思科通过TACACS交换SSH证书

Question

我目前是一名受训人员，我被指派去做一项任务，在那里我必须确定，如果一个交换机通过与TACACS联系，是否有可能获得它的证书。

为了解释我想说的话，我会描述我的情况。

我的公司目前正在通过Telnet (当然是不安全的)访问远程位置上的所有交换机。计划改为SSH。但是，由于交换机不在安全位置，所以我的公司不希望将SSH证书保存在交换机本身，而是保存在TACACS服务器上，并且当登录到交换机时，交换机将从服务器获得证书以进行身份验证。我们目前正在使用TACACS进行默认身份验证。

交换机有可能从TACACs服务器获得证书吗？

Answer 1

简单来说，答案是否定的，因为SSH身份验证发生在登录身份验证之前(在这里与TACACS服务器联系)。

即使有可能下载证书，您也会遇到验证下载证书的设备实际上是正确开关的问题。

我怀疑有证书的开关是相对较低的风险。窃取私钥来模拟开关是非常非常困难的(但也不是不可能的)。