摘要: SSH首次使用信任(TOFU)机制要求用户手动确认服务器指纹,存在安全风险。通过生成SSH密钥对并安装公钥到目标服务器,可实现免密码登录。SSH代理可缓存私钥短语以减少重复输入。SSH证书认证机构(CA)可自动化签发用户证书和主机证书,解决TOFU问题,支持有效期管理、强制命令、IP地址限制等,并避免手动维护授权文件。证书验证失败可能导致登录中断或需要重新签发,需定期更新并监控证书状态。
讨论: 讨论使用SSH密钥而非密码的必要性,提到TOFU(首次信任)机制在动态环境中的挑战,证书权威(CA)的复杂性,以及企业环境中基于本地授权密钥和HTTPS的用户管理方案。部分用户采用短期密钥(如每日YubiKey)和工具(如pico.sh)实现RBAC,但证书 revocation、sudo权限、用户删除等问题仍需解决。
原文标题:SSH certificates: the better SSH experience
原文链接:https://jpmens.net/2026/04/03/ssh-certificates-the-better-ssh-experience/
讨论链接:https://news.ycombinator.com/item?id=47624811