日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
SSH-KEYGEN(1) FreeBSD 一般コマンドマニュアル SSH-KEYGEN(1)
名称
ssh-keygen -- 認証鍵の生成、管理と変換
書式
ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa]
[-N new_passphrase] [-C comment] [-f output_keyfile]
ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
ssh-keygen -i [-m key_format] [-f input_keyfile]
ssh-keygen -e [-m key_format] [-f input_keyfile]
ssh-keygen -y [-f input_keyfile]
ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]
ssh-keygen -l [-v] [-E fingerprint_hash] [-f input_keyfile]
ssh-keygen -B [-f input_keyfile]
ssh-keygen -D pkcs11
ssh-keygen -F hostname [-f known_hosts_file] [-l]
ssh-keygen -H [-f known_hosts_file]
ssh-keygen -R hostname [-f known_hosts_file]
ssh-keygen -r hostname [-f input_keyfile] [-g]
ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point]
ssh-keygen -T output_file -f input_file [-v] [-a rounds] [-J num_lines]
[-j start_line] [-K checkpt] [-W generator]
ssh-keygen -s ca_key -I certificate_identity [-h] [-U]
[-D pkcs11_provider] [-n principals] [-O option]
[-V validity_interval] [-z serial_number] file ...
ssh-keygen -L [-f input_keyfile]
ssh-keygen -A [-f prefix_path]
ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z version_number]
file ...
ssh-keygen -Q -f krl_file file ...
解説
ssh-keygen は、ssh(1) のための認証鍵を生成し、管理し、そして変換します。
ssh-keygen は、SSH プロトコルバージョン 2 によって使用される鍵を作成する
ことができます。
生成される鍵のタイプは、-t オプションで指定されます。何も引数なしで呼び出
されるなら、ssh-keygen は、RSA 鍵を生成します。
また、ssh-keygen は、Diffie-Hellman 群交換 (DH-GEX) で使用される群
(group) を生成するために使用されます。詳細については、「モジュロの生成」
セクションを参照してください。
最後に、与えられた鍵が取り消されたたかどうかテストするために、ssh-keygen
を鍵取り消しリストを生成し更新するために使用することができます。詳細につ
いては、「鍵取り消しリスト」セクションを参照してください。
通常、公開鍵の認証で SSH を使用したい各ユーザは、~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 または ~/.ssh/id_rsa で認証鍵を作成す
るために、これを一度実行します。さらに、システム管理者は、/etc/rc で見ら
れるように、ホスト鍵を生成するために、これを使用します。
通常、このプログラムは、鍵を生成し、秘密鍵を格納するファイルを問い合わせ
ます。公開鍵は、同じ名前ですが、``.pub'' が追加されたファイルに格納されま
す。また、プログラムは、パスフレーズを問い合わせます。パスフレーズは、パ
スフレーズがないことを示すために空となるか (ホスト鍵は、空のパスフレーズ
がなければなりません)、または任意の長さの文字列となります。パスフレーズ
は、ひと続きの単語、句読点、数値、余白類、または必要な任意の文字列がある
