1

我可以使用两个文件通过 SSH(使用 openssh 客户端)连接到我的服务器:~/.ssh/id_ed25519{,-cert.pub}

debug1: Trying private key: /home/xavier/.ssh/id_ed25519                        
debug1: Authentications that can continue: publickey,keyboard-interactive      
debug1: Offering ED25519-CERT public key: /home/xavier/.ssh/id_ed25519          
debug1: Server accepts key: pkalg ssh-ed25519-cert-v01@openssh.com blen 441    
debug1: sign_and_send_pubkey: no separate private key for certificate "/home/xavier/.ssh/id_ed25519"
debug1: Authentication succeeded (publickey).

我想要一个做同样事情的 go 客户端,但我不知道如何将文件合并到https://godoc.org/golang.org/x/crypto/ssh#example-PublicKeysid_ed25519-cert.pub的示例中 

key, err := ioutil.ReadFile("/home/xavier/.ssh/id_ed25519")
if err != nil {
    log.Fatalf("unable to read private key: %v", err)
}

// Create the Signer for this private key.
signer, err := ssh.ParsePrivateKey(key)
if err != nil {
    log.Fatalf("unable to parse private key: %v", err)
}

config := &ssh.ClientConfig{
    User: "user",
    Auth: []ssh.AuthMethod{
        // Use the PublicKeys method for remote authentication.
        ssh.PublicKeys(signer),
    },
}

// Connect to the remote server and perform the SSH handshake.
client, err := ssh.Dial("tcp", "host.com:22", config)
if err != nil {
    log.Fatalf("unable to connect: %v", err)
}
defer client.Close()

部分问题是我不知道这个文件是什么(PublicKey?证书?),部分问题是即使我知道我不明白它在这个交换中的目的是什么。

我已确认此文件是必需的:删除它会导致 ssh CLI 失败。

4

1 回答 1

5

那是一个 SSH 证书文件,用于实现基于 SSH 证书的用户认证。这通过检查来自公钥层次结构中受信任证书颁发机构的有效签名来验证用户登录时的真实性。与标准的基于 SSH 密钥的身份验证(带有文件)相比,这种方法提供了多种好处authorized_keys,例如:

  • 控制密钥文件的发布(有权访问 CA 主密钥的人必须签署新证书,而不是用户自己发布ssh-keygen
  • 自动密钥文件到期
  • 减少添加或轮换证书时的管理开销,因为验证证书只需要 CA 的公钥;不再需要authorized_keys为每个主机上的每个用户填充一个文件
  • 当与用户的关系发生变化时,为证书撤销提供更轻松的支持

假设您使用的是内置golang.org/x/crypto/ssh库,您可以通过以下方式实现:

  • 读入并解析你的签名公钥证书和私钥
  • 从私钥创建签名者
  • 使用读取的公钥和相应的私钥签名者创建证书签名者

OpenSSH 公钥证书的指定格式类似于authorized_keys文件。Go库的ParseAuthorizedKeys函数会解析这个文件,并返回对应的key作为ssh.PublicKey接口的实例;对于证书,这具体是结构的一个实例ssh.Certificate

请参阅代码示例(注意:我HostKeyCallback在您的代码中添加了一个ClientConfig以使此连接与测试框相连接——但是,它使用了InsecureIgnoreHostKey检查器,我不建议在生产环境中使用它!)。

package main

import (
    "bytes"
    "io/ioutil"
    "log"

    "golang.org/x/crypto/ssh"
)

func main() {
    key, err := ioutil.ReadFile("/tmp/mycert")
    if err != nil {
        log.Fatalf("unable to read private key: %v", err)
    }

    // Create the Signer for this private key.
    signer, err := ssh.ParsePrivateKey(key)
    if err != nil {
        log.Fatalf("unable to parse private key: %v", err)
    }

    // Load the certificate
    cert, err := ioutil.ReadFile("/tmp/mycert-cert.pub")
    if err != nil {
        log.Fatalf("unable to read certificate file: %v", err)
    }

    pk, _, _, _, err := ssh.ParseAuthorizedKey(cert)
    if err != nil {
        log.Fatalf("unable to parse public key: %v", err)
    }

    certSigner, err := ssh.NewCertSigner(pk.(*ssh.Certificate), signer)
    if err != nil {
        log.Fatalf("failed to create cert signer: %v", err)
    }

    config := &ssh.ClientConfig{
        User: "user",
        Auth: []ssh.AuthMethod{
            // Use the PublicKeys method for remote authentication.
            ssh.PublicKeys(certSigner),
        },
        HostKeyCallback: ssh.InsecureIgnoreHostKey(),
    }

    // Connect to the remote server and perform the SSH handshake.
    client, err := ssh.Dial("tcp", "host.com:22", config)
    if err != nil {
        log.Fatalf("unable to connect: %v", err)
    }
    defer client.Close()
}

如果你想编写一个支持证书和非证书的更通用的连接客户端,你显然需要额外的逻辑来处理其他类型的公钥。如所写,我希望pk.(*ssh.Certificate)非证书公钥文件的类型断言失败!(实际上,对于非证书连接,您可能根本不需要读取公钥。)

于 2018-09-02T17:44:02.410 回答