Kysymys olisi ssh-sertifikaateista, kyseinen autentikointitapahan on siis ssh:ssa ihan standardikamaa perus avainautentikoinnin lisäksi, mutta käytetäänkö tuossa pohjalla myös käyttäjän yksityistä ja julkista avainta, sertifikaatit tuovat siis vain lisäturvakerroksen, että nyt ollaan autentikoitumassa oikealle serverille ja tarvittaessa ne voidaan myös peruuttaa helposti. Lisäksi onko tästä autentikointitavasta täällä kokemuksia, tuntuu olevan huomattavasti harvemmin käytössä kuin perus avainautentikointi
Tuo on siis normaalin SSH-avainautentikoinnin päälle rakennettu lisäsysteemi, jolla voidaan haluttaessa tuoda
keskitettyä hallittavuutta, ei niinkään lisäturvaa sinänsä (muuta kuin sen mitä keskitetty hallinta itsessään mahdollistaa).
Eli jos perustat SSH CA:n (joka on siis eri asia kuin SSL/TLS-puolella käytettävien X.509 sertifikaattien CA), voit alkaa allekirjoittaa käyttäjien ja/tai koneiden SSH-avaimia CA:lla, jolloin niistä tulee sertifikaatteja. Sertifikaatteihin voi määritellä rajallisen voimassaoloajan, ja käyttäjän/koneen nimen, joita ei voi muuttaa rikkomatta CA:n allekirjoitusta. Tämän jälkeen:
- voit viedä CA:n julkisen avaimen SSH-asiakaspäähän ja sanoa "tämä kone hyväksyy kaikki tämän SSH CA:n allekirjoittamat (sekä nykyiset että tulevat) konesertifikaatit ensinäkemältä ilman sitä tavallista "tähän koneeseen ei ole otettu yhteyttä aikaisemmin, luotetaanko? joo/ei" kysymystä, vaan konesertifikaattiin luotetaan automaattisesti jos siinä on ehjä CA:n allekirjoitus, ja koneennimi on se mitä sertifikaatissa sanotaan, eikä sertifikaatti ole vanhentunut. Ja sitten käyttäjille voidaan ihan oikeasti sanoa että jos SSH sanoo että koneen avain/sertifikaatti haisee pahalle, siihen koneeseen ei sitten pidä kirjautua.
- voit viedä CA:n julkisen avaimen SSH-palvelinpäähän ja sanoa "tämä kone hyväksyy vain oman firman SSH-käyttäjäsertifikaatteja, ei mitä tahansa SSH-avaimia." Ja sitten voit sanoa että "kaikki käyttäjät jotka pystyvät esittämään meidän CA:n allekirjoittaman SSH-sertifikaatin, saavat autentikoitua tähän koneeseen sertifikaatissaan olevalle käyttäjätunnukselle", myös sellaiset käyttäjät jota ei CA-autentikointia konfiguroitaessa vielä ollut olemassa. Tämä toimii hyvin yhteen keskitetyn käyttäjätietokannan (AD-integrointi, LDAP, NIS(yöks)) kanssa.
- ja jos käyttäjä lähtee ovet paukkuen, tai jokin kone varastetaan, ko. käyttäjän/koneen avaimet voidaan laittaa mustalle listalle ja levittää lista kaikkiin firman koneisiin, jolloin ko. käyttäjän avain lakkaa kelpaamasta kaikissa CA-autentikointisysteemiä käyttävissä koneissa, tai yhteydenottoyritys koneeseen joka tarjoaa mustalistattua koneavainta pysäytetään välittömästi. Näin esim. sellaiset temput jossa varastetaan firmasta (tai dyykataan firman SER-roskiksesta) kone, murretaan se ja viedään se sitten takaisin firmaan esiintymään jonain toisena palvelimena (=kaappaamaan salasanoja tai muuta tietoa) menevät SSH:n osalta myttyyn heti kun varkaus on huomattu ja avaimet mustalistattu.
- Lisäksi koska sertifikaattien voimassaoloaika voidaan rajata siinä vaiheessa kun niitä allekirjoitetaan CA:lla, voidaan tällä varmistaa että kadonneitten/huomaamatta vääriin käsiin joutuneiden SSH-avainten muodostama tietoturvauhka ei kestä määrättömän pitkään, vaan ne mitätöityvät itsestään sertifikaatin voimassaoloajan päättyessä.
Kesähessulle voidaan antaa SSH-käyttäjäsertifikaatti joka on voimassa vain määräaikaisen työsuhteen pituisen ajan, ja näin vältetään riski että tunnuksien sulkeminen unohtuu, koska kesähessun SSH-sertifikaatti on vanhennuttuaan mitätön.
Tällaiset jutut voivat olla merkityksellisiä kun pitää täyttää jonkin tietoturvastandardin vaatimukset, tai muuten pystyä todistamaan että SSH-avainautentikointia ei käytetä "villisti".
