OpenSSH 証明書認証

[harre-orz]

初めまして

最新の TeraTerm 5.3 では、SSH CA が利用できませんでした。

PuTTY の ppk形式には自身の秘密鍵に SSH CA で発行した証明書を含めれたので、
この ppkファイルを TeraTerm の秘密鍵として指定したところ、
SSHサーバ (OpenSSH) では userauth_pubkey: unsupported public key algorithm: ssh-unknown [preauth] となり、
認証に失敗しました。

PuTTY の ppk形式には自身の秘密鍵に SSH CA で発行した証明書を含めれたので
この ppkファイルを TeraTerm の秘密鍵として指定したところ、
SSH2秘密鍵の読み込みに失敗しました とエラーになりました。
また、Pageant でppkファイルを読み込ませ、TeraTerm で Pageantを使う を指定したところ、
SSHサーバ (OpenSSH) では userauth_pubkey: unsupported public key algorithm: ssh-unknown [preauth] となり、
認証に失敗しました。

現在、SSH CA はサポートされているのでしょうか？

[nmaya]

サポートされていません。

• PuTTY だと 0.78 (released 2022-10-29) の Support for OpenSSH certificates, for both user authentication keys and host keys.
• OpenSSH だと OpenSSH 5.4/5.4p1 (2010-03-08) の Add support for certificate authentication of users and hosts using a new, minimal OpenSSH certificate format (not X.509).

PROTOCOL.certkeys ということは RFC になっていない規格でしょうか。

[harre-orz]

回答ありがとうございます。

PROTOCOL.certkeys ということは RFC になっていない規格でしょうか。

SSHのRFCは初めて読んだため解釈が間違っている場合はご指摘いただきたいのですが、
RFC 4252 の 7. で、公開鍵認証が記載されていますが、ここには具体的な鍵形式の言及なし。

RFC 8332 に ssh-rsa の言及あり
RFC 8709 に ssh-ed25519 の言及あり

SSH CA認証は [email protected] や [email protected] といった形式で、
ご指摘のとおり現在 RFC はなく、OpenSSH 独自の鍵形式になっているようでした。

TeraTerm では、RFC 化されていないSSH CA認証の鍵形式への対応は難しいのでしょうか？

[nmaya]

ssh-rsa は RFC4253 6.6 にあります。

RFC 化されていない……への対応は難しいのでしょうか？

RFC になくても対応しているものもあります。
緊急度や重要度や普及度により、プロジェクト内の優先度が決まると思います。
またそれとは別に、実装の難易度やメンバーの時間的余裕なども関係します。