フレーズを指定できることを除いて、パスワードに似ています。よいパスフレー
ズは、長さ 10-30 の文字で、簡単な文でなく、または、そうでなければ、容易に
推測可能でない (英語の散文は、1 文字ごとに 1-2 ビットのエントロピだけがあ
り、非常に悪いパスフレーズとなります)、大文字と小文字、数値と非英数字の文
字を混合したものを含みます。パスフレーズは、-p オプションを使用することに
よって後で変更することができます。
失われたパスフレーズを復元する方法はありません。パスフレーズが失われるか
または忘れられるなら、新しい鍵は、生成され、対応する公開鍵を他のマシンに
コピーしなければなりません。
新しい OpenSSH 形式で格納された鍵について、鍵を識別することを手助けするた
めにユーザへの便宜のためだけである鍵ファイルにコメントフィールドもありま
す。コメントは、鍵が何であるか、または役に立つものは何でも、伝えることが
できます。コメントは、鍵が作成されるとき、``user@host'' に初期化されます
が、-c オプションを使用して変更することができます。
鍵が生成された後に、鍵が活性化されるためにどこに置かれるべきかについての
詳細を下記に説明します。
オプションは、次の通りです:
-A ホスト鍵が存在しない鍵のタイプ (rsa、dsa、ecdsa と ed25519) の各
々について、デフォルト鍵のファイルパスがあるホスト鍵、空のパスフ
レーズ、鍵のタイプのためのデフォルトのビットとデフォルトのコメン
トを生成します。また、-f が指定されたなら、その引数は、ホスト鍵
ファイルの結果のためのデフォルトパスへの接頭辞として使用されま
す。これは、新しいホスト鍵を生成するために /etc/rc によって使用さ
れます。
-a rounds
秘密鍵を保存するとき、このオプションは、使用される KDF (key
derivation function, 鍵派生関数) 巡回の数を指定します。より大きい
数は、(鍵を盗むかもしれない) 強力なパスワードクラッキングへのより
遅いパスフレーズ検証と抵抗性増進 (increased resistance) の結果と
なります。
(-T コマンドを使用して) DH-GEX 候補をスクリーニングするとき、この
オプションは、実行する主要なテストの数を指定します。
-B 指定された秘密鍵または公開鍵ファイルの bubblebabble タイジェスト
を表示します。
-b bits
作成する鍵のビットの数を指定します。RSA 鍵について、最小のサイズ
は、1024 ビットで、デフォルトは、2048 ビットです。一般的に、2048
ビットは、十分であると考えられます。DSA 鍵は、FIPS 186-2 によって
明記されるように、正確に 1024 ビットでなければなりません。ECDSA
鍵について、-b フラグは、次の 3 つの楕円曲線のサイズのうちの 1 つ
を選択することによって、それらの鍵の長さを決定します: 256, 384 ま
たは 521 ビット。ECDSA 鍵に対して、これらの 3 つの値以外のビット
長を使用することを試みると失敗します。Ed25519 鍵には、固定長があ
り、-b フラグは、無視されます。
-C comment
新しいコメントを与えます。
-c 秘密鍵と公開鍵ファイルのコメントを変更することを要求します。プロ
グラムは、秘密鍵を含んでいるファイルのために、鍵があるなら、パス
フレーズのために、そして、新しいコメントためにプロンプトを出しま
す。
-D pkcs11
PKCS#11 共有ライブラリ pkcs11 によって提供された RSA 公開鍵をダウ
ンロードします。-s と組み合わせて使用されるとき、このオプション
は、CA 鍵が PKCS#11 トークン (詳細については、「証明書」のセク
ションを参照) に存在していることを示します。
-E fingerprint_hash
鍵の指紋を表示するとき、使用されたハッシュアルゴリズムを指定しま
す。有効なオプションは、次の通りです: ``md5'' と ``sha256''。デ
フォルトは、``sha256'' です。
-e このオプションは、秘密鍵または公開 OpenSSH 鍵ファイルを読み込ん
で、-m オプションによって指定された形式の 1 つで標準出力 (stdout)
に鍵を印刷 (表示) します。デフォルトのエクスポート形式は、
``RFC4716'' です。このオプションによって、いくつかの商用 SSH の実
装を含む、他のプログラムによって使用されている OpenSSH 鍵をエクス
ポートできます。
-F hostname
known_hosts ファイルの指定された hostname を検索し、見つかったあ
らゆるものをリストします。このオプションは、ハッシュされたホスト
