Я немного сбит с толку относительно порядка вещей, чтобы это произошло.
Вот что я имел в виду:
1 - Создать открытый и закрытый ключ CA.
2 - Использовать открытый ключ CA с SFTP-сервером (TrustedUserCAKeys).
3 - Генерация пользовательского частного + открытого ключа.
4 - Подпишите личный ключ пользователя с помощью CA.
5 - Подключитесь к SFTP-серверу, используя закрытый ключ, имя пользователя и winscp.
Должно ли это работать?
Центры сертификации подписывают открытый ключ (производит сертификат). Они никогда не видят закрытый ключ получателя.
Кроме того, рабочий процесс кажется правильным, за исключением части WinSCP.
Сертификаты, используемые TrustedUserCAKeys, представляют собой формат, изобретенный OpenSSH. В настоящее время никакое другое программное обеспечение не поддерживает этот тип проверки подлинности сертификата - вот запись списка желаний PuTTY для них. Поскольку WinSCP использует PuTTY в качестве своего ядра SSH, у него нет поддержки сертификатов OpenSSH, и он не будет иметь ее до тех пор, пока PuTTY не сделает это.
