Как отозвать сертификат ssh (не файл идентификации ssh!)

Я сгенерировал сертификат SSH, как это:

1. ssh-keygen -f ca_key # создать пару ключей ssh ​​для использования в качестве сертификата
2. генерировать ключ хоста ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. укажите ключ хоста в конфигурационном файле sshd сервера: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. генерировать локальный сертификат для доступа хоста , используя SSH сертификат: ssh-keygen -s ca_key -I cert_identifier user_key.pub. Это должно генерировать user_key-cert.pub

Теперь я могу войти на сервер с помощью ssh -i user_key user@host(который использует user_key-cert.pub). Как я могу отозвать сертификат, кроме отключения файла TrustedUserCAKeys?

sshd_config имеет файл RevokedKeys. В нем можно перечислить несколько ключей или сертификатов, по одному на строку. В будущем OpenSSH будет поддерживать отзыв по серийному номеру сертификата, что сделает списки отзыва намного меньшими.

Они могут представлять интерес для вас:

CARevocationFile /path/to/bundle.crl Этот файл содержит несколько «списков отзыва сертификатов» (CRL) лиц, подписавших сертификаты в формате PEM, соединенных вместе.

CARevocationPath / path / to / CRLs / "Хэш-каталог" с "Списком отзыва сертификатов" (CRL) подписавших сертификат. Каждый CRL должен храниться в отдельном файле с именем [HASH] .r [NUMBER], где [HASH] является значением хеш-функции CRL, а [NUMBER] является целым числом, начинающимся с нуля. Хеш является результатом такой команды: $ openssl crl -in crl_file_name -noout -hash

(первые 3 поиска в Google по запросу "ssh ca revoke" ...)