你可以这样做OpenSSH>=6.7
and GnuPG>=2.1.1
OpenSSH 6.7 引入了 unix 套接字转发,它将用于转发 gpg-agent 套接字。 GnuPG 2.1 摆脱了secring.gpg
将私钥管理委托给gpg-agent
。这避免了必须将私钥保留在远程计算机上。
首先,您需要在本地客户端上设置一个额外的套接字。将此行添加到您的gpg-agent.conf
extra-socket /path/to/extra-socket
重新启动你的gpg-agent
pkill gpg-agent
gpg-connect-agent /bye
打开到远程服务器的 ssh 连接并将服务器 gpg-agent 套接字转发回客户端(确保gpg-agent
尚未在遥控器上运行)
ssh -R ${GNUPGHOME:-~/.gnupg}/S.gpg-agent:/path/to/extra-socket remote-server
Note: GNUPGHOME
指 gnupg 的主文件夹 remote. 如果和当地的不一样GNUPGHOME
,你必须适应这一点。
您现在应该能够在远程服务器上进行签名/加密,前提是它的密钥环中有您的公钥。
注意:您可能需要向您的客户端添加图形 pinentry (qt,gtk)gpg-agent.conf
,我不确定诅咒是否会起作用。
默认情况下,OpenSSH 在关闭连接时不会删除服务器上转发的套接字。这将阻止 OpenSSH 在下一次连接期间创建套接字。如果您有权访问服务器sshd_config
您可以添加以下行
StreamLocalBindUnlink yes
或在注销脚本中将其删除(.zlogout
, .bash_logout
, ...)
rm ${GNUPGHOME:-~/gnupg}/S.gpg-agent
更多信息可以在这个 GnuPG wiki 页面上找到。https://wiki.gnupg.org/AgentForwarding https://wiki.gnupg.org/AgentForwarding