Hashicorp VaultでSSHのCA認証

まずはsshエンジンを有効化

vault$ vault secrets enable -path=ssh-ca ssh
Success! Enabled the ssh secrets engine at: ssh-ca/

あごし

なんでpkiエンジンとsshエンジン分かれてるのか？
そもそもsshは証明書を使っているわけではない？？認証局の公開鍵をsshd_configへ登録するみたい。

TrustedUserCAKeys <<鍵のパス>>

opensshのCA認証の仕組みをちゃんと理解できていない。

あごし

公開鍵認証の参考文献。

sshエンジン(CA認証)でも本質的にはやっていることは公開鍵認証と変わらないのかな。

あごし

tlsはx509証明書(rfc5280)、opensshはssh証明書(rfc4252)を使っているのでvaultのエンジンも分かれているようだ。sshでx509証明書を使う仕様(rfc4256)もあるみたいだけど、opensshでは使われていないっぽい。
RFC5280(日本語)

https://tex2e.github.io/rfc-translater/html/rfc5280.html
OPENSSH

https://man.openbsd.org/ssh

RFC4252(日本語)

https://tex2e.github.io/rfc-translater/html/rfc4252.html
RFC4256(日本語)

https://tex2e.github.io/rfc-translater/html/rfc4256.html

あごし

pkiエンジンでopensshのssh証明書認証はできないことが分かったので、素直にsshエンジンで鍵ペアを作る。

# host key用のエンジンも建てる予定なので、client用のpathが分かりやすいように立て直した。
vault$ vault secrets enable -path=ssh-client-signer ssh
Success! Enabled the ssh secrets engine at: ssh-client-signer/

vault$ vautl write ssh-client-signer/config/ca generate_signing_key=true
Key           Value
---           -----
public_key    ssh-rsa XXXXXXX

あごし

sshエンジン有効化後、hashicorp公式チュートリアルにのっとってroleを作成、sshd_config設定変更、ssh証明書の作成で問題なくSSH証明書による認証ができた。

あごし

今後やること
ホストキーもsshエンジンを使う。
プリンシパルを使って、ユーザやサーバ単位の権限制御を実験する。(参考文献は下部)
sshエンジンのroleはどんな単位で作成すべきか考察する。
https://christina04.hatenablog.com/entry/signed-ssh-error