SSH可扩展认证:PKI与Kerberos实现
在网络安全领域,可扩展的认证机制对于保障通信安全至关重要。本文将详细介绍基于PKI(公钥基础设施)和Kerberos的SSH可扩展认证方法,包括具体的操作步骤和技术原理。
1. PKI认证配置
1.1 简单配置概述
以在Linux主机上安装的Tectia Server为例,首先需要生成带有证书的主机密钥。PKI系统的选择多样,从使用免费OpenSSL软件的自制CA到外包给大型安全供应商的托管PKI服务都有。若PKI使用证书管理协议(CMP,RFC - 2510),可使用ssh - cmpclient与PKI系统通信。为简化示例,采用OpenSSL生成密钥对和证书请求,再通过常见的电子邮件或Web方式提供给CA。
1.2 获取证书
假设公司为Vogon Construction, Inc.,服务器主机名为jeltz.vcon.com。使用以下命令生成密钥对和证书请求:
% openssl req -nodes -config -new rsa:1024 -out request.pem \ -outform pem -keyout private.pem -days 1095 \ -subj '/C=US/ST=New York/L=Manhattan/O=Vogon Construction, Inc./CN=jeltz.vcon.com'此命令生成一个1024位的RSA密钥对,并产生两个文件:
-private.pem