名またはアドレスを見つけるために役に立ち、ハッシュされた形式で見
つかった鍵を印刷するためにも -H オプションとともに使用されます。
-f filename
鍵ファイルのファイル名を指定します。
-G output_file
DH-GEX のための候補の素数を生成します。これらの素数は、使用する前
に (-T オプションを使用して) 安全性のためにスクリーニングされなけ
ればなりません。
-g -r コマンドを使用して、指紋のリソースのレコードを印刷 (表示) する
とき、一般的な DNS 形式を使用します。
-H known_hosts ファイルをハッシュします。これは、すべてのホスト名と
アドレスを指定されたファイル内のハッシュされた表現に置き換えま
す。オリジナルの内容は、.old 接尾辞をつけたファイルに移動されま
す。これらのハッシュは、通常 ssh と sshd によって使用されますが、
それらは, たとえファイルの内容が開示されても、識別される情報を明
らかにしません。このオプションは、既存のハッシュされたホスト名を
修正せず、したがって、ハッシュされた名前とハッシュされない名前が
混在したファイルで使用しても安全です。
-h 鍵に署名するとき、ユーザ証明書の代わりにホスト証明書を作成しま
す。詳細については、「証明書」セクションを参照してください。
-I certificate_identity
公開鍵に署名するとき、鍵の identity を指定します。詳細について
は、「証明書」セクションを参照してください。
-i このオプションは、-m オプションによって指定された形式で暗号化され
ていない秘密鍵 (または公開鍵) ファイルを読み込んで、OpenSSH 互換
の秘密鍵 (または公開鍵) を標準出力に印刷 (表示) します。このオプ
ションによって、いくつかの商用 SSH の実装を含んで、他のソフトウェ
アから鍵をインポートできます。デフォルトのインポートの形式は、
``RFC4716'' です。
-J num_lines
-T オプションを使用して、DH 候補審査 (screening) を行なう間に、指
定された行の数を審査した後に終了します。
-j start_line
-T オプションを使用して、DH 候補震災を行なう間に、指定された行番
号で審査を開始します。
-K checkpt
-T オプションを使用して、DH 候補審査を行なう間に、ファイル
checkpt に処理された最後の行を書き込みます。これは、ジョブが再開
されるなら、既に処理された入力ファイルの行をスキップするために使
用されます。
-k KRL ファイルを生成します。このモードで、ssh-keygen は、コマンド行
に存在するすべての鍵または証明書を取り消す、-f フラグによって指定
された位置で KRL ファイルを生成します。取り消される鍵/証明書は、
公開鍵ファイルによって指定されるか、または「鍵取り消しリスト」セ
クションに記述される形式使用して指定されます。
-L 1 つ以上の証明書の内容を印刷 (表示) します。
-l 指定された公開鍵ファイルの指紋を示します。RSA 鍵と DSA 鍵につい
て、ssh-keygen は、一致する公開鍵ファイルを見つけようと試み、その
指紋を印刷 (表示) します。-v と組み合わされるなら、鍵のビジュアル
な ASCII art 表現は、指紋を供給されます。
-M memory
DH-GEX のための候補のモジュロを生成するとき、(メガバイト単位で)
使用するメモリの量を指定します。
-m key_format
-i (インポート) または -e (エクスポート) 変換オプションのための鍵
の形式を指定します。サポートされている鍵の形式は、次の通りです:
``RFC4716'' (RFC 4716/SSH2 秘密鍵または秘密鍵)、``PKCS8'' (PEM
PKCS8 公開鍵)、または ``PEM'' (PEM 公開鍵)。デフォルトの変換形式
は、``RFC4716'' です。``PEM'' の形式を設定することは、サポートさ
れる秘密鍵タイプを生成するか、または更新するとき、古いPEM 秘密鍵
の形式で鍵を格納します。
-N new_passphrase
新しいパスフレーズを与えます。
-n principals
鍵に署名するとき、証明書に含まれる 1 つ以上のプリンシパル (ユーザ
またはホスト名) を指定します。複数のプリンシパルは、コンマによっ
て区切られて指定されます。詳細については、「証明書」セクションを
参照してください。
-O option
鍵に署名するとき、証明書オプションを指定します。このオプションを
複数回指定することができます。さらなる詳細については、「証明書」
セクションも参照してください。
現在のところ、標準のオプションは、ホスト鍵のために有効ではありま
