Que sont les enregistrements SSHFP?
Les enregistrements RR SSHFP sont des enregistrements DNS contenant des empreintes digitales pour les clés publiques utilisées pour SSH. Ils sont principalement utilisés avec les domaines activés par DNSSEC. Lorsqu'un client SSH se connecte à un serveur, il vérifie l'enregistrement SSHFP correspondant. Si les empreintes digitales des enregistrements correspondent aux serveurs, celui-ci est légitime et la connexion en toute sécurité.
À quoi ressemblent les enregistrements du PSSPS?
Les dossiers du PSSPS comportent trois éléments:
- Algorithme
- Type d'empreinte digitale
- Empreinte digitale (en hex)
Algorithme
Il y a quatre algorithmes différents définis dans SSHFP à partir de 2015 . Chaque algorithme est représenté par un entier. Les algorithmes sont:
- 1 - RSA
- 2 - DSA
- 3 - ECDSA
- 4 - Ed25519
Type d'empreinte digitale
Deux types d'empreintes digitales sont définis dans SSHFP à partir de 2012 . Chaque type d'empreinte digitale est représenté par un entier. Ceux-ci sont:
Comment générer des enregistrements SSHFP?
Vous pouvez utiliser ssh-keygen
pour générer les enregistrements à l'aide du -r
paramètre, suivi du nom d'hôte (qui n'affecte pas les empreintes digitales, vous pouvez donc spécifier ce que vous voulez).
Exemple
Utiliser ssh-keygen
et CentOS:
[root@localhost ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
Remarque
Parfois ssh-keygen
, demandera l'emplacement du certificat public. Si cela vous est demandé, vous devrez exécuter ssh-keygen
plusieurs fois et spécifier à chaque fois un certificat différent pour vous assurer de générer tous les enregistrements SSHFP nécessaires. Vos clés publiques sont généralement situées dans /etc/ssh
.
Authentification d'entités nommées basée sur DNS
L'authentification des entités nommées (DANE) basée sur le DNS ( RFC 6698 ) est un successeur potentiel du RR SSHFP. DANE est très similaire au SSHFP RR mais ne se limite pas à SSH. Il utilise TLSA RR à la place avec un format très similaire.
ssh-keygen -r
gère également les enregistrements de type ed25519 (en utilisant le numéro expérimental 4 de iana iana iana.org/assignments/dns-sshfp-rr-parameters/… )