%TOPIC%

Client-Konfiguration

Die Host Keys der ESXi-VMs sind durch eine SSH-CA der RBG signiert.  Mit folgender Zeile in der /.ssh/known_hosts akzeptiert man die CA für alle hosts:

@cert-authority * ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH9d9mR3PHGWKa77BfvbqmX3Y6pI/i/X/tcpWCms26EY RBG SSH CA

Die Host Keys der ESXi-VMs sind ebenfalls im DNS hinterlegt.  Falls man auf dem lokalen Gerät die DNSSEC-Signaturen prüft, kann man diesen Mechanismus in der /.ssh/config aktivieren:

VerifyHostKeyDNS yes
#CanonicalDomains ma.tum.de
CanonicalDomains in.tum.de
CanonicalizeHostname yes