如何将 id_ed25519-cert.pub 导入到 go ssh 客户端？

一分耕耘，一分收获！既然都打开这篇《如何将 id_ed25519-cert.pub 导入到 go ssh 客户端？》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新Golang相关的内容，希望对大家都有所帮助！

我可以使用两个文件通过 ssh（使用 openssh 客户端）连接到我的服务器：~/.ssh/id_ed25519{,-cert.pub}

debug1: trying private key: /home/xavier/.ssh/id_ed25519                        
debug1: authentications that can continue: publickey,keyboard-interactive      
debug1: offering ed25519-cert public key: /home/xavier/.ssh/id_ed25519          
debug1: server accepts key: pkalg [email protected] blen 441    
debug1: sign_and_send_pubkey: no separate private key for certificate "/home/xavier/.ssh/id_ed25519"
debug1: authentication succeeded (publickey).

我想要一个执行相同操作的 go 客户端，但我不知道如何将 id_ed25519-cert.pub 文件合并到 https://godoc.org/golang.org/x/crypto 的示例中/ssh#example-公共密钥

key, err := ioutil.ReadFile("/home/xavier/.ssh/id_ed25519")
if err != nil {
    log.Fatalf("unable to read private key: %v", err)
}

// Create the Signer for this private key.
signer, err := ssh.ParsePrivateKey(key)
if err != nil {
    log.Fatalf("unable to parse private key: %v", err)
}

config := &ssh.ClientConfig{
    User: "user",
    Auth: []ssh.AuthMethod{
        // Use the PublicKeys method for remote authentication.
        ssh.PublicKeys(signer),
    },
}

// Connect to the remote server and perform the SSH handshake.
client, err := ssh.Dial("tcp", "host.com:22", config)
if err != nil {
    log.Fatalf("unable to connect: %v", err)
}
defer client.Close()

部分问题是我不知道这个文件是什么（公共密钥？证书？），部分问题是即使我确实知道我也不明白它在这次交换中起着什么作用。 p>

我已确认需要此文件：删除它会导致 ssh cli 失败。

解决方案

这是一个 ssh 证书文件，用于实现 SSH certificate-based user authentication。它通过检查公钥层次结构中受信任的证书颁发机构的有效签名来验证登录用户的真实性。与标准的基于 ssh 密钥的身份验证（使用 authorized_keys 文件）相比，此方法具有多种优势，例如：

• 控制密钥文件的颁发（有权访问 ca 主密钥的人必须签署新证书，而不是用户使用 ssh-keygen 颁发自己的证书）
• 自动密钥文件过期
• 减少了添加或轮换证书时的管理开销，因为验证证书时只需要 ca 的公钥；不再需要为每个主机上的每个用户填充 authorized_keys 文件
• 当与用户的关系发生变化时，为证书吊销提供更轻松的支持

假设您使用内置的 golang.org/x/crypto/ssh 库，您可以通过以下方式实现：

• 读入并解析您签名的公钥证书和私钥
• 使用私钥创建签名者
• 使用读入的公钥和相应的私钥签名者创建证书签名者

openssh 公钥证书的指定格式类似于 authorized_keys 文件。 go库的parseauthorizedkeys函数将解析该文件并返回相应的密钥作为ssh.publickey接口的实例；对于证书，这具体是 ssh.certificate 结构的实例。

查看代码示例（注意：我将 hostkeycallback 添加到您的 clientconfig 中，以针对测试框进行此连接 - 但是，它使用 insecureignorehostkey 检查器，我不建议在生产中使用它！）。

package main

import (
    "bytes"
    "io/ioutil"
    "log"

    "golang.org/x/crypto/ssh"
)

func main() {
    key, err := ioutil.ReadFile("/tmp/mycert")
    if err != nil {
        log.Fatalf("unable to read private key: %v", err)
    }

    // Create the Signer for this private key.
    signer, err := ssh.ParsePrivateKey(key)
    if err != nil {
        log.Fatalf("unable to parse private key: %v", err)
    }

    // Load the certificate
    cert, err := ioutil.ReadFile("/tmp/mycert-cert.pub")
    if err != nil {
        log.Fatalf("unable to read certificate file: %v", err)
    }

    pk, _, _, _, err := ssh.ParseAuthorizedKey(cert)
    if err != nil {
        log.Fatalf("unable to parse public key: %v", err)
    }

    certSigner, err := ssh.NewCertSigner(pk.(*ssh.Certificate), signer)
    if err != nil {
        log.Fatalf("failed to create cert signer: %v", err)
    }

    config := &ssh.ClientConfig{
        User: "user",
        Auth: []ssh.AuthMethod{
            // Use the PublicKeys method for remote authentication.
            ssh.PublicKeys(certSigner),
        },
        HostKeyCallback: ssh.InsecureIgnoreHostKey(),
    }

    // Connect to the remote server and perform the SSH handshake.
    client, err := ssh.Dial("tcp", "host.com:22", config)
    if err != nil {
        log.Fatalf("unable to connect: %v", err)
    }
    defer client.Close()
}

如果您想编写一个支持证书和非证书的更通用的连接客户端，您显然需要额外的逻辑来处理其他类型的公钥。正如所写，我希望类型断言 pk.(*ssh.certificate) 对于非证书公钥文件失败！ （事实上​​，对于非证书连接，您可能根本不需要读取公钥。）

以上就是《如何将 id_ed25519-cert.pub 导入到 go ssh 客户端？》的详细内容，更多关于的资料请关注golang学习网公众号！