SSH 证书登录

已于 2022-03-01 20:01:18 修改
阅读量9.3k 收藏 20
点赞数 2
分类专栏: 计算机网络 文章标签: ssh 服务器 https
于 2022-02-10 01:46:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a15608445683/article/details/122852920
版权

一、证书登录是什么?

        证书登录就是为了解决上面的缺点而设计的。它引入了一个证书颁发机构(Certificate Authority,简称 CA),对信任的服务器颁发服务器证书,对信任的用户颁发用户证书。登录时,用户和服务器不需要提前知道彼此的公钥,只需要交换各自的证书,验证是否可信即可。

        证书登录的主要优点有两个:

(1)用户和服务器不用交换公钥,这更容易管理,也具有更好的可扩展性。

(2)证书可以设置到期时间,而公钥没有到期时间。针对不同的情况,可以设置有效期很短的证书,进一步提高安全性。

二、证书登录的流程分析

        SSH 证书登录之前,如果还没有证书,需要生成证书。具体方法是:(1)用户和服务器都将自己的公钥,发给 CA;(2)CA 使用服务器公钥,生成服务器证书,发给服务器;(3)CA 使用用户的公钥,生成用户证书,发给用户。有了证书以后,用户就可以登录服务器了。整个过程都是 SSH 自动处理,用户无感知。

        1)用户登录服务器时,SSH 自动将用户证书发给服务器。

        2)服务器检查用户证书是否有效,以及是否由可信的 CA 颁发。证实以后,就可以信任用户。

        3)SSH 自动将服务器证书发给用户。

        4)用户检查服务器证书是否有效,以及是否由信任的 CA 颁发。证实以后,就可以信任服务器。

        5)双方建立连接,服务器允许用户登录。


三、具体操作流程

1. 生成 SSH 密钥和公钥,并配置相应权限

首先登录到服务器,生成 SSH 的密钥和公钥

ssh-keygen -t rsa

将公钥添加到 authorzied_keys 文件中

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

修改 authorized_keys 权限为 644,.ssh 权限为700

chmod -R 700 ~/.ssh
chmod -R 644 ~/.ssh/authorized_keys

查看修改后的权限

2. 修改 ssh 配置

 修改 sshd_config 配置文件 vi /etc/ssh/sshd_config,修改配置参数

# 允许密钥认证
RSAAuthentication yes
PubkeyAuthentication yes
StrictModes no
# 公钥保存文件
AuthorizedKeysFile .ssh/authorized_keys

注:第一次部署时在这里踩了一个坑。出于安全角度考虑,在之前配置 ssh 时,设置了禁用 root 远程登录 PermitRootLogin no,这里生成 root 证书登录时,最后导致登录失败。如果是为 root 用户生成登录证书,还需要确认 sshd_config 的PermitRootLogin 为 yes。

3. 下载私钥进行登录

        记住是下载 服务器上的~/.ssh/id_rsa 私钥文件到本地电脑上,本地电脑借助这个私钥文件就可以实现密钥登陆,进行 ssh 登录

scp root@ip:/root/.ssh/id_rsa 本地电脑的位置

下载后确认其权限是否为 600,如果不是进行调整 chmod 600 ~/id_rsa
若文件权限较大,会出现:

ssh -i id_rsa root@hostname
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for 'id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "id_rsa": bad permissions

权限确认后,即可进行登录

# ssh -i id_rsa root@hostname
Last login: Tue Nov 13 09:10:17 2018 from 116.232.85.60
[root@vm172-31-0-20 ~]#

使用证书登录成功!

4. 最后再对使用 ssh -i 指定证书文件进行优化

在本地电脑的 .ssh 目录下创建 config 文件,编辑文件内容:

Host domain
	HostName hostname
	User root
	IdentityFile	~/id_rsa

保存后,确认其权限为600,若不是,须调整到600
再进行远程登录时,使用 ssh domain 即可

5、登录过程自己总结

        利用密钥登录,其实就是自己保存私钥,服务器上存放公钥,正常情况下服务器会将公钥的内容写入到.ssh/authorized_keys文件中,然后客户端也就是自己连接时,系统会默认去C盘的家目录.ssh文件夹下寻找私钥文件,linux同样去家目录下寻找,其实如果你明白其中原理,是可以不用服务器端生成密码对,任何一对只要配对的密码对就是,只要满足连接时采用的私钥和服务器端进行配对的公钥能够成功就行,所有我们也可以将自己配对好的公钥内容上传到服务器上,并写入到authorized_keys文件中,原理是一样的。

