Sto configurando un server per la firma delle chiavi SSH, utilizzando Neflix BLESS come base github (dot) com / Netflix / benedica.
Esiste un'opzione critica per indirizzo sorgente per garantire che il certificato possa essere utilizzato da solo un elenco di indirizzi IP specifici, ma non riesco a trovare un'opzione per un indirizzo di destinazione per limitare l'accesso a un singolo server.
Non usiamo un host bastion e vogliamo assicurarci che la chiave firmata che viene restituita non sia semplicemente utilizzata contro un altro server che riconosce la CA, ma a cui l'utente non è autorizzato.
Ho controllato link e < a href="https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/PROTOCOL.certkeys?annotate=HEAD"> link e non riesco a trovare un opzione che gestirà questo.
L'unica cosa che ho visto che potrebbe dare qualche informazione è
...if an implementation does not recognise a optionthen the validating party should refuse to accept the certificate.
Il che mi fa pensare che potrebbe esserci qualche lista di ciò che alcune implementazioni supportano, ma non riesco a trovare nulla.