当我开始处理 *nix 服务器时,openssh 服务器带有 dsa 和 rsa 主机密钥,openssh 客户端更喜欢 rsa 密钥。现在,openssh 服务器有 dsa、rsa 和 ecdsa 主机密钥,openssh 客户端更喜欢 ecdsa 主机密钥。
我在多大程度上仍然需要/希望将 openssh 配置为提供 dsa 主机密钥?
主要想知道非 openssh 客户端实现。
我有一个使用 ssh 证书来验证 ssh 主机密钥的环境。我说的是通过运行创建的证书类型ssh-keygen -s /path/to/ca -h ...。这些证书还创建了一个有效期间隔,说明它们何时到期。这些证书现在已经使用了足够长的时间,我需要开始监控它们,以便在它们即将到期时提防。
我可以通过任何方式进行远程连接,而无需登录,并且以某种方式获取显示的有效间隔 alt。下载证书?跑步ssh -vvv似乎没有显示我需要的信息。两者ssh-keyscan似乎都不知道证书。也许是我没有仔细研究过的一些图书馆?
最坏的情况我总是可以编写一个在本地运行的监控插件并解析ssh-keygen -L -f. 尽管如此,远程扫描确实感觉是更可取的方法。