SSH證書登錄方法詳細教程

SSH是服務器登錄工具,密碼登錄和密鑰登錄,都有各自的缺點。SSH還有第三種登錄方法,那就是證書登錄。很多情況下,它是更合理、更安全的登錄方法,本文介紹證書登錄的方法,需要的朋友可以參考下。

一、非證書登錄的缺點

密碼登錄和密鑰登錄,都有各自的缺點。

密碼登錄需要輸入服務器密碼,這非常麻煩,也不安全,存在被暴力破解的風險。

密鑰登錄需要客戶端生成證書的私鑰和公鑰,私鑰放在客戶端,公鑰上傳到服務端(遠程登陸端)。服務器保存用戶的公鑰,也需要用戶保存服務器公鑰的指紋。這對於多用戶、多服務器的大型機構很不方便,如果有員工離職,需要將他的公鑰從每臺服務器刪除。

二、證書登錄是什麼?

證書登錄就是為瞭解決上面的缺點而設計的。它引入瞭一個證書頒發機構(Certificate1 authority,簡稱 CA),對信任的服務器頒發服務器證書,對信任的用戶頒發用戶證書。

登錄時,用戶和服務器不需要提前知道彼此的公鑰,隻需要交換各自的證書,驗證是否可信即可。

證書登錄的主要優點有兩個:(1)用戶和服務器不用交換公鑰,這更容易管理,也具有更好的可擴展性。(2)證書可以設置到期時間,而公鑰沒有到期時間。針對不同的情況,可以設置有效期很短的證書,進一步提高安全性。

三、證書登錄的流程

SSH 證書登錄之前,如果還沒有證書,需要生成證書。具體方法是:(1)用戶和服務器都將自己的公鑰,發給 CA;(2)CA 使用服務器公鑰,生成服務器證書,發給服務器;(3)CA 使用用戶的公鑰,生成用戶證書,發給用戶。

有瞭證書以後,用戶就可以登錄服務器瞭。整個過程都是 SSH 自動處理,用戶無感知。

第一步,用戶登錄服務器時,SSH 自動將用戶證書發給服務器。

第二步,服務器檢查用戶證書是否有效,以及是否由可信的 CA 頒發。

第三步,SSH 自動將服務器證書發給用戶。

第四步,用戶檢查服務器證書是否有效,以及是否由信任的 CA 頒發。

第五步,雙方建立連接,服務器允許用戶登錄。

四、生成 CA 的密鑰

證書登錄的前提是,必須有一個 CA,而 CA 本質上就是一對密鑰,跟其他密鑰沒有不同,CA 就用這對密鑰去簽發證書。

雖然 CA 可以用同一對密碼簽發用戶證書和服務器證書,但是出於安全性和靈活性,最好用不同的密鑰分別簽發。所以,CA 至少需要兩對密鑰,一對是簽發用戶證書的密鑰,假設叫做user_ca,另一對是簽發服務器證書的密鑰,假設叫做host_ca

使用下面的命令,生成user_ca

# 生成 CA 簽發用戶證書的密鑰
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/user_ca -C user_ca

上面的命令會在~/.ssh目錄生成一對密鑰:user_ca(私鑰)和user_ca.pub(公鑰)。

這個命令的各個參數含義如下。

  • -t rsa:指定密鑰算法 RSA。
  • -b 4096:指定密鑰的位數是4096位。安全性要求不高的場合,這個值可以小一點,但是不應小於1024。
  • -f ~/.ssh/user_ca:指定生成密鑰的位置和文件名。
  • -C user_ca:指定密鑰的識別字符串,相當於註釋,可以隨意設置。

使用下面的命令,生成host_ca

# 生成 CA 簽發服務器證書的密鑰
$ ssh-keygen -t rsa -b 4096 -f host_ca -C host_ca

上面的命令會在~/.ssh目錄生成一對密鑰:host_ca(私鑰)和host_ca.pub(公鑰)。

現在,~/.ssh目錄應該至少有四把密鑰。

  • ~/.ssh/user_ca
  • ~/.ssh/user_ca.pub
  • ~/.ssh/host_ca
  • ~/.ssh/host_ca.pub

五、CA 簽發服務器證書

有瞭 CA 以後,就可以簽發服務器證書瞭。

簽發證書,除瞭 CA 的密鑰以外,還需要服務器的公鑰。一般來說,SSH 服務器(通常是sshd)安裝時,已經生成密鑰/etc/ssh/ssh_host_rsa_key瞭。如果沒有的話,可以用下面的命令生成。

