pointant ssh vers mes certificats certbot

Question

Centos7. J'ai installé avec succès certbot et généré mes certificats. Je leur ai pointé mon Dovecot ainsi que Postfix SASL. Les deux fonctionnent correctement. Comment puis-je pointer mon sshd vers eux? sshd a fonctionné hors de la boîte pour ainsi dire je suppose avec un cert générique pré-généré. Je préférerais configurer ssh pour qu'il pointe vers les certificats générés, donc je n'ai pas besoin de les copier ou de les lier ailleurs chaque fois qu'ils renouvellent.

Ou n'est-ce pas applicable? J'ai plusieurs entrées dans/etc/sshd_conf liées à la clé d'hôte, mais je ne suis pas sûr de ce qu'elles sont?

HostKey/etc/ssh/ssh_host_rsa_key

HostKey/etc/ssh/ssh_host_ecdsa_key

HostKey/etc/ssh/ssh_host_ed25519_key

Answer 1

TLDR: Les certs PEM ne sont pas applicables.

Certbot génère des certificats PEM destinés en grande partie à la communication sur le Web. Dans votre cas, les certificats de serveur ont été générés depuis que vous les avez utilisés pour Dovecot et Postfix. Afaik, SSHD ne supporte pas les PEM. Le client SSH le fait, mais il a besoin des certificats client , et non des certificats de serveur.

Le paramètre HostKey indique à SSHD les clés SSH (dont le format est différent des PEM) à utiliser. RSA, ECDSA, etc sont les algos de cryptage que SSHD prend en charge pour crypter le canal SSH. Pour chaque algo supporté, il a besoin d'une paire de clés. Ceux-ci sont générés automatiquement lorsque SSHD démarre la première fois. Voir cette page pour plus d'informations sur SSH client certs in PEM format.