せん。ユーザ証明書のために有効なオプションは、次の通りです:
clear すべての有効にされた許可をクリアします。これは、許可のデ
フォルトセットをクリアするために役立つので、許可は、個別
に追加されます。
critical:name[=contents]
extension:name[=contents]
任意の証明書重大な (critical) オプションまたは展開を含み
ます。指定された name は、ドメインの接尾辞、例えば、
``name@example.com'' を含むべきです。contents が指定され
るなら、それは、文字列としてエンコードされた展開/オプショ
ンの内容として含まれ、そうでなければ、展開/オプションは、
(通常、フラグを示す) 内容なしで作成されます。未知の重大な
(critical) オプションによって証明書が拒否されるのに対し
て、展開は、クライアントまたはそれらを認識しないサーバに
よって無視できます。
現在のところ、標準オプションは、ホスト鍵に対して有効では
ありません。
force-command=command
証明書が認証のために使用されるとき、ユーザによって指定さ
れたシェルまたはコマンドの代わりに command を強制的に実行
します。
no-agent-forwarding
ssh-agent(1) 転送を無効にする (デフォルトで許可されま
す)。
no-port-forwarding
ポート転送を無効にします (デフォルトで許可されます)。
no-pty PTY 割り付けを無効にします (デフォルトで許可されます)。
no-user-rc
sshd(8) によって ~/.ssh/rc の実行を無効にします (デフォル
トで許可されます)。
no-x11-forwarding
X11 転送を無効にします (デフォルトで許可されます)。
permit-agent-forwarding
ssh-agent(1) 転送を可能にします。
permit-port-forwarding
ポート転送を可能にします。
permit-pty
PTY 割り付けを可能にします。
permit-user-rc
sshd(8) によって ~/.ssh/rc の実行を可能にします。
permit-x11-forwarding
X11 転送を可能にします。
source-address=address_list
証明書が有効であると見なされる発信元アドレスを制限しま
す。address_list は、CIDR 形式の 1 つ以上のアドレス/ネッ
トマスクの組のコンマで区切られたリストです。
-P passphrase
(古い) パスフレーズを与えます。
-p 新しい秘密鍵を作成する代わりに秘密鍵ファイルのパスフレーズの変更
を要求します。プログラムは、秘密鍵を含んでいるファイルのために、
古いパスフレーズのために、そして新しいパスフレーズのために 2 度プ
ロンプトを出します。
-Q 鍵が KRL で取り消されたかどうかテストします。
-q 静かな ssh-keygen。
-R hostname
known_hosts ファイルから hostname に属するすべての鍵を削除しま
す。このオプションは、ハッシュされたホストを削除するために役に立
ちます (上記の -H オプションを参照)。
-r hostname
指定された公開鍵ファイルのために指定された hostname の SSHFP 指紋
リソースのレコードを印刷 (表示) します。
-S start
DH-GEX のための候補のモジュロを生成するとき、開始点を (16 進数で)
指定します。
-s ca_key
指定された CA 鍵を使用して、公開鍵を承認します (署名します)。詳細
については、「証明書」セクションを参照してください。
KRL を生成するとき、-s は、鍵の ID またはシリアル番号によって証明
書を直接取り消すために使用される CA 公開鍵ファイルへのパスを指定
します。詳細については、「鍵取り消しリスト」セクションを参照して
ください。
-T output_file
安全性のために (-G オプションを使用して生成された) DH 群交換
(group exchange) 候補の素数ををテストします。
-t dsa | ecdsa | ed25519 | rsa
作成する鍵の種類を指定します。指定できる値は、``dsa'', ``ecdsa'',
``ed25519'' または ``rsa'' です。
-U -s と組み合わせで使用されるとき、このオプションは、CA 鍵が ssh-
agent(1) にあることを示します。詳細については、「証明書」セクショ
ンを参照してください。
-u KRL を更新します。-k で指定されたとき、コマンド行によってリストさ
れた鍵は、作成されている新しい KRL ではなく既存の KRL に追加され
