Github现在支持通过OpenSSH证书https://github.blog/2019-08-14-ssh-certificate-authentication-for-github-enterprise-cloud/进行身份验证。
但是,我找不到用于管理这些SSH证书的证书颁发机构的任何建议。
围绕服务器和生产环境的证书管理,似乎有很多选择,例如BLESS,CASSH等。
对于管理供开发人员访问Github的SSH证书,您有什么建议?
在理想情况下,这将允许开发人员进行自定义配置。它可以与现有的活动目录进行交互以对尝试创建证书的用户进行身份验证,并且它将是一项托管服务。
答案 0 :(得分:2)
我在smallstep工作,我们有一个open source certificate authority可以颁发SSH证书。我们还提供了一个托管产品,可以single sign-on for SSH(以及对posix用户,SSH和sudo访问控制和审计日志的自动配置)。开源版本和产品化版本都允许您使用OAuth OIDC将证书发行连接到您的单点登录提供商。有关最终用户体验的示例,请参见this youtube video。很漂亮。
我们将在开源CA中删除some new functionality,这将允许您将login@github.com扩展名添加到SSH证书中,这应该是用例的最后一部分。如果您想在等待问题解决之前尝试SSH CA,This blog post是一个不错的起点(现在应该很快就会发生)。如果您想要那里提供的其他功能,或者您不想自己运行CA,我们也将其集成到我们的SSH SSO托管SSO中。
一旦所有内容发布,我都会尽量记住进行更新。同时,如果您(或其他阅读此书的人)感兴趣,我很想听听您的反馈意见。我很喜欢小步的域名。
答案 1 :(得分:1)
我们刚刚在完全托管的 EZSSH product 中启动了对 GitHub 证书的支持,我们使用您的 AAD 身份创建短期证书,您可以在我们的 GitHub blog post 中了解更多信息。
答案 2 :(得分:0)
如果您的组织运行内部安全的Web服务器,要对组织内部交换的电子邮件进行加密,或者要使用数字证书对VPN上的员工进行身份验证,则可以设置并充当自己的证书颁发机构(CA)并颁发自己的数字证书供内部使用。
在互联网上搜索“开源证书颁发机构 或“证书颁发机构”软件来查找相关的即用型解决方案。
另请参见Certificate Authority进行详细说明。
要获得GitHub对SSH证书颁发机构的支持,可以在GitHub Enterprise Cloud和GitHub Enterprise Server 2.19+中使用。