SSH證書登錄方法詳細教程
SSH是服務器登錄工具,密碼登錄和密鑰登錄,都有各自的缺點。SSH還有第三種登錄方法,那就是證書登錄。很多情況下,它是更合理、更安全的登錄方法,本文介紹證書登錄的方法,需要的朋友可以參考下。
一、非證書登錄的缺點
密碼登錄和密鑰登錄,都有各自的缺點。
密碼登錄需要輸入服務器密碼,這非常麻煩,也不安全,存在被暴力破解的風險。
密鑰登錄需要客戶端生成證書的私鑰和公鑰,私鑰放在客戶端,公鑰上傳到服務端(遠程登陸端)。服務器保存用戶的公鑰,也需要用戶保存服務器公鑰的指紋。這對於多用戶、多服務器的大型機構很不方便,如果有員工離職,需要將他的公鑰從每臺服務器刪除。
二、證書登錄是什麼?
證書登錄就是為瞭解決上面的缺點而設計的。它引入瞭一個證書頒發機構(Certificate1 authority,簡稱 CA),對信任的服務器頒發服務器證書,對信任的用戶頒發用戶證書。
登錄時,用戶和服務器不需要提前知道彼此的公鑰,隻需要交換各自的證書,驗證是否可信即可。
證書登錄的主要優點有兩個:(1)用戶和服務器不用交換公鑰,這更容易管理,也具有更好的可擴展性。(2)證書可以設置到期時間,而公鑰沒有到期時間。針對不同的情況,可以設置有效期很短的證書,進一步提高安全性。
三、證書登錄的流程
SSH 證書登錄之前,如果還沒有證書,需要生成證書。具體方法是:(1)用戶和服務器都將自己的公鑰,發給 CA;(2)CA 使用服務器公鑰,生成服務器證書,發給服務器;(3)CA 使用用戶的公鑰,生成用戶證書,發給用戶。
有瞭證書以後,用戶就可以登錄服務器瞭。整個過程都是 SSH 自動處理,用戶無感知。
第一步,用戶登錄服務器時,SSH 自動將用戶證書發給服務器。
第二步,服務器檢查用戶證書是否有效,以及是否由可信的 CA 頒發。
第三步,SSH 自動將服務器證書發給用戶。
第四步,用戶檢查服務器證書是否有效,以及是否由信任的 CA 頒發。
第五步,雙方建立連接,服務器允許用戶登錄。
四、生成 CA 的密鑰
證書登錄的前提是,必須有一個 CA,而 CA 本質上就是一對密鑰,跟其他密鑰沒有不同,CA 就用這對密鑰去簽發證書。
雖然 CA 可以用同一對密碼簽發用戶證書和服務器證書,但是出於安全性和靈活性,最好用不同的密鑰分別簽發。所以,CA 至少需要兩對密鑰,一對是簽發用戶證書的密鑰,假設叫做user_ca
,另一對是簽發服務器證書的密鑰,假設叫做host_ca
。
使用下面的命令,生成user_ca
。
# 生成 CA 簽發用戶證書的密鑰
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/user_ca -C user_ca
上面的命令會在~/.ssh
目錄生成一對密鑰:user_ca
(私鑰)和user_ca.pub
(公鑰)。
這個命令的各個參數含義如下。
-t rsa
:指定密鑰算法 RSA。-b 4096
:指定密鑰的位數是4096位。安全性要求不高的場合,這個值可以小一點,但是不應小於1024。-f ~/.ssh/user_ca
:指定生成密鑰的位置和文件名。-C user_ca
:指定密鑰的識別字符串,相當於註釋,可以隨意設置。
使用下面的命令,生成host_ca
。
# 生成 CA 簽發服務器證書的密鑰
$ ssh-keygen -t rsa -b 4096 -f host_ca -C host_ca
上面的命令會在~/.ssh
目錄生成一對密鑰:host_ca
(私鑰)和host_ca.pub
(公鑰)。
現在,~/.ssh
目錄應該至少有四把密鑰。
~/.ssh/user_ca
~/.ssh/user_ca.pub
~/.ssh/host_ca
~/.ssh/host_ca.pub
五、CA 簽發服務器證書
有瞭 CA 以後,就可以簽發服務器證書瞭。
簽發證書,除瞭 CA 的密鑰以外,還需要服務器的公鑰。一般來說,SSH 服務器(通常是sshd
)安裝時,已經生成密鑰/etc/ssh/ssh_host_rsa_key
瞭。如果沒有的話,可以用下面的命令生成。
$ sudo ssh-keygen -f /etc/ssh/ssh_host_rsa_key -b 4096 -t rsa
上面命令會在/etc/ssh
目錄,生成ssh_host_rsa_key
(私鑰)和ssh_host_rsa_key.pub
(公鑰)。然後,需要把服務器公鑰ssh_host_rsa_key.pub
,復制或上傳到 CA 所在的服務器。
上傳以後,CA 就可以使用密鑰host_ca
為服務器的公鑰ssh_host_rsa_key.pub
簽發服務器證書。
$ ssh-keygen -s host_ca -I host.example.com -h -n host.example.com -V +52w ssh_host_rsa_key.pub
上面的命令會生成服務器證書ssh_host_rsa_key-cert.pub
(服務器公鑰名字加後綴-cert
)。這個命令各個參數的含義如下。
-s
:指定 CA 簽發證書的密鑰。-I
