Question

我可以使用两个文件通过SSH（使用openssh客户端）连接到服务器：~/.ssh/id_ed25519{,-cert.pub}

debug1: Trying private key: /home/xavier/.ssh/id_ed25519                        
debug1: Authentications that can continue: publickey,keyboard-interactive      
debug1: Offering ED25519-CERT public key: /home/xavier/.ssh/id_ed25519          
debug1: Server accepts key: pkalg ssh-ed25519-cert-v01@openssh.com blen 441    
debug1: sign_and_send_pubkey: no separate private key for certificate "/home/xavier/.ssh/id_ed25519"
debug1: Authentication succeeded (publickey).

我想要执行相同操作的go客户端，但是我不知道如何将id_ed25519-cert.pub文件合并到https://godoc.org/golang.org/x/crypto/ssh#example-PublicKeys的示例中

key, err := ioutil.ReadFile("/home/xavier/.ssh/id_ed25519")
if err != nil {
    log.Fatalf("unable to read private key: %v", err)
}

// Create the Signer for this private key.
signer, err := ssh.ParsePrivateKey(key)
if err != nil {
    log.Fatalf("unable to parse private key: %v", err)
}

config := &ssh.ClientConfig{
    User: "user",
    Auth: []ssh.AuthMethod{
        // Use the PublicKeys method for remote authentication.
        ssh.PublicKeys(signer),
    },
}

// Connect to the remote server and perform the SSH handshake.
client, err := ssh.Dial("tcp", "host.com:22", config)
if err != nil {
    log.Fatalf("unable to connect: %v", err)
}
defer client.Close()

部分问题是我不知道这个文件是什么（PublicKey？证书？），部分问题是即使我不知道我不知道该文件在此交换中起什么作用。

我已确认需要此文件：将其删除会导致ssh CLI失败。

Answer 1

这是SSH证书文件，用于实现SSH certificate-based user authentication。通过检查来自公钥层次结构中受信任证书颁发机构的有效签名，可以验证用户登录时的真实性。与基于标准SSH密钥的身份验证（带有authorized_keys文件）相比，这种方法具有多种优势，例如：

控制密钥文件的发行（有权访问CA主密钥的人必须签署新证书，而不是用户使用ssh-keygen发行自己的证书）
密钥文件自动过期
减少了添加或轮换证书时的管理开销，因为仅需要CA的公钥来验证证书；不再需要为每个主机上的每个用户填充authorized_keys文件
在与用户的关系发生变化时为证书吊销提供更轻松的支持

假设您正在使用内置的golang.org/x/crypto/ssh库，则可以通过以下方式实现此目的：

读取并解析您的签名公钥证书以及私钥
根据私钥创建签名者
使用读入的公钥和相应的私钥签名者创建证书签名者

OpenSSH公钥证书的指定格式类似于authorized_keys文件。 Go库的ParseAuthorizedKeys函数将解析此文件并返回相应的密钥作为ssh.PublicKey接口的实例；对于证书，这实际上是ssh.Certificate结构的实例。

请参见代码示例（注意：我在您的HostKeyCallback上添加了ClientConfig，以使其与测试盒建立连接-但是，它使用了InsecureIgnoreHostKey检查器，我没有这样做在生产中推荐！）。

package main

import (
    "bytes"
    "io/ioutil"
    "log"

    "golang.org/x/crypto/ssh"
)

func main() {
    key, err := ioutil.ReadFile("/tmp/mycert")
    if err != nil {
        log.Fatalf("unable to read private key: %v", err)
    }

    // Create the Signer for this private key.
    signer, err := ssh.ParsePrivateKey(key)
    if err != nil {
        log.Fatalf("unable to parse private key: %v", err)
    }

    // Load the certificate
    cert, err := ioutil.ReadFile("/tmp/mycert-cert.pub")
    if err != nil {
        log.Fatalf("unable to read certificate file: %v", err)
    }

    pk, _, _, _, err := ssh.ParseAuthorizedKey(cert)
    if err != nil {
        log.Fatalf("unable to parse public key: %v", err)
    }

    certSigner, err := ssh.NewCertSigner(pk.(*ssh.Certificate), signer)
    if err != nil {
        log.Fatalf("failed to create cert signer: %v", err)
    }

    config := &ssh.ClientConfig{
        User: "user",
        Auth: []ssh.AuthMethod{
            // Use the PublicKeys method for remote authentication.
            ssh.PublicKeys(certSigner),
        },
        HostKeyCallback: ssh.InsecureIgnoreHostKey(),
    }

    // Connect to the remote server and perform the SSH handshake.
    client, err := ssh.Dial("tcp", "host.com:22", config)
    if err != nil {
        log.Fatalf("unable to connect: %v", err)
    }
    defer client.Close()
}

如果要编写支持证书和非证书的更通用的连接客户端，则显然需要其他逻辑来处理其他类型的公共密钥。如前所述，我希望类型断言pk.(*ssh.Certificate)对于非证书的公共密钥文件会失败！（实际上，对于非证书连接，您可能根本不需要读取公共密钥。）

如何将id_ed25519-cert.pub合并到go ssh客户端中？

1 个答案: