轩辕镜像 官方专业版
轩辕镜像
专业版
轩辕镜像 官方专业版
轩辕镜像
专业版
首页个人中心搜索镜像
交易
充值流量¥7起我的订单
文档
工具
提交工单页面收录
cashier

nsheridan/cashier

nsheridan
自动构建

Cashier是一个SSH证书颁发机构(CA),支持通过证书进行SSH认证,提供证书签名、权限管理、有效期控制及吊销功能,无需将密钥分发到每台机器,仅需服务器信任签名密钥,简化SSH访问管理并增强安全性。

1 次收藏下载次数: 0状态:自动构建维护者:nsheridan仓库类型:镜像最近更新:1 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可:

请先完整阅读并严格遵守以下文档中的全部规则与要求:

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。

中文简介
下载命令
镜像标签列表与下载命令
使用轩辕镜像,把时间还给真正重要的事。
点击查看

Cashier

镜像概述和主要用途

Cashier是一个SSH证书颁发机构(CA),用于管理OpenSSH证书认证。OpenSSH支持使用SSH证书进行身份验证,证书包含公钥、身份信息并由标准SSH密钥签名。与普通SSH密钥相比,证书可包含更多信息(允许使用的用户、有效期、权限等),且无需分发到每台机器(仅需服务器信任签名密钥),支持吊销,适用于集中化管理SSH访问的场景。

核心功能和特性

  • 证书管理:支持SSH证书的签名、颁发与吊销,记录证书信息用于审计。
  • 身份验证集成:通过OAuth providers(Google、GitHub、GitLab等)验证用户身份。
  • 灵活的配置存储:支持多种文件路径类型(本地文件、AWS S3、Google GCS、Vault)存储关键配置(如签名密钥、TLS证书)。
  • 权限与有效期控制:可指定证书允许的操作(如permit-pty)、最大有效期,确保访问权限可控。
  • 跨平台支持:兼容macOS和Linux,客户端需OpenSSH 5.6+及运行中的SSH agent。

使用场景和适用范围

  • 企业服务器集群:集中管理多台服务器的SSH访问,避免密钥分发到每台机器。
  • 生产环境访问控制:通过证书有效期和权限限制,控制临时或长期访问权限。
  • 主机密钥认证:为机器颁发签名主机证书,客户端无需手动确认"yes"即可验证主机身份。
  • 审计与合规:记录所有颁发的证书,支持吊销功能,满足安全审计需求。

详细配置说明

基础要求

  • 服务端:Go 1.10+
  • 客户端:Go 1.10+、OpenSSH 5.6+、运行中的SSH agent(GPG agent不支持证书)

配置项说明

配置分为server、auth、ssh、aws、vault等部分,支持HCL格式。

文件路径说明

以下配置项的文件路径支持多种类型(除http_logfile仅支持本地文件):

  • 本地路径(绝对/相对):如/data/ssh_signing_key、tls/server.key
  • AWS S3路径:以/s3/开头,如/s3/my-bucket/ssh_signing_key(需配置aws)
  • Google GCS路径:以/gcs/开头,如/gcs/my-bucket/ssh_signing_key
  • Vault路径:以/vault/开头,如/vault/secret/cashier/ssh_signing_key(需配置vault)

server配置

控制服务端基础行为,包括TLS、数据库、监听地址等。

参数类型说明
use_tlsbool是否启用TLS,启用时需配置tls_key+tls_cert或letsencrypt_servername
tls_keystringTLS私钥路径
tls_certstringTLS证书路径
letsencrypt_servernamestringLet's Encrypt证书的FQDN
addressstring监听IP地址(默认监听所有地址)
portint监听端口
userstring服务降级的用户(注意:Go运行时限制可能导致部分线程保留权限)
cookie_secretstring会话cookie的认证密钥(可存储于Vault,格式/vault/path/key)
csrf_secretstringCSRF保护的认证密钥(可存储于Vault)
http_logfilestringHTTP请求日志路径(仅支持本地文件)
require_reasonbool是否要求客户端提供申请证书的原因(默认false)
databaseobject数据库配置(用于记录证书信息)

database配置示例(支持mysql、sqlite、mem类型):

hcl
server {
  database {
    type = "mysql"
    address = "my-db-host.corp"
    username = "user"
    password = "passwd"  # 可存储于Vault:/vault/secret/cashier/mysql_password
    dbname = "cashier_production"
  }

  database {
    type = "sqlite"
    filename = "/data/cashier.db"  # 本地SQLite文件路径
  }
}

auth配置

配置用户身份验证(OAuth)。

参数类型说明
providerstringOAuth提供商(支持"google"、"github"、"gitlab"等)
oauth_client_idstringOAuth客户端ID(可存储于Vault)
oauth_client_secretstringOAuth客户端密钥(可存储于Vault)
oauth_callback_urlstringOAuth回调URL(路径固定为/auth/callback)
users_whitelistarray允许访问的用户白名单(未设置则允许所有域/组织用户)
provider_optsobject提供商特定选项(如GitHub的organization、Google的domain)

provider_opts示例:

hcl
auth {
  provider = "google"
  provider_opts {
    domain = "example.com"  # 仅允许example.com域用户
  }
}

auth {
  provider = "github"
  provider_opts {
    organization = "my-org"  # 仅允许my-org组织成员
  }
}

ssh配置

控制SSH证书的签名规则。

参数类型说明
signing_keystringSSH证书签名私钥路径(使用ssh-keygen生成,需安全存储)
additional_principalsarray额外添加到证书的主体(默认仅包含请求者***的用户名部分)
max_agestring证书最大有效期(Go time.Duration格式,如24h)
permissionsarray证书允许的操作(参考ssh-keygen -O选项,如["permit-pty", "permit-port-forwarding"])

aws配置(可选)

