使用YubiKey PIV和PKCS#11来进行SSH认证

我在去年使用了Clouldflare提供的Offer购买了一大堆的YubiKey 5,给群友分了几个之后自己也用起来了。这篇文章讲的东西也并不新鲜,但是我在使用YubiKey的时候也踩了一些坑,简单记录一下,希望能帮到跟我一样有疑问的人。

TLDR

  1. 你只需要导入SSH的私钥就行,不需要生成和导入X.509证书。
  2. YubiKey Manager是个废物,还得是yubico-piv-tool。
  3. 不建议让YubiKey生成证书和私钥,这种情况下私钥无法导出备份,YubiKey丢了很麻烦。
  4. 如果你是一个狂热的加密爱好者,我的操作是不够安全的。