        这里注意的是需要给文件添加对应的读写权限以及配置允许进行密钥登录

        这里有个小问题就是/etc/ssh下面的私钥和公钥文件系统自带就有是要干嘛的???,之后如果理解了再来进行补充

 

追光少年羽
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ssh证书登录配置.doc
03-30
SSH证书登录配置中,我们通常会涉及到以下几个关键步骤和知识点: 1. **生成SSH密钥对**: `ssh-keygen -t rsa` 是生成RSA类型的SSH密钥对的命令。RSA是一种非对称加密算法,它会创建一对密钥:公钥(public key...
SSH证书登录操作实战
lvlei19911108的博客
10-31 71
准备工作:系统:Ubuntu 14.04 客户端IP: 192.168.138.140 服务端IP:192.168.138.141证书登录的步骤客户端生成证书:私钥和公钥,然后将私钥放在客户端,为防止私钥被拷贝,建议生成私钥时设置密码服务器添加公钥,把客户端生成的公钥,上传到ssh服务器,配置ssh客户端通过自己的私钥登录服务器一、检查是否安装ssh,如果没有安装请执行sudo apt-get i...
SSH命令详解
热门推荐
m0_60873746的博客
05-25 4万+
SSH 是一种用于远程管理和操作服务器的协议,可确保数据传输安全和可靠性。本篇博客介绍了 SSH 的基础知识,包括连接远程主机、指定登录用户和端口号、使用身份验证文件、执行远程命令等操作。同时,也介绍了如何使用密钥对登录远程主机,提高了系统的安全性。
生成 SSH 证书和私钥
最新发布
qq_43559669的博客
05-29 439
这里 -t rsa 指定密钥类型为 RSA,-b 4096 指定密钥长度为 4096 位,而 -C 后面跟的是证书的注释信息,通常是用户的电子邮件。执行完毕后,你会在指定的位置(默认是 ~/.ssh/id_rsa)找到私钥文件和证书文件,它们分别是 id_rsa 和 id_rsa.pub。生成 SSH 证书和私钥的过程通常涉及使用 ssh-keygen 命令。执行命令后,系统会提示你输入文件保存位置和密码,如果你不想设置密码可以直接按回车接受默认设置。根据提示设置文件保存位置和对证书的加密密码(可选)。
ssh使用介绍
goodparty的专栏
10-26 5216
开启端口转发ssh -fN root@172.18.18.18 -L 13306 :172.18.18.19:3306 # -fN:后台运行;不执行命令,只负责转发。# root:跳板机B的用户名。# 172.18.18.18:跳板机B的ip地址。# -L:本地端口转发。# 13306:监听的本地端口。# 172.18.18.19:mysql服务器地址。修改连接mysql方式SecureCRT也支持这个功能。链接内网数据库使用 navicat 的 ssh 通道也是可以的。
linux ssh证书登录
ziqibit的博客
04-10 1866
ssh证书登录方法
SSH登录认证简析
不爱吃鱼的馋猫
11-28 1458
SSH登录认证简析 公钥与私钥 公钥 (Public Key) 与私钥 (Private Key) 是通过一种算法得到的一个密钥对 (即一个公钥和一个私钥), 公钥是密钥对中公开的部分, 私钥则是非公开的部分. 公钥通常用于加密会话密钥, 验证数字签名, 或加密可以用相应的私钥解密的数据. 通过这种算法得到的密钥对能保证在世界范围内是独一的. 使用这个密钥对的时候, 如果用其中一个密钥加密一段数据, 必须用另一个密钥解密. 比如用公钥加密数据就必须用私钥解密, 如果用私钥加密也必须用公钥解密, 否则解密将不
ssh常用命令50条
m0_55877125的博客
04-18 3万+
ssh常用命令
ubuntu16.04服务器配置ssh免密码登录
01-20
在客户端操作 ...cat ~/.ssh/id_rsa.pub | ssh user@123.45.56.78 mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys 即可将,你的客户端key传到服务器的~/.ssh/authorized_keys文件中,也可手动复
ssh注册登录项目
01-22
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。在这个名为"ssh注册登录项目"的项目中,我们主要关注的是如何利用SSH实现用户的安全注册与登录功能。SSH提供了加密的数据...
ssh.zip_SSH登录_ssh 注册登录
09-22
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。这个"ssh.zip_SSH登录_ssh 注册登录"压缩包文件可能是为了教授初学者如何设置和使用SSH进行注册和登录操作。下面我们将深入...