$ sudo ssh-keygen -f /etc/ssh/ssh_host_rsa_key -b 4096 -t rsa

上面命令會在/etc/ssh目錄,生成ssh_host_rsa_key(私鑰)和ssh_host_rsa_key.pub(公鑰)。然後,需要把服務器公鑰ssh_host_rsa_key.pub,復制或上傳到 CA 所在的服務器。

上傳以後,CA 就可以使用密鑰host_ca為服務器的公鑰ssh_host_rsa_key.pub簽發服務器證書。

$ ssh-keygen -s host_ca -I host.example.com -h -n host.example.com -V +52w ssh_host_rsa_key.pub

上面的命令會生成服務器證書ssh_host_rsa_key-cert.pub(服務器公鑰名字加後綴-cert)。這個命令各個參數的含義如下。

  • -s:指定 CA 簽發證書的密鑰。
  • -I:身份字符串,可以隨便設置,相當於註釋,方便區分證書,將來可以使用這個字符串撤銷證書。
  • -h:指定該證書是服務器證書,而不是用戶證書。
  • -n host.example.com:指定服務器的域名,表示證書僅對該域名有效。如果有多個域名,則使用逗號分隔。用戶登錄該域名服務器時,SSH 通過證書的這個值,分辨應該使用哪張證書發給用戶,用來證明服務器的可信性。
  • -V +52w:指定證書的有效期,這裡為52周(一年)。默認情況下,證書是永遠有效的。建議使用該參數指定有效期,並且有效期最好短一點,最長不超過52周。
  • ssh_host_rsa_key.pub:服務器公鑰。

生成證書以後,可以使用下面的命令,查看證書的細節。

$ ssh-keygen -L -f ssh_host_rsa_key-cert.pub

最後,為證書設置權限。

$ chmod 600 ssh_host_rsa_key-cert.pub

六、CA 簽發用戶證書

下面,再用 CA 簽發用戶證書。這時需要用戶的公鑰,如果沒有的話,客戶端可以用下面的命令生成一對密鑰。

$ ssh-keygen -f ~/.ssh/user_key -b 4096 -t rsa

上面命令會在~/.ssh目錄,生成user_key(私鑰)和user_key.pub(公鑰)。

然後,將用戶公鑰user_key.pub,上傳或復制到 CA 服務器。接下來,就可以使用 CA 的密鑰user_ca為用戶公鑰user_key.pub簽發用戶證書。

$ ssh-keygen -s user_ca -I <a href="mailto:user@example" target="_blank" rel="nofollow">user@example</a>.com -n user -V +1d user_key.pub

上面的命令會生成用戶證書user_key-cert.pub(用戶公鑰名字加後綴-cert)。這個命令各個參數的含義如下。

  • -s:指定 CA 簽發證書的密鑰
  • -I:身份字符串,可以隨便設置,相當於註釋,方便區分證書,將來可以使用這個字符串撤銷證書。
  • -n user:指定用戶名,表示證書僅對該用戶名有效。如果有多個用戶名,使用逗號分隔。用戶以該用戶名登錄服務器時,SSH 通過這個值,分辨應該使用哪張證書,證明自己的身份,發給服務器。
  • -V +1d:指定證書的有效期,這裡為1天,強制用戶每天都申請一次證書,提高安全性。默認情況下,證書是永遠有效的。
  • user_key.pub:用戶公鑰。

生成證書以後,可以使用下面的命令,查看證書的細節。

$ ssh-keygen -L -f user_key-cert.pub

最後,為證書設置權限。

$ chmod 600 user_key-cert.pub

七、服務器安裝證書

CA 生成服務器證書ssh_host_rsa_key-cert.pub以後,需要將該證書發回服務器,可以使用下面的scp命令,將證書拷貝過去。

$ scp ~/.ssh/ssh_host_rsa_key-cert.pub <a href="mailto:root@host" target="_blank" rel="nofollow">root@host</a>.example.com:/etc/ssh/

