Zeige ssh zu meinem certbot Zertifikate

Question

Centos7. Ich habe certbot erfolgreich installiert und meine Zertifikate erstellt. Ich habe ihnen sowohl mein Dovecot als auch Postfix SASL gezeigt. Beide funktionieren ordnungsgemäß. Wie weise ich meine sshd auf sie? sshd hat sozusagen aus der Box gearbeitet, nehme ich an mit einem vorgenerierten generischen cert. Ich würde es vorziehen, ssh so zu konfigurieren, dass es auf die generierten Zertifikate "zeigt", so dass ich sie nicht jedes Mal, wenn sie erneuert werden, kopieren oder verlinken muss.

Oder ist das nicht anwendbar? Ich habe mehrere Einträge in/etc/sshd_conf im Zusammenhang mit Hostkey, aber nicht sicher, was das sind?

HostKey/etc/ssh/ssh_host_rsa_key

HostKey/etc/ssh/ssh_host_ecdsa_key

HostKey/etc/ssh/ssh_host_ed25519_key

Answer 1

TLDR: Die PEM-Zertifikate sind nicht anwendbar.

Certbot generiert PEM-Zertifikate, die hauptsächlich für die Kommunikation im Internet gedacht sind. In Ihrem Fall wurden Server-Zertifikate generiert, seit Sie sie für Dovecot und Postfix verwendet haben. Afaik, SSHD unterstützt keine PEMs. Der SSH-Client benötigt, aber es benötigt Client-Zertifikate, nicht Server-Zertifikate.

Der Parameter HostKey teilt SSHD mit, welche SSH-Schlüssel (deren Format sich von PEMs unterscheidet) zu verwenden. RSA, ECDSA usw. sind die Verschlüsselungsalgorithmen, die SSHD zur Verschlüsselung des SSH-Kanals unterstützt. Für jeden unterstützten Algo benötigt er ein Schlüsselpaar. Diese werden automatisch generiert, wenn SSHD das erste Mal gestartet wird.

Auf dieser Seite finden Sie weitere Informationen zu SSH client certs in PEM format.