我正在构建一个新的 CentOS 7 来替换旧服务器,并且许多 SSH 客户端被设置为使用服务器证书(由 SSHD 提供)来信任/识别旧服务器
是否可以将旧的 SSHD 证书从旧服务器移至新服务器,以便所有客户端立即识别并信任新服务器?
答案1
关键在/etc/ssh,应该是各种ssh_host_*文件。如果您将它们移过去,那么客户端将继续识别它(假设,正如 user4556274 指出的那样,客户端用于连接的主机名匹配)。
另外:您可能需要确认密钥的持续充足性,例如,它们是否足够长(位)以仍然足够安全,并查看 OpenSSH 新闻和/或 ssh-keygen 联机帮助页以查看是否要生成额外的密钥密钥(例如,用于新的加密算法)。例如,根据一些建议RSA 和 DSA 密钥应至少为 3072 位。旧机器可能没有 ECC 密钥(但您应该考虑生成一些)。
[我不知道如何升级现有客户端上的密钥而不收到密钥更改警告,所以我问:如何滚动 ssh 主机密钥?]