:身份字符串,可以隨便設置,相當於註釋,方便區分證書,將來可以使用這個字符串撤銷證書。-h
:指定該證書是服務器證書,而不是用戶證書。-n host.example.com
:指定服務器的域名,表示證書僅對該域名有效。如果有多個域名,則使用逗號分隔。用戶登錄該域名服務器時,SSH 通過證書的這個值,分辨應該使用哪張證書發給用戶,用來證明服務器的可信性。-V +52w
:指定證書的有效期,這裡為52周(一年)。默認情況下,證書是永遠有效的。建議使用該參數指定有效期,並且有效期最好短一點,最長不超過52周。ssh_host_rsa_key.pub
:服務器公鑰。
生成證書以後,可以使用下面的命令,查看證書的細節。
$ ssh-keygen -L -f ssh_host_rsa_key-cert.pub
最後,為證書設置權限。
$ chmod 600 ssh_host_rsa_key-cert.pub
六、CA 簽發用戶證書
下面,再用 CA 簽發用戶證書。這時需要用戶的公鑰,如果沒有的話,客戶端可以用下面的命令生成一對密鑰。
$ ssh-keygen -f ~/.ssh/user_key -b 4096 -t rsa
上面命令會在~/.ssh
目錄,生成user_key
(私鑰)和user_key.pub
(公鑰)。
然後,將用戶公鑰user_key.pub
,上傳或復制到 CA 服務器。接下來,就可以使用 CA 的密鑰user_ca
為用戶公鑰user_key.pub
簽發用戶證書。
$ ssh-keygen -s user_ca -I <a href="mailto:user@example" target="_blank" rel="nofollow">user@example</a>.com -n user -V +1d user_key.pub
上面的命令會生成用戶證書user_key-cert.pub
(用戶公鑰名字加後綴-cert
)。這個命令各個參數的含義如下。
-s
:指定 CA 簽發證書的密鑰-I
:身份字符串,可以隨便設置,相當於註釋,方便區分證書,將來可以使用這個字符串撤銷證書。-n user
:指定用戶名,表示證書僅對該用戶名有效。如果有多個用戶名,使用逗號分隔。用戶以該用戶名登錄服務器時,SSH 通過這個值,分辨應該使用哪張證書,證明自己的身份,發給服務器。-V +1d
:指定證書的有效期,這裡為1天,強制用戶每天都申請一次證書,提高安全性。默認情況下,證書是永遠有效的。user_key.pub
:用戶公鑰。
生成證書以後,可以使用下面的命令,查看證書的細節。
$ ssh-keygen -L -f user_key-cert.pub
最後,為證書設置權限。
$ chmod 600 user_key-cert.pub
七、服務器安裝證書
CA 生成服務器證書ssh_host_rsa_key-cert.pub
以後,需要將該證書發回服務器,可以使用下面的scp
命令,將證書拷貝過去。
$ scp ~/.ssh/ssh_host_rsa_key-cert.pub <a href="mailto:root@host" target="_blank" rel="nofollow">root@host</a>.example.com:/etc/ssh/
然後,將下面一行添加到服務器配置文件/etc/ssh/sshd_config
。
HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
上面的代碼告訴 sshd,服務器證書是哪一個文件。
重新啟動 sshd。
$ sudo systemctl restart sshd
# 或者
$ sudo service sshd restart
八、服務器安裝 CA 公鑰
為瞭讓服務器信任用戶證書,必須將 CA 簽發用戶證書的公鑰user_ca.pub
,拷貝到服務器。
$ scp ~/.ssh/user_ca.pub <a href="mailto:root@host" target="_blank" rel="nofollow">root@host</a>.example.com:/etc/ssh/
上面的命令,將 CA 簽發用戶證書的公鑰user_ca.pub
,拷貝到 SSH 服務器的/etc/ssh
目錄。
然後,將下面一行添加到服務器配置文件/etc/ssh/sshd_config
。
TrustedUserCAKeys /etc/ssh/user_ca.pub
上面的做法是將user_ca.pub
加到/etc/ssh/sshd_config
,這會產生全局效果,即服務器的所有賬戶都會信任user_ca
簽發的所有用戶證書。
另一種做法是將user_ca.pub
加到服務器某個賬戶的~/.ssh/authorized_keys
文件,隻讓該賬戶信任user_ca
簽發的用戶證書。具體方法是打開~/.ssh/authorized_keys
,追加一行,開頭是@cert-authority principals="..."