ます。
-V validity_interval
証明書に署名するとき、正当性の間隔 (validity interval) を指定しま
す。正当性の間隔は、証明書が、有効に現在始まって、その時間に期限
が切れるか、または明白な時間の間隔を示すためにコロンによって区切
られた 2 つの時間から成ることを示す、単一の時間から成ります。開始
時刻は、YYYYMMDD 形式の日付、YYYYMMDDHHMMSS 形式の時刻、または
sshd_config(5) の「時間の形式」セクションに記述された形式で相対的
な時間が続く (現在の時刻までの) マイナス記号から成る相対的な時刻
として指定されます。終了時刻は、YYYYMMDD の日付、YYYYMMDDHHMMSS
時刻またはプラス文字で始まる相対的な時間として指定されます。
例えば: ``+52w1d'' (現在から 52 週間と現在から 1 日まで有効)、
``-4w:+4w'' (4 週間前からと現在から 4 週間まで有効)、
``20100101123000:20110101123000'' (2010 年 1 月 1 日午後 12 時 30
分から 2010 年 1 月 1 日午後 12 時 30 分まで有効)、
``-1d:20110101'' (昨日から 2011 年 1 月 1 日の真夜中まで有効)。
-v 冗長モード。ssh-keygen は、その進行に関するデバッグメッセージを印
刷 (表示) します。これは、モジュロ生成のデバッグのために役に立ち
ます。複数の -v オプションは、冗長性を増加させます。最大は、3 で
す。
-W generator
DH-GEX のための候補のモジュロをテストするとき、望ましいジェネレー
タを指定します。
-y このオプションは、秘密の OpenSSH 形式ファイルを読み込み、stdout
に OpenSSH 公開鍵を印刷 (表示) します。
-z serial_number
同じ CA からと他のものからと、この証明書を区別するために証明書に
埋め込まれるシリアル番号を指定します。デフォルトのシリアル番号
は、0 です。
KRL を生成するとき、-z フラグは、KRL バージョン番号を指定するため
に使用されます。
モジュロの生成
ssh-keygen は、Diffie-Hellman 群交換 (Diffie-Hellman Group Exchange; DH
GEX) プロトコルのための群を生成するために使用されます。これらの群を生成す
ることは、次の 2 つの段階の処理です: 最初に、候補の素数は、高速ですが、メ
モリ集約的なプロセスを使用して生成されますが、次に、これらの候補の素数
は、適合性 (CPU 集約的なプロセス) に関してテストされます。
素数の生成は、-G オプションを使用して行なわれます。素数の必要な長さは、-b
オプションによって指定されます。例えば:
# ssh-keygen -G moduli-2048.candidates -b 2048
デフォルトで、素数の検索は、必要な長さの範囲でランダムな点で始められま
す。これは、(16 進数単位で) 異なる開始点を指定する、-S オプションを使用し
て、無効にされます。
いったん候補の集合が生成されると、それらは、適切かどうかを検査されなけれ
ばなりません。これは、-T オプションを使用して行なわれます。このモードで、
ssh-keygen は、標準入力 (または -f オプションを使用して指定されたファイ
ル) から候補を読み込みます。例えば:
# ssh-keygen -T moduli-2048 -f moduli-2048.candidates
デフォルトで、各候補は、100 の主要なテストを受けます。これは、-a オプショ
ンを使用して無効にされます。DH ジェネレータの値は、検討中の素数のために自
動的に選択されます。特定のジェネレータが必要とされるなら、それは、-W オプ
ションを使用して要求されます。有効なジェネレータの値は、2、3 と 5 です。
スクリーニングされた DH 群は、/etc/moduli にインストールされます。この
ファイルがビット長の範囲のモジュロを含み、接続の両端が共通のモジュロを共
有することは重要です。
証明書
ssh-keygen は、ユーザまたはホスト認証のために使用される証明書を作成するた
めに鍵の署名をサポートします。証明書は、公開鍵、いくつかの identity 情
報、0 以上のプリンシパル (ユーザまたはホスト) 名、と認証局 (CA) 鍵によっ
て署名される 1 組のオプションから成ります。次に、クライアントまたはサーバ
は、多くのユーザ/ホスト鍵を信じるよりむしろ CA 鍵だけを信じて、証明書の署
名を検証します。OpenSSH 証明書は、ssl(8) で使用される X.509 証明書と異
