既存のサーバーを交換するための新しいCentOS 7を構築しており、多数のSSHクライアントがサーバー証明書(SSHDから提供)を使用して既存のサーバーを信頼/識別するように設定されています。
すべてのクライアントが新しいサーバーをすぐに認識して信頼できるように、古いSSHD証明書を古いサーバーから新しいサーバーに移動できますか?
ベストアンサー1
重要なことは、/etc/sshさまざまなファイルでなければならないということですssh_host_*。これを移動すると、クライアントはそれを認識し続けます(user4556274が指摘したように、クライアントが接続に使用するホスト名が一致すると仮定します)。
また、キーが十分に安全であるか(ビット単位で)十分であることを確認し、OpenSSHニュースおよび/またはssh-keygenのマンページを確認して、追加のキーを生成するかどうかを確認できます。キーキー(たとえば、新しい暗号化アルゴリズム用)など、いくつかのアドバイスRSAおよびDSAキーは3072ビット以上でなければなりません。以前のシステムにはECCキーがない可能性があります(ただし、いくつかの生成を考慮する必要があります)。
[鍵の変更警告を受けずに既存のクライアントから鍵をアップグレードする方法がわからないため、次のように質問します。SSHホストキーをローリングする方法は?]