我有一些用作身份validation的密钥对,用于SSH云服务器上的SSH服务器。 我每周手动轮换这些证书。 我的问题是,我需要和一些同事分享证书,一些在局域网上,另外一些在国内。 分享证书的最佳做法是什么? 我最初的想法是Dropbox和电子邮件。 我们不主机专用电子邮件服务器encryption和所有,并没有一个VPN。
谢谢。
我怀疑你真的使用证书进行身份validation。 几乎所有基于非密码的SSH身份validation都是使用公私密钥对完成的,但根本没有涉及到证书。 在写这个答案之前,我用Googlesearch了一下“ssh证书”,前5个命中是白痴错误地将裸公钥(不是证书)作为证书。
以下是通过公私密钥对进行SSH身份validation的方法:
首先,你生成一个密钥对。 这是两个encryption链接的密钥,其中用一个密钥encryption的任何东西只能由另一个encryption,反之亦然。 这两个键中的一个被认为是公钥,你不在乎谁看到它。 事实上,在大多数情况下,你希望你的公钥被广泛地发布到世界各地。 另一个密钥被视为私钥,除了你以外,你不需要任何人访问你的私钥。
在通过公私密钥对进行SSH身份validation的情况下,您可以将公钥放在服务器上的帐户的authorized_keys文件中(在本例中为Amazon EC2实例),并且服务器允许任何知道与之耦合的私钥该公共密钥login到服务器。
谁在乎是否有人在您的Amazon EC2实例上违反了您的帐户并窃取了您的公钥? 公钥不允许他们像你一样login到任何东西,因为知道公钥并不允许他们知道私钥,并且除非拥有私钥 ,否则不能login该账户。在帐户中的公钥。
您只需在您的私钥(在您自己的SSH客户端机器上在家中或在工作时)违反您的Amazon EC2实例时更改您的SSH公钥。
如果你需要你的牛仔可以在你的EC2实例上login到相同的帐户,让他们发送你的 SSH公钥 – 通过任何媒介,没有保密要求,因为这些只是他们的公钥,而不是他们的私人然后将这些公钥添加到Amazon EC2实例帐户中的authorized_keys文件中。 然后,你可以login到这些帐户,你可以保持你的私人私钥永远不会发送到任何地方。
只要你没有共享私钥,只有公钥,你可以安全地发送它通过最安全的通信方法,你可以想到的。 从计算上来说,禁止从公钥中获得私钥,并且将一直持续到量子计算机得到它们的支持。
对于一些背景,请查看这里 。