки.
Параметры (если они присутствуют) состоят из спецификаций параметров, разделенных запятыми. Пробелы не допускаются, за исключением двойных кавычек. Поддерживаются следующие спецификации параметров (обратите внимание, что ключевые слова параметров не чувствительны к регистру):
Указать, что этот ключ принят центром сертификации (CA) и что сертификаты, подписанные этим центром сертификации, могут быть приняты для проверки.
Указать шаблон-список пространств имен, которые принимаются для этого ключа. Если этот параметр присутствует, пространство имен подписи, встроенное в объект подписи и представленное в командной строке проверки, должно соответствовать указанному списку, прежде чем ключ будет считаться приемлемым.
Указать, что ключ действителен для использования в указанную метку времени или после нее, которая может быть датой или временем в форматах ГГГГММДД[Z] или ГГГГММДДХХММ[SS][Z]. Даты и время будут интерпретироваться в текущем системном часовом поясе, если к ним не добавлен символ Z, что приводит к их интерпретации в часовом поясе UTC.
Указать, что ключ действителен для использования в указанную метку времени или до нее.
При проверке подписей, созданных сертификатами, ожидаемое имя участника должно соответствовать как шаблону участников в файле разрешенных подписантов, так и участникам, встроенным в сам сертификат.
Пример файла разрешенных подписантов:
# Комментарии разрешены в начале строки user1@example.com,user2@example.com ssh-rsa AAAAX1... # Центр сертификации, которому доверяют все участники в домене. *@example.com cert-authority ssh-ed25519 AAAB4... # Ключ, который принимается только для подписи файла. user2@example.com namespaces="file" ssh-ed25519 AAA41...
Указывает путь к библиотеке, которая будет использоваться при загрузке любых ключей, размещенных в аутентификаторе FIDO, отменяя использование встроенной поддержки USB HID по умолчанию.
Содержит профиль распознавания пользователя в форматах DSA, ECDSA, встроенного в средство распознавания ECDSA, Ed25519, встроенного в средство распознавания Ed25519 или RSA. Этот файл должен быть пригоден для чтения только для соответствующего пользователя и больше ни для кого. При создании ключа можно указать пароль; этот пароль будет использоваться для шифрования закрытой части этого файла на основе 128-битного алгоритма AES. Доступ к этому файлу со стороны
не будет выполняться автоматически, но будет предлагаться как файл по умолчанию для закрытого ключа.
будет читать данные из этого файла при попытке войти в систему.
Содержит открытый ключ для распознавания в формате DSA, ECDSA, встроенного в средство распознавания ECDSA, Ed25519, встроенного в средство распознавания Ed25519 или RSA. Содержимое этого файла должно быть добавлено в
на всех машинах, где пользователь хочет перейти в систему с использованием распознавания с открытым ключом. Необходимости в ограничении доступ к содержимому этого файла нет.
Содержит группы Диффи-Хеллмана, используемые для DH-GEX. Формат файла описан в
OpenSSH является производной от оригинальной и бесплатной версии ssh 1.2.12 от Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, ТTheo de Raadt и Dug Song устранили множество ошибок, повторно добавили новые возможности и создали OpenSSH. Markus Friedl внес свой вклад в поддержку протокола SSH версий 1.5 и 2.0.
Русский перевод этой страницы руководства: Александра Богданова <support@astralinux.ru>
Этот перевод является бесплатной документацией; прочитайте
или более позднюю, чтобы узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.
Если вы обнаружите ошибки в переводе этой страницы руководства, пожалуйста, отправьте электронное письмо на <man-pages-ru-talks@lists.sourceforge.net>.