配置SSH服务以使用证书登录Linux服务器讲述.doc

配置 SSH 服务以使用证书登录 Linux 服务器 发表于?2015-10-23?作者?Haoxian Zeng?更新于?2016-03-09 0 通过?SSH（Secure Shell）登录 Linux 服务器常见的认证方式有密码和证书两种。从安全角度考虑，大家都推荐用证书登录。第一次在服务器上配置 SSH 使用证书登录，并制作证书然后登录成功还是费了不少力气。配置证书登录 SSH 的过程还挺复杂。 记录配置 SSH 证书并从 Windows 系统中使用?PuTTY?和?FileZilla?登录的操作过程以方便下次使用。 目录 Contents ? 0. 配置 SSH 证书登录的流程 ? 1. 客户端生成私钥/公钥 ? Linux / Mac 命令行方式 ? 使用 Windows 下 PuTTY 生成密钥对 ? 2. SSH 服务器配置 ? 3. 在服务器上加入用户公钥 ? 4. 用户使用证书登录 ? 5. 附录 ? 5.1 SSH 配置参数详解 ? 5.2 OTP ? 5.3 参考资料（文中已有链接的除外） 0. 配置 SSH 证书登录的流程? 1. 配置服务器上的 SSH 为证书登录模式。 2. 客户端生成证书： 私钥（private key）和公钥（pubkey）。私钥留在客户端，需要安全保存： 一般会设置一个密码，可能还需要加密密钥文件。如果对自己电脑里存的文件的安全有信心，就不信要设置密码了。而如果设置了密码，以后每次使用此私钥登录服务器的时候都需要先输入密码解开私钥。（有时候为了避免麻烦，而又不是对这种安全性有特别高的要求就*懒得*设置密码了。）公钥上传并添加到服务器上 SSH 配置指定的文件中，使之被信任。 提示：虽然同一对私钥/公钥可重复用于登录不同的服务器，但是基于安全考虑，一般需要针对不同服务器单独生成各自的私钥/公钥。 个人来讲，在 Windows 下使用 SSH 登录服务器主要涉及到两种特殊软件：?PuTTY?和FileZilla。 如果要使用 FileZilla 的 sftp 登录服务器，。新版本已经在新建服务器那里增加了使用 key 登录的选项（文件 - 站点管理器，新建站点时协议选 SFTP，登录类型选证书登录，然后点击右边的“浏览”选择自己的私钥即可（下文中的 id_rsa））。 如果使用 PuTTY 登录服务器，需要在 putty 的?default settings?-?ssh?-?Auth?中加上需要的私钥并保存，然后再登录。 1. 客户端生成私钥/公钥? 使用私钥/公钥（密钥对，都是成对的）就需要考虑密钥本身的安全性，除了妥善保管之外，还有加密及验证环节的可靠性。根据这里的介绍（Secure Secure Shell），目前可以安全的选择ed25519?和 rsa 两种加密系统。当然对应的 SSH 服务器也要配置使用这两种密钥交换系统。 LINUX / MAC 命令行方式? 公钥/私钥的生成是在客户端（需要用来登录服务器的用户自己的电脑），这样可以保证生成的私钥不在网络上传输。所以，在客户端，如果是 Linux 系统，运行以下两条中的任一指令（推荐第二条）， # ssh-keygen -t ed25519 -o -a 100 -C Your comment here # ssh-keygen -t rsa -b 4096 -o -a 100 -C Your comment here 以生成相应格式的证书。按提示操作即可。其中 -t 表示证书密钥类型；-C 表示给证书添加一句注释的话，一般用于标记证书所有者和用途，免得回头自己都忘了哪个证书是干什么的了。 提示的?passphrase?就是用来保护私钥的密码了，需要用一个包含特殊字符并有一定长度的密码，当然还得记住，否则就没法用它了。如果*不想设置密码短语*，就直接连续敲回车两次。 默认情况下，生成的密钥被保存在当前用户目录的?.ssh?目录下，两个文件：?id_rsa?是私钥，?id_rsa.pub?是公钥。建议给不同的证书单独设置不同的文件名，以方便后续的管理。这里作为例子就不改名字了，下面好叙述。 使用 WINDOWS 下 PUTTY 生成密钥对? 如果在 Windows 下，可以使用 PuTTY 相关的一个配套的 PuTTYgen（下载地址）来生成密钥对。必威体育精装版的 PuTTY 是 0.65 版（还是 Beta 阶段）。双击 PuTTYgen 运行会打开窗口。 下面可以选择加密方式，默认是 SSH-2 RSA 即 rsa 方式； 旁边有位数可以选择，默认是 2048 位（现在大家已经开始使用 4096 位的了）。点击中间靠右侧的?Generate，然后在该窗口的上半部分空白处随意晃动鼠标，就能看到证书在根据这些随机的点产生，等