我正在使用 puttysc 通过我的智能卡向远程 Linux 服务器进行身份验证。但据我所知,这不是真正的 PKI 身份验证 - puttysc 只是解锁公钥并将其与 Linux 服务器上的用户帐户匹配。有没有办法可以将 puttysc 与 pam_pkcs11 一起使用来执行真正的 PKI 身份验证?我知道您可以将 PAM 与 pam_pkcs11 模块一起使用来要求真正的 PKI 身份验证。我只是不知道如何将两者(puttysc 和带有 pam_pkcs11 的 PAM)一起使用。
答案1
我不相信 puttysc 可以。但我认为这就是你要找的 https://www.risacher.org/putty-cac/
答案2
客户端的智能卡身份验证执行正常的质询响应。即 ssh 服务器使用 .ssh/authorized_keys 中的公共 ssh 密钥加密质询。您的智能卡使用智能卡上的私钥解密此质询。
但此时不涉及 x509 证书。如果要包含 x509 证书和 CRL,则需要:
- 已修补的 SSH 服务器,支持 authorized_keys 中的 DN
- 一个客户端,支持处理像 tectia ssh 客户端一样的证书。