vault-ssh:保险库签名的SSH证书管理器
04-12
保险库签名的SSH证书管理器 CLI command to manage SSH connections with Vault Usage: vault-ssh [command] Available Commands: certificate Manages certificates for SSH engine. enable Enables SSH Engine....
SSH证书登陆
weixin_46502350的博客
12-08 546
前言 本文基于ubuntu20.04 LST版本,通过在mac上使用VMware安装linux虚拟机实现。 SSH证书登陆 Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个
linux服务器登录认证 ssh证书
weixin_44347152的博客
04-28 838
linux服务器使用证书登录第一步:生成本地私钥和公钥第二步:将公钥放置在服务器上第三步:配置客服端和服务器端文件其他配置信息 第一步:生成本地私钥和公钥 Administrator@PC-20200101 MINGW64 /d/AUPDATEONLINE/SSHKEY $ ssh-keygen -t rsa -C "9***3@qq.com" Generating public/private rsa key pair. Enter file in which to save the key (/c/Us
Linux服务器配置ssh证书登录
清瞳清的博客
05-21 1374
Linux服务器ssh登录有密码登录证书登录两种。如果使用密码登录,容易遭受密码泄露或者暴力破解,我们可以使用ssh证书登录并禁止使用密码登录ssh证书登录通过公钥和私钥来完成整个连接过程,公钥保存在服务器上,私钥保存在本地。
SSH证书登录方式(无密码验证登录)
qq_44601070的博客
12-13 2019
SSH证书登录方式(无密码验证登录)
SSH 与 X.509 证书
wouderw的博客
08-28 650
首先,设置一个 SSH CA 服务器(也称为“在线 CA”),该服务器将容纳两个 SSH CA 密钥对:一个用于签署和验证主机证书的主机 CA 密钥对,一个用于签署和验证主机证书的用户 CA 密钥对。另外,SSH 证书有两种格式:主机证书和用户证书。主机服务器将只允许访问具有受密钥信任的证书的客户端,并且客户端可以放心,他们正在连接到受信任的主机。要支持基于 SSH 证书的身份验证,您需要维护另一个可以处理 SSH 证书签名和颁发的 CA,因为 OpenSSH 使用自定义(更简单)的证书格式。
Mac 通过 ssh 远程登录服务器(密钥对(证书)方式)
weixin_42133138的博客
01-31 270
每天记录一点点
[转]SSH 原理和基本使用:ssh 安全配置 以及ssh key 认证登录
weixin_34321753的博客
05-23 2270
一、什么是 SSH ?      SSH全称(Secure SHell)是一种网络协议,顾名思义就是非常安全的shell,主要用于计算机间加密传输。早期,互联网通信都是基于明文通信,一旦被截获,内容就暴露无遗。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。SSH的主要目...
CentOS7配置ssh证书登录无效
06-09
配置 SSH 证书登录时,需要按照以下步骤进行操作: 1. 生成 SSH 密钥对 使用以下命令在本地生成一个 SSH 密钥对: ``` ssh-keygen -t rsa ``` 2. 将公钥复制到目标服务器 使用以下命令将公钥复制到目标服务器: ``` ssh-copy-id -i ~/.ssh/id_rsa.pub username@hostname ``` 其中,`username` 是目标服务器的用户名,`hostname` 是目标服务器的主机名或 IP 地址。 3. 修改 SSH 配置文件 打开 SSH 配置文件 `/etc/ssh/sshd_config`,找到以下两行配置: ``` # RSAAuthentication yes # PubkeyAuthentication yes ``` 将注释符号 `#` 去掉,并将 `yes` 改为 `no`,变成以下形式: ``` RSAAuthentication no PubkeyAuthentication no ``` 保存文件并退出。 4. 重启 SSH 服务 使用以下命令重启 SSH 服务: ``` systemctl restart sshd ``` 这样就完成了 SSH 证书登录的配置。如果还无法登录,请检查目标服务器上的 SSH 配置和权限是否正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值