putty cac

PuTTY CAC 是 PuTTY 的一个分支，PuTTY 是一种流行的安全外壳 (SSH) 终端。 PuTTY CAC 添加了使用 Windows 证书 API (CAPI)、公钥加密标准 (PKCS) 库或快速身份在线 (FIDO) 密钥的功能，以便使用与存储在上的证书关联的私钥来执行 SSH 公钥身份验证。硬件令牌。

PuTTY CAC 可与多种类型的加密令牌一起使用，例如 Yubikey 和流行的智能卡模型。 “PuTTY CAC”中的“CAC”指的是通用访问卡，这是一种用于美国政府设施的智能卡令牌，是 PuTTY CAC 开发的最初驱动力之一。

PuTTY CAC 由开源社区独立于美国政府维护。

您可以在此处下载最新版本的 PuTTY CAC：https://github.com/NoMoreFood/putty-cac/releases

PuTTY CAC 源代码和二进制文件可免费用于任何目的。许可证可以在这里找到：https://github.com/NoMoreFood/putty-cac/blob/master/code/LICENCE

• Microsoft Windows 10 或更高版本
• 为了支持 CAPI，必须安装适当的 Windows 智能卡微型驱动程序。尽管 OpenSC 支持许多常见的硬件令牌，但这通常由智能卡制造商提供。
• 对于 PKCS 支持，需要 PKCS #11 库（通常是 DLL 文件）来与硬件令牌交互。尽管 OpenSC 支持许多常见的硬件令牌，但这通常由智能卡制造商提供。
• 对于 FIDO 支持，Windows 10 支持的 FIDO 密钥。

您可以在“使用 PuTTY-CAC 的 SSH”部分找到有关使用美国政府 ID 管理网站的一组基本说明：

https://playbooks.idmanagement.gov/piv/engineer/ssh/

PuTTY CAC 支持与 PuTTY 相同的命令行选项，并专门针对 PuTTY CAC 提供了一些附加的专用选项。

您可以使用特定的证书指纹或应用程序标识符来代替任何 PuTTY 实用程序的 PuTTY 密钥文件路径。例如：

• 使用用户证书存储中带有指纹“716B8B58D8F2C3A7F98F3F645161B1BF9818B689”的证书连接到 user@host：
  putty.exe user@host -i CAPI:716B8B58D8F2C3A7F98F3F645161B1BF9818B689
• 使用 PKCS 库 'PKCS.dll' 使用带有指纹 'B8B58D8F2C3A7F98F3F645161B1BF9818B689716' 的证书连接到 user@host：
  putty.exe user@host -i PKCS:B8B58D8F2C3A7F98F3F645161B1BF9818B689716=C:PKCS.dll
• 使用 PuTTY CAC FIDO 密钥缓存中的“ssh:MyFidoKey”标识的 FIDO 密钥连接到 user@host：
  putty.exe user@host -i FIDO:ssh:MyFidoKey

PuTTY 可执行文件（putty.exe、pageant.exe、psftp.exe）支持以下附加命令行选项。大多数这些选项都集中在 Pageant 的操作上，也可以从其用户界面进行设置。一旦设置，这些选项将自动应用于后续执行，除非专门取消设置。过滤选美证书选择对话框的设置也会影响标准 PuTTY 应用程序中的过滤器证书选择对话框：

• 在启动时自动加载任何兼容的 CAPI 证书： -autoload 、 -autoloadoff
• 在 PuTTY 执行之间保存密钥列表： -savecertlist 、 -savecertlistoff
• 在 Pageant 中启用补充 PIN 缓存： -forcepincache 、 -forcepincacheoff
• 请求证书签名操作时提示： -certauthprompting 、 -certauthpromptingoff
• 仅在证书选择对话框中显示受信任的证书： -trustedcertsonly 、 -trustedcertsonlyoff
• 不要在证书选择对话框中显示过期的证书： -ignoreexpiredcerts 、 -ignoreexpiredcertsoff
• 禁用证书选择对话框中的所有过滤： -allowanycert 、 -allowanycertoff

就 PuTTY CAC 而言，证书只是引用私钥/公钥对的便捷方式。如果您想要使用 PuTTY CAC 安全地登录系统并且无权访问证书颁发机构 (CA)，则可以对证书进行自签名。相反，PuTTY CAC 可以与托管 SSH 服务器结合使用来实施多重身份验证。这可以通过确保 OpenSSHauthorized_keys 文件仅包含与硬件令牌关联的公钥来完成，无论是按程序还是通过创建所有已颁发证书的索引并通过 OpenSSH 指令（如 AuthorizedKeysCommand）查找它们来完成。

用于与硬件令牌交互的特定代码利用 Microsoft 加密库，而这些库又受系统级 FIPS 设置控制（请参阅 Microsoft 网站）。同样，如果硬件密钥经过 FIPS 认证，则保证用于签名身份验证质询的硬件令牌使用符合 FIPS 的算法；有关详细信息，请参阅硬件令牌的制造商网站。一旦建立 SSH 会话，PuTTY 本身就会使用专有的加密和散列，但尚未经过 FIPS 合规性或认证的评估。

• Visual Studio 2022 与 C++ 桌面应用程序开发
• WiX 工具集（用于构建 MSI 文件）
• Windows PowerShell（用于构建 MSI/ZIP/哈希文件）

• 执行“packagerbuild.cmd”来创建构建文件
• Visual Studio 解决方案文件将在“build”下生成

• PuTTYImp 用于导入现有的 FIDO 驻留密钥。这静态链接 libfido2； libfido2 及其二进制依赖项包含在此存储库中。除了 Windows 操作系统及其关联 SDK 中包含的依赖项之外，所有其他 PuTTY 可执行文件都没有依赖项。