Actualmente estoy estudiando la posibilidad de usar Yubikey (NEO) para almacenar las claves SSH privadas de mis usuarios. Al buscar en Internet, he encontrado varios lugares que explican cómo puede generar una clave maestra y subclave GPG, importarla en su Yubikey, exportar y convertir la clave pública y configurar gpg-agent para conectarse a través de ssh.
Parece que no puedo encontrar nada sobre una forma de firmar la clave y cargarla en gpg-agent utilizando el método de OpenSSH para firmar claves de usuario. Para mis servidores, he generado una clave usando ssh-keygen y configuré esa clave como una CA a través de TrustedUserCAKeys en sshd_config. Después de convertir la clave pública GPG en una clave pública OpenSSH puedo firmarla usando ssh-keygen, pero no puedo hacer que gpg-agent use la clave privada en combinación con la clave pública firmada. Sé que puedo poner la clave firmada en el archivo authorized_keys en el servidor, pero la principal ventaja en mi caso de uso de TrustedUserCAKeys es que alivia la carga de tener que mantener un archivo authorized_keys para todos los usuarios en todos los servidores y, en cambio, solo tiene para mantener una lista de revoked_keys. Así que me gustaría que la clave firmada se coloque en el lado del cliente en lugar del lado del servidor. Ponerlo en el lado del servidor anularía el propósito de firmar la clave en primer lugar, excepto la fecha de caducidad agregada.
No es un requisito tener cargada la clave pública firmada en Yubikey y / o en gpg-agent, si hay una manera de hacer que PuTTY, MobaXterm o alguna otra herramienta de conexión de Windows SSH o cualquier otra herramienta para hacer la conexión SSH usa la clave pública firmada en lugar de la clave pública no firmada, ya sea a través de Yubikey, gpg-agent o cargando el archivo por separado, también sería una gran solución.
¿Es esto posible o no hay ninguna solución (en Windows) que admita la inclusión de una clave pública firmada con una clave privada?
También pensé en algo que si puedo firmar la subclave con otra clave PGP y usar esa clave PGP como ssh CA, también estaría bien, siempre que sea posible convertirla en un OpenSSH privado. clave para firmar también claves SSH normales.