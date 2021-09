2.5 , Crazy Alex ( ok ), 13:08, 21/09/2021 [^] [^^] [^^^] [ответить] + / – От сейчас - очень понятно, чем. Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и отработает. Или прибил признак какой-то - и нужным хостам задаёшь - пускать по сертификатам с данным значением данного признака. А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление их CRL ничем не хуже.

3.8 , scor ( ok ), 13:14, 21/09/2021

> Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и

> отработает. Или просто не положил паблик пользователя на хост... > А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам

> из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление

4.14 , Аноним ( 14 ), 13:56, 21/09/2021

Т.е. нужно точно также ходить по всем хостам и что-то там править? Ну т.е. все теже проблемы, что и сейчас, только в новой обёртке и файлы по другому называются. Окай.:)

4.14 , Аноним ( 14 ), 13:56, 21/09/2021

Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтобы удалить. Тут можно обходить хосты только в случае незапланированного принудительного удаления.

Плюс, скорее всего, как в OAuth2, подписи CA сделают короткоживущими, типа, пяти минут. В случае компрометации ключа, его блокируют на CA и через пять минут, когда на нем протухнет подпись, никто не сможет ее восстановить и автоматически ключ станет недействителен на всех хостах.