然後,將下面一行添加到服務器配置文件/etc/ssh/sshd_config

HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub

上面的代碼告訴 sshd,服務器證書是哪一個文件。

重新啟動 sshd。

$ sudo systemctl restart sshd
# 或者
$ sudo service sshd restart

八、服務器安裝 CA 公鑰

為瞭讓服務器信任用戶證書,必須將 CA 簽發用戶證書的公鑰user_ca.pub,拷貝到服務器。

$ scp ~/.ssh/user_ca.pub <a href="mailto:root@host" target="_blank" rel="nofollow">root@host</a>.example.com:/etc/ssh/

上面的命令,將 CA 簽發用戶證書的公鑰user_ca.pub,拷貝到 SSH 服務器的/etc/ssh目錄。

然後,將下面一行添加到服務器配置文件/etc/ssh/sshd_config

TrustedUserCAKeys /etc/ssh/user_ca.pub

上面的做法是將user_ca.pub加到/etc/ssh/sshd_config,這會產生全局效果,即服務器的所有賬戶都會信任user_ca簽發的所有用戶證書。

另一種做法是將user_ca.pub加到服務器某個賬戶的~/.ssh/authorized_keys文件,隻讓該賬戶信任user_ca簽發的用戶證書。具體方法是打開~/.ssh/authorized_keys,追加一行,開頭是@cert-authority principals="...",然後後面加上user_ca.pub的內容,大概是下面這個樣子。

@cert-authority principals="user" ssh-rsa AAAAB3Nz…XNRM1EX2gQ==

上面代碼中,principals="user"指定用戶登錄的服務器賬戶名,一般就是authorized_keys文件所在的賬戶。

重新啟動 sshd。

$ sudo systemctl restart sshd
# 或者
$ sudo service sshd restart

至此,SSH 服務器已配置為信任user_ca簽發的證書。

九、客戶端安裝證書

客戶端安裝用戶證書很簡單,就是從 CA 將用戶證書user_key-cert.pub復制到客戶端,與用戶的密鑰user_key保存在同一個目錄即可。

十、客戶端安裝 CA 公鑰

為瞭讓客戶端信任服務器證書,必須將 CA 簽發服務器證書的公鑰host_ca.pub,加到客戶端的/etc/ssh/ssh_known_hosts文件(全局級別)或者~/.ssh/known_hosts文件(用戶級別)。

具體做法是打開ssh_known_hostsknown_hosts文件,追加一行,開頭為@cert-authority *.example.com,然後將host_ca.pub文件的內容(即公鑰)粘貼在後面,大概是下面這個樣子。

@cert-authority *.example.com ssh-rsa AAAAB3Nz…XNRM1EX2gQ==

上面代碼中,*.example.com是域名的模式匹配,表示隻要服務器符合該模式的域名,且簽發服務器證書的 CA 匹配後面給出的公鑰,就都可以信任。如果沒有域名限制,這裡可以寫成*。如果有多個域名模式,可以使用逗號分隔;如果服務器沒有域名,可以用主機名(比如host1,host2,host3)或者 IP 地址(比如11.12.13.14,21.22.23.24)。

然後,就可以使用證書,登錄遠程服務器瞭。

$ ssh -i ~/.ssh/user_key <a href="mailto:user@host" target="_blank" rel="nofollow">user@host</a>.example.com

上面命令的-i參數用來指定用戶的密鑰。如果證書與密鑰在同一個目錄,則連接服務器時將自動使用該證書。

十一、廢除證書

廢除證書的操作,分成用戶證書的廢除和服務器證書的廢除兩種。

服務器證書的廢除,用戶需要在known_hosts文件裡面,修改或刪除對應的@cert-authority命令的那一行。

用戶證書的廢除,需要在服務器新建一個/etc/ssh/revoked_keys文件,然後在配置文件sshd_config添加一行,內容如下。

RevokedKeys /etc/ssh/revoked_keys

revoked_keys文件保存不再信任的用戶公鑰,由下面的命令生成。

$ ssh-keygen -kf /etc/ssh/revoked_keys -z 1 ~/.ssh/user1_key.pub

上面命令中,-z參數用來指定用戶公鑰保存在revoked_keys文件的哪一行,這個例子是保存在第1行。

如果以後需要廢除其他的用戶公鑰,可以用下面的命令保存在第2行。

$ ssh-keygen -ukf /etc/ssh/revoked_keys -z 2 ~/.ssh/user2_key.pub

到此這篇關於SSH證書登錄方法詳細教程的文章就介紹到這瞭,更多相關SSH證書登錄內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: