如何验证ssh证书是否由指定的ssh CA私钥签名？

要远程获取 ssh 主机证书，您可以使用ssh-keyscan -c <hostname>（如果没有该-c选项，您将只能获取主机密钥）。要限制特定证书类型，如有必要，您可以包含-t type、使用ssh-rsanot 。[email protected]

然后，您可以使用 .zip 文件提取证书详细信息，包括签名 CA 的公钥ssh-keygen -L -f <certfile>。如果您使用（小写）-l，则ssh-keygen仅输出有关证书中嵌入的基础（公共）主机密钥的信息，而不是所有证书元素。

我还没有为我的内部 ssh 设置签名。但当我为 imap 做这件事时，我学会了一种简单的检查方法。

看https://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.html了解详情。

基本上，使用“openssl s_client ...”您可以获得很多有用的数据。

例如，我的未签名（CA 未签名）ssh（注意 - 未发送客户端 CA 名称，并与从我的 imaps 测试中获得的“自签名”报告进行比较）

openssl s_client -connect x072:22
CONNECTED(00000003)
804401144:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:825:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1526335517
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

然而，当连接到我的 imaps 服务时 - 我看到一个（深度：0 自签名）证书链。

root@x071:[/root]openssl s_client -connect x063:993
CONNECTED(00000003)
depth=0 C = NL, ST = N. Holland, L = Amsterdam, O = ROOTVG, OU = aixtools
verify error:num=18:self signed certificate
verify return:1
depth=0 C = NL, ST = N. Holland, L = Amsterdam, O = ROOTVG, OU = aixtools
verify error:num=26:unsupported certificate purpose
verify return:1
depth=0 C = NL, ST = N. Holland, L = Amsterdam, O = ROOTVG, OU = aixtools
verify return:1
---
Certificate chain
 0 s:/C=NL/ST=N. Holland/L=Amsterdam/O=ROOTVG/OU=aixtools
   i:/C=NL/ST=N. Holland/L=Amsterdam/O=ROOTVG/OU=aixtools
---
Server certificate
-----BEGIN CERTIFICATE-----
snip...

这些与使用 ssh-keygen 不同，我必须自己进行更多研究。但我认为我应该留在 openssl s_client 因为它的分歧。