Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
reseau:debian:clesshcertificat

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:debian:clesshcertificat [2025/01/07 23:03] – [Mise en place côté client] techer.charles_educ-valadon-limoges.frreseau:debian:clesshcertificat [2025/06/11 12:53] (Version actuelle) – [Mise en place côté client] admin
Ligne 1: Ligne 1:
 ====== Configurer une authentification SSH avec certificat ====== ====== Configurer une authentification SSH avec certificat ======
 +===== Resources =====
 +  * http://www.ixany.org/fr/articles/presentation-et-utilisation-des-certificats-ssh/
 +  * https://www.ssh.com/
 +  * http://tech.ciges.net/blog/openssh-with-x509-certificates-how-to/
 +  * https://linux-attitude.fr/post/certificats-x509-pour-ssh
 ===== Principes ===== ===== Principes =====
  
Ligne 73: Ligne 78:
 ssh -v -i ~/.ssh/client_key nomDNSserveur ssh -v -i ~/.ssh/client_key nomDNSserveur
 </code> </code>
 +
 +Vous pouvez utiliser aussi le fichier de configuration du client ssh
 +<code>
 +Host <nom_du_serveur> 
 +    HostName <adresse_du_serveur> 
 +    User <nom_utilisateur>
 +    IdentityFile ~/.ssh/client_key
 +    CertificateFile ~/.ssh/client_cert.pub
 +
 +</code> 
 ===== Les commandes utiles ===== ===== Les commandes utiles =====
   * obtenir la clé publique à partir de la clé privée d'une identité utilisateur au format openSSH   * obtenir la clé publique à partir de la clé privée d'une identité utilisateur au format openSSH
Ligne 107: Ligne 122:
 $ ssh-keygen -f ca.pem > ca.pub $ ssh-keygen -f ca.pem > ca.pub
 </code> </code>
 +
 +  * Vérifiez les journaux SSH pour voir si le certificat est utilisé correctement :
 +
 +<code>
 +journalctl -u ssh
 +</code>
 +
 +  * Sur le clien, ajoutez l’option -v pour obtenir plus de détails sur le processus de connexion :
 +
 +<code>
 +ssh -v <nom_du_serveur>
 +</code>
 +
 +  * Facilité d’utilisation avec plusieurs serveurs en faisant confiance à la même CA en ajoutant la clé publique de la CA à ~/.ssh/known_hosts en tant qu’autorité de certification :
 +
 +
 +<code>
 +echo "@cert-authority *.example.com ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQE..." >> ~/.ssh/known_hosts
 +</code>
 +
 +Cela permet au client de faire confiance à tous les serveurs avec des certificats signés par cette CA.
 +
 +  * Visualiser le contenu d'un certificat
 +
 +<code>
 +openssl x509 -in filename.pem -text –noout
 +</code>
 +-noout pour ne pas afficher en base64 qui permet d’encode des données binaires ASCII
 +
 +  * emetteur du certificat : -issuer
 +
 +<code>
 +openssl x509 -in filename.pem -issuer –noout
 +</code>
 +
 +  * Sujet du certificat : -subject
 +
 +<code>
 +openssl x509 -in filename.pem -subject –noout
 +</code>
 +
 +  * Empreinte digitale : -fingeprint
 +
 +<code>
 +openssl x509 -in filename.pem -fingerprint –noout
 +</code>
 +
 +  * Clé publique : -pubkey 
 +
 +<code>
 +openssl x509 -in filename.pem –pubkey -noout –out id_rsa.pub
 +</code>
 +
  
reseau/debian/clesshcertificat.1736287384.txt.gz · Dernière modification : 2025/01/07 23:03 de techer.charles_educ-valadon-limoges.fr