Aller au contenu
Contactez-nous
  1. Accueil
  2. /
  3. Blog
  4. /
  5. OpenSSH Certificates : mettre en place une CA pour signer utilisateurs et hôtes

Administration
Linux
Sécurité

OpenSSH Certificates : mettre en place une CA pour signer utilisateurs et hôtes

14 décembre 2025

3 min de lecture

Sommaire
Plan de l'article
Concepts clés
Créer une CA OpenSSH
Signer une clé utilisateur
Signer une clé hôte
Déployer la confiance côté serveur
Révocation et rotation
Bonnes pratiques
Conclusion

Les certificats OpenSSH remplacent la gestion fastidieuse des clés publiques individuelles par une autorité de certification (CA) qui signe les identités utilisateur et hôte. Avantages : rotation facilitée, révocation centralisée, politiques sur la durée de validité et les autorisations.

Cette approche complète une sécurisation SSH de base et tient la charge à grande échelle.

Plan de l'article

  • Concepts : clé de CA, certificats utilisateur/hôte, Principals, Validité
  • Créer une CA OpenSSH
  • Signer des clés utilisateur
  • Signer des clés hôte
  • Déployer la confiance (TrustedUserCAKeys / @cert-authority)
  • Révoquer/faire tourner les certificats
  • Bonnes pratiques

Concepts clés

  • CA (Certificate Authority) : une paire de clés (privée/publique) qui signe les clés.
  • Certificat utilisateur : associe une clé publique à un ou plusieurs principals (comptes autorisés) + options (force-command, permit-pty, etc.).
  • Certificat hôte : évite l'avertissement host key verification en prouvant l'identité du serveur.
  • Validité : dates valid-after et valid-before limitent la fenêtre d'usage.

Créer une CA OpenSSH

Générer la clé de CA (à garder offline si possible) :

ssh-keygen -t ed25519 -f /etc/ssh/ssh_ca -C "OpenSSH CA"
chmod 600 /etc/ssh/ssh_ca

Exporter la clé publique de la CA :

cat /etc/ssh/ssh_ca.pub

Signer une clé utilisateur

  1. L'utilisateur possède déjà une clé (~/.ssh/id_ed25519.pub).
  2. La CA signe cette clé pour le principal alice (valide 24h) :
ssh-keygen -s /etc/ssh/ssh_ca -I alice-20251014   -n alice -V +24h ~/.ssh/id_ed25519.pub

Le certificat généré ~/.ssh/id_ed25519-cert.pub est présenté au serveur lors de l'authentification.


Signer une clé hôte

Sur le serveur, signer la clé hôte (ici ed25519) :

ssh-keygen -s /etc/ssh/ssh_ca -I host-web-01   -h -n web-01.exemple.com -V +52w /etc/ssh/ssh_host_ed25519_key.pub

Déclarez la confiance côté client dans ~/.ssh/known_hosts (ou global /etc/ssh/ssh_known_hosts) :

@cert-authority *.exemple.com ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAI...clePublicDeLaCA...

Déployer la confiance côté serveur

Dans /etc/ssh/sshd_config, indiquer que le serveur fait confiance à la CA utilisateur :

TrustedUserCAKeys /etc/ssh/ssh_ca_users.pub
PubkeyAuthentication yes
PasswordAuthentication no

Puis recharger :

sudo systemctl reload sshd

Révocation et rotation

  • Durée courte (ex. 24h/7j) pour limiter l'impact d'une fuite.
  • Listes de révocation via RevokedKeys si une clé est compromise.
  • Renouvellement automatisé (cron/CI) avec suivi d'audits.

Bonnes pratiques

  • Stocker la clé privée de CA dans un coffre (HSM/HashiCorp Vault) ou offline.
  • Séparer CA utilisateurs et CA hôtes.
  • Restreindre les options (no-agent-forwarding, no-port-forwarding, force-command) selon le rôle.
  • Journaliser les signatures et surveiller la dérive des certificats.

Combinez avec un bastion SSH multi-facteurs ou des tunnels avancés pour une sécurité renforcée.


Conclusion

Avec une CA OpenSSH, vous simplifiez la gestion des accès : on signe, on révoque, on fait tourner.
Les certificats SSH tiennent l'échelle, tracent chaque accès et resserrent la sécurité des parcs d'administration.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

AIDE : intégrité des fichiers Linux contre rootkits et compromissions
Sécurité
Linux
Administration

AIDE : intégrité des fichiers Linux contre rootkits et compromissions

Configurer AIDE pour détecter modifications fichiers système, baseline, comparaisons, intégration cron et alerting. Outil d'intégrité Linux historique, toujours utilisé en production.

14 juin 2026

Lire plus

auditd et ausearch : audit kernel Linux pour la conformité
Sécurité
Linux
Administration

auditd et ausearch : audit kernel Linux pour la conformité

Configurer auditd, écrire des règles audit, requêter avec ausearch et aureport. Audit syscalls et fichiers, intégration SIEM, conformité PCI/CIS, retours ops.

13 juin 2026

Lire plus

systemd-cryptenroll et TPM2 : déchiffrement automatique LUKS
Sécurité
Linux
Administration

systemd-cryptenroll et TPM2 : déchiffrement automatique LUKS

Lier une partition LUKS au TPM2 de la machine avec systemd-cryptenroll. Déchiffrement automatique au boot, attestation Secure Boot, sealing PCR, retours ops.

8 juin 2026

Lire plus


SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Contactez-nousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr