From 7cbd5218e4640eb74b456d8f28abda734118608e Mon Sep 17 00:00:00 2001
From: hogweed1 <simple.not1759@gmail.com>
Date: Thu, 21 May 2026 03:05:05 +1000
Subject: [PATCH] ssh-certs hosts.

---
 playbooks/ssh-certs/deploy-host-certs.yml | 10 +++++++++-
 1 file changed, 9 insertions(+), 1 deletion(-)

diff --git a/playbooks/ssh-certs/deploy-host-certs.yml b/playbooks/ssh-certs/deploy-host-certs.yml
index fc18931..64acad7 100644
--- a/playbooks/ssh-certs/deploy-host-certs.yml
+++ b/playbooks/ssh-certs/deploy-host-certs.yml
@@ -37,13 +37,21 @@
     # step создаст два файла: сам публичный ключ и файл сертификата с суффиксом -cert.pub
     # Нам нужно забрать получившийся сертификат и положить его на целевую ноду
 
+    - name: Копирование сгенерированного ЗАКРЫТОГО ключа хоста на целевую виртуалку
+      copy:
+        src: "/tmp/ssh_host_certs/{{ inventory_hostname }}/ssh_host_ed25519_key"
+        dest: /etc/ssh/ssh_host_ed25519_key
+        owner: root
+        group: root
+        mode: '0600' # Закрытый ключ должен быть строго 0600
+
     - name: Копирование сгенерированного Хост-сертификата на целевую виртуалку
       copy:
         src: "/tmp/ssh_host_certs/{{ inventory_hostname }}/ssh_host_ed25519_key-cert.pub"
         dest: /etc/ssh/ssh_host_ed25519_key-cert.pub
         owner: root
         group: root
-        mode: '0600'
+        mode: '0640' # Сертификат может быть 0640
 
     - name: Настройка sshd_config для отдачи Хост-сертификата клиентам
       blockinfile: