= ssh-Zertifikate mit einer CA signieren =

1. CA-Zertifikat erstellen:
{{{
ssh-keygen -C CA -f ca -t ed25519
}}}

2. Host-Zertifikat erstellen:
{{{
ssh-keygen -t ed25519 /etc/ssh/ssh_host_ed25519_key
}}}

3. Host-Zertifikat signieren:
{{{
export FQDN=xxx.lan.suhle.de
export HOSTNAME=xxx
ssh-keygen -s ca -h -n ${FQDN},${HOSTNAME} -I ${FQDN}-host-key /etc/ssh/ssh_host_ed25519_key
}}}
Hierdurch wird ein Zertifikat `/etc/ssh/ssh_host_ed25519_key-cert.pub` erstellt.

4. Den signierten Schlüssel als Host-Zertifikat nutzen:
{{{
echo "HostCertificate /etc/ssh/ssh_host_ed25519_key-cert.pub" >> /etc/ssh/sshd_config
}}}

5. Öffentliches Host-Zertifikat eines beliebigen Hosts in den CA-Ordner kopieren:
{{{
scp host:/etc/ssh/ssh_host_ed25519_key.pub ./
}}}

6. Öffentliches Host-Zertifikat dieses Hosts signieren:
{{{
export FQDN=host.lan.suhle.de
export HOSTNAME=host
ssh-keygen -s ca -I ${FQDN}-host-key -h -n ${FQDN},${HOSTNAME} ./ssh_host_ed25519_key.pub
}}}

----
KategorieRaspberry