OpenBSDおよびRHELのssh-keygenおよび-Zオプション

Question 1

長すぎる博士。最新バージョンのOpenSSHでは、サブジェクト（ホスト名やユーザーなど）を設定する-n代わりにこのオプションを使用する必要があります。-Z

ソースコードを見ると、ssh-keygenその-Zオプションは許可されますが、「パスワード形式」に関連しているようです。

はい、エラーが発生しない理由は、openssh_format_cipher証明書を生成するときに変数が使用されず、パスワードでキーを生成するときにのみ使用されるためです。

キー生成を有効にしてssh-keygen -f ./path -Z some_garbageパスワードを設定すると、エラーメッセージが表示されます。

動作を異ならせるRHEL 6のssh-keygenRedHat関連パッチでパッチされていますか？-Z

はい、昔もそうでした。openssh-5.3p1-ssh-certificates.patchで見ることができますここ:

+               case 'Z':
+                       cert_principals = optarg;
+                       break;
                case 'p':

このパッチは、最新のrpmでは使用されなくなりました。

Answer

長すぎる博士。最新バージョンのOpenSSHでは、サブジェクト（ホスト名やユーザーなど）を設定する-n代わりにこのオプションを使用する必要があります。-Z

ソースコードを見ると、ssh-keygenその-Zオプションは許可されますが、「パスワード形式」に関連しているようです。

はい、エラーが発生しない理由は、openssh_format_cipher証明書を生成するときに変数が使用されず、パスワードでキーを生成するときにのみ使用されるためです。

キー生成を有効にしてssh-keygen -f ./path -Z some_garbageパスワードを設定すると、エラーメッセージが表示されます。

動作を異ならせるRHEL 6のssh-keygenRedHat関連パッチでパッチされていますか？-Z

はい、昔もそうでした。openssh-5.3p1-ssh-certificates.patchで見ることができますここ:

+               case 'Z':
+                       cert_principals = optarg;
+                       break;
                case 'p':

このパッチは、最新のrpmでは使用されなくなりました。

Question 2

@mosvyの答えはコメントより少し長いので拡張されます。

RHEL6は2009年からOpenSSH 5.3p1と一緒にリリースされており（元は以前のバージョンのようですが、今は持っていません）、長年にわたってSSH用の機能を含むアップストリームで新機能が実装またはバックポートされました。証明書

しかし、それははるかに後でした。 NSSによるスマートカードの長年の初期サポート（2007年以降の変更ログ）以降、NSSがどのように機能するかを説明します-n。ssh-keygenこの2008年のブログ投稿で（このパッチがアップストリームで提案されたのか、なぜ拒否されたのかはわかりませんが、標準のPKCS＃11インターフェイスを介してスマートカードが直接使用されます。） keys.patchを参照してください。

OpenSSH 5.4p1がリリースされ、証明書をサポートしてからしばらくして、この特定の機能をバックポートすることにしました（2013年にさかのぼる変更ログで）、既存のスイッチ（今はすべてのアルファベットssh-keygen文字を使用するスイッチ）と競合します。よく覚えておいてください）、この機能をバックポートする唯一の方法は、オプションを別のスイッチに移動し（既存のシナリオはマイナーな更新で中断できない）文書化することでした。

それがすべてです。

Answer