Wir möchten in diesem Vortrag ein weniger bekanntes Feature von OpenSSH
vorstellen: signierte SSH-Keys. Diese erweisen sich insbesondere im
Kontext größerer und langlebiger Projekte als sinnvoll und wir werden
auf die üblichen Abläufe im Arbeitsalltag eingehen. Wir zeigen auch
unseren eigenen Use-Case - Appliances für die Industrie.

OpenSSH bietet die Möglichkeit Public Keys zu signieren. Ein Server
lässt sich dann so konfigurieren, dass er signierte Keys akzeptiert,
ohne dass man diese - wie sonst üblich - in der authorized_keys-Datei
hinterlegen müsste. Das erspart einiges an Konfigurationsaufwand, gerade
wenn man es mit vielen Servern zu tun hat oder wenn die Server nicht
zugänglich sind.

Das Verwalten der Signaturen erfolgt mit OpenSSHs eigenem ssh-keygen.
Wir führen das kurz vor und konfigurieren eine VM, so dass sie die
Signaturen akzeptiert.

Auf was wir besonders eingehen möchten, sind die Abläufe die man im
echten Alltag hat. Dazu gehört das On-Boarding neuer Kollegen, die
regelmäßige Erneuerung der Schlüssel und was zu tun ist, wenn jemand das
Team verlässt. Wir zeigen dazu auch ein einfaches Setup mit Schlüsseln
im git, das für kleine bis mittlere Teams geeignet ist. Auf
kompliziertere Setups werden wir nur kurz verweisen.

Zuletzt erklären wir das ganze noch mal an unserem eigenen Use-Case und
zeigen, wie signierte SSH-Keys unsere Appliances sicherer und di
Schlüsselverwaltung einfacher machen.