Hashicorp Vault撤销SSH签名证书

Question

如何在Hashicorp中的ttl之前撤销SSH签名的证书？

Answer 1

撤销SSH证书目前是不可能通过Vault。

主要问题是SSH证书没有TLS证书所具有的在线吊销系统(无论是来自CA的CRL还是OCSP)。这意味着任何撤销都需要通过其他方式传播。

在openssh中，这是使用指向一个RevokedKeys的密钥撤销列表选项来完成的。此列表可以包含要拒绝的密钥或证书。

当您想要撤消证书时，您需要将它添加到上的吊销列表中--每个需要拒绝它的主机。

至少有一项请求可以在Vault中添加生成证书吊销列表，但是已经关闭了。推荐的替代方案是非常短的证书生存期(足够立即连接)。