Utilisation d'un certificat avec SSH/SCP
Dans le cas d'une utilisation d'un certificat pour de l'authentification forte avec openSSH ou WinSCP par exemple, il faut extraire la clé publique
pour la mettre dans le fichier ~/.ssh/authorized_keys du serveur.
Les commandes suivantes se font grâce aux outils OpenSSL et OpenSSH. Sur une plateforme Linux, ces outils sont généralement pré-installés. Sur Windows,
il faut les installer manuellement. Voici les liens pour :
- Extraire le certificat au format PFX/P12
Une fois que vous avez récupéré votre certificat Sign&Login, celui-ci est installé dans le magasin de certificats de votre navigateur. Vous pouvez l'extraire au format PFX/P12. La méthode diffère selon le navigateur :
- Convertir le fichier PFX/P12 au format PEM A l'aide d'Openssl, tapez la commande suivante
- Extraire la clé privée de votre certificat au format PFX/P12
- Extraire la clé publique du certificat au format PEM et ajout de celle-ci dans le fichier contenant la clé privée
- Utilisation de ssh-keygen pour créer l'empreinte a copier sur le serveur d’accès dans le fichier ~/.ssh/authorizedkeys
- Test de la connexion Maintenant, vous pouvez tester la connexion au serveur avec de l'authentification forte.
- Optionnel : ajout du fichier maclessh.pem dans la configuration du client Si vous le souhaitez, vous pouvez ajouter les lignes suivantes dans le fichier de configuration de votre client SSH. Celui se trouve généralement à l'endroit ~/.ssh/config
# openssl pkcs12 -in moncertificat.p12 -out moncertificat.pem -nodes
# openssl pkcs12 -in moncertificat.p12 -out maclessh.pem -nodes -nocerts
# openssl x509 -in moncertificat.pem -pubkey -noout >> maclessh.pem
# ssh-keygen -i -m PKCS8 -f maclessh.pem
La ligne obtenu doit être copié sur le serveur, dans le fichier ~/.ssh/authorizedkeys
# ssh -i maclessh.pem utilisateur@NOM_DU_SERVEUR
Host NOM_DU_SERVEUR IdentityFile chemin/vers/maclessh.pem
Une fois que cela est fait, vous n'avez plus qu'à taper ceci pour accéder au serveur :
# ssh utilisateur@NOM_DU_SERVEUR