Estoy configurando un servidor de firma de claves SSH, usando Neflix BLESS como base github (punto) com / Netflix / bless.
Hay una opción crítica para dirección-fuente para garantizar que el certificado solo se pueda utilizar desde una lista de direcciones IP específicas. pero no puedo encontrar una opción para destination-address para restringir el acceso a a un solo servidor.
No estamos usando un host de bastión y queremos asegurarnos de que la clave firmada que se devuelve no se use simplemente contra otro servidor que reconozca la CA, sino que no esté autorizado por el usuario.
He comprobado enlace y < a href="https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/PROTOCOL.certkeys?annotate=HEAD"> enlace y no puedo encontrar una Opción que manejaría esto.
Lo único que he visto que podría darnos una idea es
... si una implementación no reconoce una opción, la parte que valida debe negarse a aceptar el certificado.
Lo que me hace pensar que puede haber alguna lista de lo que admite alguna implementación, pero parece que no puedo encontrar nada.