用于访问存储在AWS S3的文件(如签名密钥),支持通过IAM角色或环境变量配置。

参数类型说明
regionstringS3存储桶所在区域(如us-east-1)
access_keystringAWS访问密钥ID(可存储于Vault)
secret_keystringAWS密钥(可存储于Vault)

vault配置(可选)

用于访问Vault中的密钥(如签名密钥、OAuth密钥)。

参数类型说明
addressstringVault服务器URL
tokenstringVault认证令牌

使用方法

服务端部署(Docker)

bash
# 运行Cashier容器,映射端口10000,挂载当前目录作为配置目录
docker run -it --rm -p 10000:10000 --name cashier -v ${PWD}:/cashier docker.xuanyuan.run/nsheridan/cashier

客户端使用

  1. 配置客户端:创建~/.cashier.conf(HCL格式)或使用命令行参数:

    hcl
    ca = "https://sshca.example.com"  # CA服务器地址
    key_type = "ed25519"             # 密钥类型(rsa/ecdsa/ed25519)
    validity = "24h"                 # 证书有效期
    
  2. 获取证书:

    bash
    cashier --config ~/.cashier.conf  # 启动客户端,自动打开浏览器进行OAuth认证
    
    • 浏览器中完成认证后,复制CA返回的token并粘贴到客户端终端。
    • 客户端生成密钥对,将公钥发送至CA签名,获取证书后加载到SSH agent。

服务器配置(sshd_config)

  1. 信任CA公钥:将CA签名公钥(ssh_ca.pub)添加到sshd_config:

    conf
    TrustedUserCAKeys /etc/ssh/ca.pub  # 信任CA签名公钥
    
  2. 启用证书吊销(可选):

    conf
    RevokedKeys /etc/ssh/revoked_keys  # 证书吊销列表路径
    
    • 通过定时任务更新吊销列表:
      bash
      */10 * * * * curl -s -o /etc/ssh/revoked_keys https://sshca.example.com/revoked
      

证书吊销

  • 在CA管理界面(https://<ca url>/admin/certs)查看已颁发证书,选择需吊销的证书并执行吊销。
  • 吊销后,证书将被添加到吊销列表,服务器通过RevokedKeys配置拒绝该证书访问。

未来工作

  • 支持主机证书(当前仅支持用户证书)。

贡献

欢迎提交PR,依赖项通过govendor管理。详情参考https://github.com/nsheridan/cashier%E3%80%82

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。

轩辕镜像加速拉取命令点我查看更多 cashier 镜像标签

docker pull docker.xuanyuan.run/nsheridan/cashier:<标签>

使用方法:

  • 登录认证方式
  • 免认证方式

DockerHub 原生拉取命令

docker pull nsheridan/cashier:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

一键安装

一键安装 Docker

Linux Docker 一键安装

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Apple Container

macOS 原生容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

Unraid

Unraid NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单

镜像拉取常见问题

功能

版本功能对比

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

登录 · 专属域名 · 配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 专业版 · 企业版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest(架构)

账号

失败是否计费

manifest · blob · 计费

申请开发票(企业 / 个人)

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈,见证轩辕镜像的优质服务

用户头像

oldzhang

运维工程师

Linux服务器

5

"Docker访问体验非常流畅,大镜像也能快速完成下载。"

轩辕镜像
镜像详情
...
nsheridan/cashier
教程轩辕镜像功能与使用教程
定价查看流量套餐与价格
热门查看热门 Docker 镜像推荐
博客Docker 镜像公告与技术博客
专业版 · 高速稳定拉取镜像
高速镜像下载·在线技术支持·99.95% SLA 保障·付费会员免广告
50GB 仅 ¥7/年
专业版 · 高速稳定拉取镜像
50GB 仅 ¥7/年
高速镜像下载·在线技术支持·99.95% SLA 保障·付费会员免广告
用户协议·隐私政策·增值电信业务经营许可证:浙B2-20261007·©2024-2026 源码跳动©2024-2026 杭州源码跳动科技有限公司·商务合作:点击复制邮箱

更多 cashier 镜像推荐

hzw19981112/cashier logo

hzw19981112/cashier

hzw19981112
暂无描述
917 次下载
1 个月前更新
kuadock/cashier logo

kuadock/cashier

kuadock
暂无描述
515 次下载
2 个月前更新
zetaron/cashier logo

zetaron/cashier

zetaron
暂无描述
609 次下载
9 年前更新

查看更多 cashier 相关镜像