我对实现这一点的顺序有点困惑。
我心里想的是这样的:
1-生成CA公钥和私钥。
2 - 在 SFTP 服务器上使用 CA 公钥 (TrustedUserCAKeys)。
3-生成用户私钥+公钥。
4-使用 CA 签署用户私钥。
5-使用私钥、用户名和 winscp 连接到 SFTP 服务器。
这应该可行吗?
答案1
CA 签署公钥(生成证书)。他们永远看不到签署者的私钥。
除此之外,工作流程似乎正确,除了对于 WinSCP 部分。
TrustedUserCAKeys 使用的证书是 OpenSSH 发明的一种格式。目前没有其他软件支持这种证书身份验证 – 以下是PuTTY 愿望清单条目对他们来说。由于 WinSCP 使用 PuTTY 作为其 SSH 核心,因此它才不是有 OpenSSH 证书支持,并且直到 PuTTY 有之前我们都不会拥有它。