,然後後面加上user_ca.pub
的內容,大概是下面這個樣子。
@cert-authority principals="user" ssh-rsa AAAAB3Nz…XNRM1EX2gQ==
上面代碼中,principals="user"
指定用戶登錄的服務器賬戶名,一般就是authorized_keys
文件所在的賬戶。
重新啟動 sshd。
$ sudo systemctl restart sshd
# 或者
$ sudo service sshd restart
至此,SSH 服務器已配置為信任user_ca
簽發的證書。
九、客戶端安裝證書
客戶端安裝用戶證書很簡單,就是從 CA 將用戶證書user_key-cert.pub
復制到客戶端,與用戶的密鑰user_key
保存在同一個目錄即可。
十、客戶端安裝 CA 公鑰
為瞭讓客戶端信任服務器證書,必須將 CA 簽發服務器證書的公鑰host_ca.pub
,加到客戶端的/etc/ssh/ssh_known_hosts
文件(全局級別)或者~/.ssh/known_hosts
文件(用戶級別)。
具體做法是打開ssh_known_hosts
或known_hosts
文件,追加一行,開頭為@cert-authority *.example.com
,然後將host_ca.pub
文件的內容(即公鑰)粘貼在後面,大概是下面這個樣子。
@cert-authority *.example.com ssh-rsa AAAAB3Nz…XNRM1EX2gQ==
上面代碼中,*.example.com
是域名的模式匹配,表示隻要服務器符合該模式的域名,且簽發服務器證書的 CA 匹配後面給出的公鑰,就都可以信任。如果沒有域名限制,這裡可以寫成*
。如果有多個域名模式,可以使用逗號分隔;如果服務器沒有域名,可以用主機名(比如host1,host2,host3
)或者 IP 地址(比如11.12.13.14,21.22.23.24
)。
然後,就可以使用證書,登錄遠程服務器瞭。
$ ssh -i ~/.ssh/user_key <a href="mailto:user@host" target="_blank" rel="nofollow">user@host</a>.example.com
上面命令的-i
參數用來指定用戶的密鑰。如果證書與密鑰在同一個目錄,則連接服務器時將自動使用該證書。
十一、廢除證書
廢除證書的操作,分成用戶證書的廢除和服務器證書的廢除兩種。
服務器證書的廢除,用戶需要在known_hosts
文件裡面,修改或刪除對應的@cert-authority
命令的那一行。
用戶證書的廢除,需要在服務器新建一個/etc/ssh/revoked_keys
文件,然後在配置文件sshd_config
添加一行,內容如下。
RevokedKeys /etc/ssh/revoked_keys
revoked_keys
文件保存不再信任的用戶公鑰,由下面的命令生成。
$ ssh-keygen -kf /etc/ssh/revoked_keys -z 1 ~/.ssh/user1_key.pub
上面命令中,-z
參數用來指定用戶公鑰保存在revoked_keys
文件的哪一行,這個例子是保存在第1行。
如果以後需要廢除其他的用戶公鑰,可以用下面的命令保存在第2行。
$ ssh-keygen -ukf /etc/ssh/revoked_keys -z 2 ~/.ssh/user2_key.pub
到此這篇關於SSH證書登錄方法詳細教程的文章就介紹到這瞭,更多相關SSH證書登錄內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- 教你如何用cmd快速登錄服務器
- Linux 遠程管理及sshd服務驗證知識點詳解
- PyCharm如何配置SSH和SFTP連接遠程服務器
- vscode通過Remote SSH遠程連接及離線配置的方法
- VSCode如何遠程連接Linux教程(密鑰的使用)