なって、より簡潔な形式であることに注意してください。
ssh-keygen は、2 つのタイプの証明書をサポートしています: ユーザとホストで
す。ユーザ証明書は、サーバへのユーザを認証しますが、ホスト証明書は、ユー
ザへのサーバのホストを認証します。ユーザ証明書を生成するために:
$ ssh-keygen -s /path/to/ca_key -I key_id /path/to/user_key.pub
結果の証明書は、/path/to/user_key-cert.pub に置かれます。ホスト証明書は、
-h オプションを必要とします:
$ ssh-keygen -s /path/to/ca_key -I key_id -h /path/to/host_key.pub
ホスト証明書は、/path/to/host_key-cert.pub への出力となります。
-D を使用してトークンライブラリを提供することによって PKCS#11 トークンに
格納された CA 鍵を使用し、引数として公開の半分を -s に提供することによっ
て CA 鍵を識別して署名することは可能です:
$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub
同様に、ssh-agent(1) でホストにされる CA 鍵になり得ます。これは、-U フラ
グによって示され、再び、CA 鍵は、その公開の半分によって識別されなければな
りません。
$ ssh-keygen -Us ca_key.pub -I key_id user_key.pub
すべての場合に、key_id は、証明書が認証に使用されるとき、サーバによってロ
グ記録される "key identifier" (鍵識別子) です。
証明書は、1 組のプリンシパル (ユーザ/ホスト) 名のために有効となるように制
限されます。デフォルトで、生成された証明書は、すべてのユーザまたはホスト
に有効です。指定されたプリンシパルのセットのための証明書を生成するために:
$ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
$ ssh-keygen -s ca_key -I key_id -h -n host.domain host_key.pub
ユーザ証明書の正当性と使用の追加制限は、証明書のオプションを通して指定さ
れます。証明書オプションは、SSH セッションの機能を無効にするか、特定の発
信元アドレスから提示される場合にだけ有効となるか、または特定のコマンドの
使用を強制します。有効な証明書オプションのリストについては、上記の -O オ
プションのための文書を参照してください。
最終に、証明書は、正当性の存続期間に定義されます。-V オプションによって、
証明書の仕様の始めと終わりの時刻を可能にします。この範囲の外に同時に提示
される証明書は、有効であると見なされません。デフォルトで、証明書は、UNIX
基準時点 (Epoch) から遠い将来まで有効です。
ユーザまたはホスト認証に使用される証明書について、CA 公開鍵は、sshd(8) ま
たは ssh(1) によって信頼されなければなりません。詳細については、それらの
マニュアルページを参照してください。
鍵取り消しリスト
ssh-keygen は、OpenSSH 形式の鍵取り消しリスト (OpenSSH format Key Revoca
tion Lists, KRL) を管理することができます。これらのバイナリファイルは、そ
れらがシリアル番号によって取り消されているなら、証明書ごとにわずかに 1
ビットほどを取り、コンパクトな形式を使用して取り消される鍵または証明書を
指定します。
KRL は、-k フラグを使用して生成されます。このオプションは、コマンド行から
1 つ以上のファイルを読み込み、新しい KRL を生成します。ファイルは、1 行ご
とに 1 つをリストされる、KRL 仕様 (以下を参照) または公開鍵を含んでいま
す。平易な公開鍵は、それらのハッシュまたは KRL と (シリアルが、0 か、また
は利用可能でないなら) シリアル番号または鍵 ID によって取り消された証明書
のないようをリストすることによって取り消されます。
KRL 仕様を使用して、鍵を取り消することは、鍵を取り消すために使用されるレ
コードのタイプに関する明白な制御を提供し、手元に完全なオリジナルの証明書
を持たずに、シリアル番号または鍵 ID によって証明書を直接取り消すために使
用されます。KRL 仕様は、コロンといくつかのディレクティブ特有の情報が続
く、次のディレクティブの 1 つを含んでいる行から成ります。
serial: serial_number[-serial_number]
