如何区分证书，使用同一个Ca时，

Posted 2023-03-23

【中文标题】如何区分证书，使用同一个Ca时，

【英文标题】：How to distinguish the certificate, When using the same Ca,

【发布时间】：2021-09-26 18:48:48

【问题描述】：

我是管理员，我有一个开发人员。我有一个 CA 根证书 (ca & ca.pub) 和许多服务器。我将 ca.pub 放在所有服务器上。我想做开发人员只能登录到一台服务器，而不是其他服务器的事情。 如何用 ca 签署证书并配置 sshd_config？

例如，如果我只是用我的 ca 签署 user.pub 并在服务器上生成 user-cert.pub 并将其发送给开发人员，那么他可以将 user-cert.pub 用于我的所有服务器，cz 我的所有服务器信任 ca.pub，这不是我想要的！！！

【问题讨论】：

可能security.stackexchange.com 更适合回答这个问题

谢谢。我是 *** 的新手，现在我找到了一个很棒的社区。​​span>

【参考方案1】：

您可以通过创建日期和到期日期来区分证书，哪个证书是最新的，哪个是旧的，如果进一步有混淆，只需删除所有证书并制作新证书并使用新证书编辑现有的所有配置文件，您就可以使用新证书了。

【参考方案2】：

我修好了！！！使用角色签署证书，将 serverid 作为角色名称。

在 /etc/ssh/ 中添加目录 auth_principals，创建一个文件 'root' 并在其中添加 serverid。 将 AuthorizedPrincipalsFile /etc/ssh/auth_principals/%u 添加到 sshd_config，重启 sshd！！！

这样，不同的服务器即使信任同一个ca.pub，也有不同的证书。