ssh-keygen 手册页列出了以下两个参数:
-D reader = 下载存储在阅读器中的智能卡中的 RSA 公钥。
-U reader = 将现有的 RSA 私钥上传到阅读器中的智能卡中。
我搜索了一番后,没有找到关于这些的其他信息。它们是否支持智能卡上的标准 ssh_rsa 密钥对,或者它们是否与 pkcs11 接口和 x509 格式的证书配合使用。这是否与 ssh 证书有关,并且能够支持在智能卡上存储私有签名密钥或私有用户密钥与证书?
简而言之,我为什么要使用这些参数?
答案1
我想我在更详细的手册页上找到了我正在寻找的信息。手册页是这里(freebsd 手册页)。
听起来 -D 和 -U 参数与 pkcs11 设备通信,这些选项确实适用于 ssh 证书(通过 -s 参数)。使用这些选项应该可以得到一个离线的、受智能卡保护的 ssh ca 签名密钥(这是我最初的目标)。我不知道是否可以通过此过程在智能卡上获得签名的用户密钥。
我还没有尝试过这些命令,但我认为它们正是我想要的。如果一切顺利,这将允许我在 yubikey neo 上设置离线 ssh ca。