SSH 認証においても HTTP サーバ等で利用するオレオレ (サーバ/クライアント) 証明書と同様に CA を利用できます。本ページでは CA は独自に構築します。

authorized_keys を用いないクライアント認証

SSH サーバ側の authorized_keys ファイルを更新する必要がないため管理も簡易化されます。共通の秘密鍵を複数人で使い回す必要もなくなります。

CA の構築 (サーバ側)

ssh-keygen -f ca

• ca
• ca.pub

秘密鍵と公開鍵の生成 (クライアント側)

ssh-keygen -f id_rsa.20180808

• id_rsa.20180808
• id_rsa.20180808.pub

公開鍵の署名 (サーバ側)

クライアントから渡された公開鍵を authorized_keys に書き込むのではなく CA の秘密鍵で署名します。

ssh-keygen -s ca -I my-key-id -n myuser,myuser2 -z 1 id_rsa.20180808.pub

• id_rsa.20180808-cert.pub

-s で CA の秘密鍵を指定します。-I で署名対象の ID を決めて指定します。-z で後に失効できるように連番を付与します。-n でログイン可能なユーザを指定します。

$ ssh-keygen -Lf id_rsa.20180808-cert.pub
id_rsa.20180808-cert.pub:
        Type: ssh-rsa-cert-v01@openssh.com user certificate
        Public key: RSA-CERT SHA256:lQEUisUKgQ5O4MeGfT5qukh65/jXQppfwOEOX8p3ze0
        Signing CA: RSA SHA256:BRt1XBvnoBQuSBPltoZ+idQAVj4CDT5MlfTcc2Xf4YE
        Key ID: "my-key-id"
        Serial: 1
        Valid: forever
        Principals: 
                myuser
                myuser2
        Critical Options: (none)
        Extensions: 
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

CA で署名された公開鍵を持つクライアントからの接続を許可するように設定 (サーバ側)

AuthorizedKeysFile での認証ができないように /dev/null に向けています。

sudo su -l
echo 'TrustedUserCAKeys /etc/ssh/ca.pub' >> /etc/ssh/sshd_config
echo 'AuthorizedKeysFile /dev/null' >> /etc/ssh/sshd_config
systemctl restart sshd.service
tailf /var/log/auth.log

サーバへの接続 (クライアント側)

どの鍵で認証できたかは以下のようなコマンドで確認できます。

ssh -v -i id_rsa.20180808 myuser@vagrant "echo" 2>&1 | egrep '(Trying private key|Authentication succeeded)'

• 秘密鍵だけでなく署名された証明書が同じディレクトリに必要であることと id_rsa.20180808 id_rsa.20180808-cert.pub
• 署名された証明書で許可されている Principals ユーザにのみログインできることに注意します。

known_hosts を用いないサーバ認証

初回接続であってもなりすましを防ぐことができます。

CA の構築 (サーバ側)

HTTP サーバの場合と同様に CA はクライアント認証の際に利用したものと同一である必要はありません。以下のように新規に CA を構築しても問題ありません。

ssh-keygen -f ca2

• ca2
• ca2.pub

秘密鍵と公開鍵の生成 (サーバ側)

HTTP サーバの場合と同様にインストール時に秘密鍵と公開鍵は生成されています。これを流用してみます。

$ ls /etc/ssh/*.pub
/etc/ssh/ssh_host_ecdsa_key.pub  /etc/ssh/ssh_host_ed25519_key.pub  /etc/ssh/ssh_host_rsa_key.pub

公開鍵の署名 (サーバ側)

$ sudo ssh-keygen -s ca2 -I vagrant-rsa -n `hostname`,127.0.0.1 -h /etc/ssh/ssh_host_rsa_key.pub
$ ssh-keygen -Lf /etc/ssh/ssh_host_rsa_key-cert.pub 
/etc/ssh/ssh_host_rsa_key-cert.pub:
        Type: ssh-rsa-cert-v01@openssh.com host certificate
        Public key: RSA-CERT SHA256:U465PTIllSzt4rUVr37wtGuEWWKTp0l94RHzuVkFB1E
        Signing CA: RSA SHA256:ymP0AS7hPKJ9raz3tS14e5YQeb52pMgLjInZFK2KBxg
        Key ID: "vagrant-rsa"
        Serial: 0
        Valid: forever
        Principals: 
                stretch
                127.0.0.1
        Critical Options: (none)
        Extensions: (none)

署名した証明書と秘密鍵の設定 (サーバ側)

sudo su -l
echo 'HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub' >>  /etc/ssh/sshd_config
echo 'HostKey /etc/ssh/ssh_host_rsa_key' >>  /etc/ssh/sshd_config
systemctl restart sshd.service
tailf /var/log/auth.log

CA を信頼させる (クライアント側)

echo "@cert-authority * `cat 'ca2.pub'`" >> ~/.ssh/known_hosts

接続確認 (クライアント側)

ssh -v -o "UserKnownHostsFile ~/.ssh/known_hosts" -o "StrictHostKeyChecking ask" vagrant

初回接続であっても yes/no を尋ねられることなく、以下のような出力が確認できれば成功です。

debug1: Found CA key in /Users/username/.ssh/known_hosts:12
debug1: ssh_rsa_verify: signature correct