指定されたシリアル番号がある証明書を取り消します。シリアル番号
は、0 を含まない、64 ビットの値で、10 進数、16 進数または 8 進数
で表現されます。ハイフンによって区切られる 2 つのシリアル番号が指
定されるなら、範囲の間を含むシリアル番号は、取り消されます。CA 鍵
は、-s オプションを使用して、ssh-keygen コマンド行で指定されなけ
ればなりません。
id: key_id
指定された鍵 ID 文字列がある証明書を取り消します。CA 鍵は、-s オ
プションを使用して、ssh-keygen コマンド行で指定されなければなりま
せん。
key: public_key
指定された鍵を取り消します。証明書がリストされるなら、それは、平
易な公開鍵として取り消されます。
sha1: public_key
KRL の SHA1 ハッシュを含めることによって指定された鍵を取り消しま
す。
sha256: public_key
KRL の SHA256 ハッシュを含めることによって指定された鍵を取り消し
ます。SHA256 ハッシュによって鍵を取り消された KRL は、7.9 以前の
OpenSSH バージョンによってサポートされません。
hash: fingerprint
sshd(8) 認証ログメッセージまたは ssh-keygen -l フラグ から取得さ
れるように、指紋ハッシュを使用して鍵を取り消します。ここで SHA256
の指紋だけは、ここでサポートされ、その結果として生じる KRL は、
7.9 以前の OpenSSH バージョンによってサポートされません。
KRL は、-k に加えて -u フラグを使用して更新されます。このオプションが指定
されるとき、コマンド行によってリストされた鍵は、それらを既にあるもにに追
加して、KRL にマージされます。
また、それが特別の鍵 (または複数の鍵) を取り消すかどうかテストするために
KRL を与えることは、可能です。-Q フラグは、コマンド行で指定された各鍵をテ
ストして、既存の KRL に問い合わせます。コマンド行でリストされたあらゆる鍵
が取り消されている (または、エラーに遭遇する) なら、ssh-keygen は、0 以外
の終了ステータスで終了します。鍵が取り消された場合のみ、0 の終了ステータ
スが、返されます。
関連ファイル
~/.ssh/id_dsa
~/.ssh/id_ecdsa
~/.ssh/id_ed25519
~/.ssh/id_rsa
ユーザの DSA、ECDSA、Ed25519 または RSA 認証の秘密鍵 (identity)
を含んでいます。このファイルは、ユーザ以外の誰によってでも読み込
み可能であってはいけません。鍵を生成するとき、パスフレーズを指定
することは可能です。そのパスフレーズは、128 ビットの AES を使用し
て、このファイルの秘密鍵の部品を暗号化するために使用されます。こ
のファイルは、ssh-keygen によって自動的にアクセスされませんが、そ
れは、秘密鍵のためのデフォルトのファイルとして提供されます。
ssh(1) は、ログインが試みられるとき、このファイルを読み込みます。
~/.ssh/id_dsa.pub
~/.ssh/id_ecdsa.pub
~/.ssh/id_ed25519.pub
~/.ssh/id_rsa.pub
認証のための DSA、ECDSA、Ed25519 または RSA 公開鍵を含んでいま
す。このファイルの内容は、ユーザが公開鍵認証を使用してログインし
たいすべてのマシンで ~/.ssh/authorized_keys に追加されるべきで
す。このファイルの秘密の内容を維持する必要はありません。
/etc/moduli
DH-GEX のために使用される Diffie-Hellman 群を含んでいます。ファイ
ルの形式は、moduli(5) に説明されています。
関連項目
ssh(1), ssh-add(1), ssh-agent(1), moduli(5), sshd(8)
The Secure Shell (SSH) Public Key File Format, RFC 4716, 2006.
作者
OpenSSH は、Tatu Ylonen によってリリースされたオリジナルのフリーな ssh
1.2.12 の派生物です。Aaron Campbell、Bob Beck、Markus Friedl、Niels
Provos、Theo de Raadt と Dug Song は、多くのバグを取り除き、新しい機能を
再び追加し、OpenSSH を作成しました。Markus Friedl は、SSH プロトコルバー
ジョン 1.5 と 2.0 のためのサポートを寄贈しました。
FreeBSD 12.2 September 12, 2018 FreeBSD 12.2