|
|
 | SSH-hostcertifikater med signerede ceritif~
Fra : Henning Wangerin |
Dato : 29-08-07 18:58 |
|
Hejsa.
Jeg har en hel masse linux-boxe stående rundt omkring i landet, som jeg
regelmæssigt ssh'er ind til, samt har maskiner stående som automatisk
henter data fra hinanden.
Det virker find, men jeg ville meget gerne ha lavet en løsning hvor jeg
ikke skal godkende maskinernes host-certifikater. Nogle af maskinerne
brokker sig også må ip-adressen ændrer sig selvom de tilgås via et
dns-opslag. (jeg tilgår hostx,domain.dk - ikke ip'en direkte)
Min ide er at lave et signeret host-certifikat, og så sætte sshop til
automatisk at akseptere certifikater som et signeret af mit CA-cerifikat,
men hvordan f***** gør jed et?
MVH
Henning
| |
 Jens Henrik Leonhard~ (30-08-2007)
| Kommentar
Fra : Jens Henrik Leonhard~ |
Dato : 30-08-07 05:06 |
|
Hej.
Jeg sætter CheckHostIP = no i ssh_config eller .ssh/config. Så bliver
ip-adressen ikke checket.
Du kan bruge ssh-keyscan til at opbygge din known_hosts.
Jeg bruger selv ssh-keyscan hvorefter jeg distribuere known_hosts hva
scp til alle hosts.
Du kan også sætte StrictHostKeyChecking = no i ssh_config hvis du bare
ikke vil spørges om en ny host skal i known_hosts.
/Jens Henrik
Henning Wangerin wrote:
> Hejsa.
>
> Jeg har en hel masse linux-boxe stående rundt omkring i landet, som jeg
> regelmæssigt ssh'er ind til, samt har maskiner stående som automatisk
> henter data fra hinanden.
>
> Det virker find, men jeg ville meget gerne ha lavet en løsning hvor jeg
> ikke skal godkende maskinernes host-certifikater. Nogle af maskinerne
> brokker sig også må ip-adressen ændrer sig selvom de tilgås via et
> dns-opslag. (jeg tilgår hostx,domain.dk - ikke ip'en direkte)
>
> Min ide er at lave et signeret host-certifikat, og så sætte sshop til
> automatisk at akseptere certifikater som et signeret af mit CA-cerifikat,
> men hvordan f***** gør jed et?
>
> MVH
> Henning
| |
|
|