-Icertificate_identity ssh-keygen 옵션은 무엇에 사용됩니까?

-Icertificate_identity ssh-keygen 옵션은 무엇에 사용됩니까?

나는 이것을 팔로우하고 있다지도 시간-I <key_id>SSH 서버를 인증하려면 이론적으로는 저작 서버에서 제공한 개인 키를 사용하여 SSH 공개 키에 서명해야 하지만 이 옵션의 기능과 값이 무엇인지 이해가 되지 않습니다 .

ssh-keygen -s server_ca -I host_sshserver -h -n sshserver.example.com /etc/ssh/ssh_host_rsa_key.pub

미리 감사드립니다.

답변1

발췌 man ssh-keygen:

-I certificate_identity
             Specify the key identity when signing a public key.  Please see the CERTIFICATES section for details.

CERTIFICATES
     ssh-keygen supports signing of keys to produce certificates that may be used for user or host authentication.  Certificates consist of a public key, some
     identity information, zero or more principal (user or host) names and a set of options that are signed by a Certification Authority (CA) key.  Clients or
     servers may then trust only the CA key and verify its signature on a certificate rather than trusting many user/host keys.  Note that OpenSSH certifi‐
     cates are a different, and much simpler, format to the X.509 certificates used in ssl(8).

     ssh-keygen supports two types of certificates: user and host.  User certificates authenticate users to servers, whereas host certificates authenticate
     server hosts to users.  To generate a user certificate:

           $ ssh-keygen -s /path/to/ca_key -I key_id /path/to/user_key.pub

     The resultant certificate will be placed in /path/to/user_key-cert.pub.  A host certificate requires the -h option:

           $ ssh-keygen -s /path/to/ca_key -I key_id -h /path/to/host_key.pub

     The host certificate will be output to /path/to/host_key-cert.pub.

     It is possible to sign using a CA key stored in a PKCS#11 token by providing the token library using -D and identifying the CA key by providing its pub‐
     lic half as an argument to -s:

           $ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub

     In all cases, key_id is a "key identifier" that is logged by the server when the certificate is used for authentication.

     Certificates may be limited to be valid for a set of principal (user/host) names.  By default, generated certificates are valid for all users or hosts.
     To generate a certificate for a specified set of principals:

           $ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
           $ ssh-keygen -s ca_key -I key_id -h -n host.domain host_key.pub

     Additional limitations on the validity and use of user certificates may be specified through certificate options.  A certificate option may disable fea‐
     tures of the SSH session, may be valid only when presented from particular source addresses or may force the use of a specific command.  For a list of
     valid certificate options, see the documentation for the -O option above.

     Finally, certificates may be defined with a validity lifetime.  The -V option allows specification of certificate start and end times.  A certificate
     that is presented at a time outside this range will not be considered valid.  By default, certificates are valid from UNIX Epoch to the distant future.

     For certificates to be used for user or host authentication, the CA public key must be trusted by sshd(8) or ssh(1).  Please refer to those manual pages
     for details.

노트:

모든 경우에 key_id는 인증서가 인증에 사용될 때 서버에서 기록하는 "키 식별자"입니다.

귀하의 링크에서 다음과 같이 나타납니다.

-I: 인증서를 식별하는 데 사용되는 이름입니다. 인증서가 인증에 사용되는 경우 로깅 목적으로 사용됩니다.

인증을 위해 인증서를 사용하는 경우 이러한 인증서에는 특정 인증 인증서를 식별하는 키가 있습니다. 원하는 이름이면 내 이름이라고 부를 수 my-new-cert-id있으며 인증서는 해당 이름으로 작성되어 id내 인증 인증서에 액세스하는 데 사용됩니다.

해당 링크에서는 두 가지 다른 이름을 제공했으므로 -I원하는 이름을 선택하세요.

성격 -I:ssh-keygen은 사용자 또는 호스트 인증에 사용할 수 있는 인증서를 생성하는 키 서명을 지원합니다. 인증서를 사용하여 인증해야 할 때 사용됩니다.

의 가치 -I:: 당신이 좋아하는 이름

관련 정보