将自己的SSH密钥对导入YubiKey 5的PIV和智能卡模块,配合Putty和XShell使用

最新推荐文章于 2024-08-28 08:53:23 发布
最新推荐文章于 2024-08-28 08:53:23 发布
阅读量3k 收藏 8
点赞数 1
分类专栏: Linux 文章标签: yubikey XShell PIV SSH Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sbdx/article/details/115271483
版权
本文介绍了如何将现有SSH密钥对导入YubiKey 5的PIV和SmartCard模块,以便在XShell和Putty中安全地进行SSH连接。通过将私钥写入YubiKey并生成PIV证书,实现了无需暴露私钥的安全认证过程。
摘要由CSDN通过智能技术生成

前言

YubiKey是什么东西我就不多说,简单的说是一种用来保存私钥的硬件设备,私钥一旦写入就无法读出,比起保存在硬盘里的私钥文件,更安全。前段时间入手一个YubiKey 5 NFC,最近一直在研究怎么用来登录SSH。

需求

我手上已经有了一个SSH密钥对用来管理着几十台Linux服务器,,在Yubikey Mmanager -> PIV中只能重新生成密钥对,并且无法导出私钥,然而我不想更换的我的私钥,与我的需求不符。在入手后的10天的里,每天都在研究怎么搞定这个问题……google都快翻烂了。

解决

1.将PGP密钥写入SmartCard智能卡

我是先用GnuPG4win生成PGP密钥对,然后导入SSH私钥,替换掉PGP密钥Auth子密钥
具体过程就不细说了,可以参考下方的资料。
注意,操作前先备份好密钥,下面步骤会将私钥写入卡上,并且无法导出!!!
大概流程:

c:\>gpg -a --export-secret-keys [user-id] > [user-id].asc
c:\>gpg --edit-key [user-id]
gpg (GnuPG) 2.2.27; Copyright (C) 2021 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa2048/****************
     created: 2021-03-22  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  rsa2048/****************
     created: 2021-03-22  expires: never       usage: E
     card-no: 000615524
ssb  rsa2048/****************
     created: 2021-03-22  expires: never       usage: S
     card-no: 000615524
ssb  rsa2048/****************
     created: 2021-03-24  expires: never       usage: A
     card-no: 000615524
[ultimate] (1). sbdx <xxxx@google.com>
gpg>key 3  #选择A证书
gpg>keytocard #将证书转移到卡上,注意,密钥写入就无法读取了,所以提前备份
gpg>key 3 #取消选择,然后可以类似写入其他操作
...
gpg>save #保存退出

然后重新插拔YubiKey,编辑%appdata%\gnupg\gpg-agent.conf文件,向文件内添加以下内容

enable-ssh-support
enable-putty-support

然后就可以用PUTTY愉快的使用啦~~~
如果无法使用,可以重启gpg-agent

REM 重启gpg-agent
"C:\Program Files (x86)\GnuPG\bin\gpg-connect-agent.exe" killagent /bye
"C:\Program Files (x86)\GnuPG\bin\gpg-connect-agent.exe" /bye

2.生成并写入PIV证书

可以用ssh-keygen生成或从OpenGPG导出为private.key
大概格式内容为:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,1BB7EF1B1****

CBh06xO45wNsPr4El/gnGd0Bf+vU5gp+/ku80nF2
85g2sHowq1/LJwVb0VdSb9oRhg8uokVCZAy7LvCjCB5y7
TpkKvKN1VG44eEEbFBLU6pHSRmt1N9hbBO9HiPtdHUGcgBG031
...
...
...
-----END RSA PRIVATE KEY-----

# 生成的私钥要转换成PEM格式的文件,尽量不要设置密码
# 如果有密码,请在后面加上-p参数取消即可
ssh-keygen -p -f private.key -m pem

1) 使用私钥创建X.509证书请求

期间会让你输入一些证书信息,随便输入,SSH不认识这些东西…

openssl req -new -key private.key -out mykey.csr

2) 使用私钥自己签发证书请求

openssl x509 -req -days 3650 -in mykey.csr -signkey private.key -out mykey.crt

OK,证书创建成功,你会得到两个文件,私钥private.key和证书mykey.crt,请求文件mykey.csr可以删了!

写入Yubikey

#导入证书文件
C:\>yubico-piv-tool -s 9a -a import-certificate -i mykey.crt
Successfully imported a new certificate.
#导入密钥文件,触摸策略是每次都touch,可选never、cached
C:\>yubico-piv-tool -s 9a -a import-key --touch-policy=always -i private.key
Successfully imported a new private key.

配合XShell使用

需要用到一款开源软件WinCryptSSHAgent,使用Pagent代理请求PIV证书,非常简单方便,在打开XShell前启动软件即可。经过测试,XShell5、XShell7可以正常使用。
设置方法:

  1. 会话连接属性->连接->用户身份验证->选择PublicKey并调整至第一个,用户密钥选择“无”。
  2. 会话连接属性->连接->SSH->勾选“v5:使用密码处理的Xagent(SSH代理)”/“v7:使用Xagent进行身份验证”

XShell官方的方法是使用PCKS#11验证,很麻烦,要装插件,具体可以参考下面的官方文档。

特别感谢

感谢WinCryptSSHAgent作者buptczq开发出这么棒的开源工具。
感谢WinCryptSSHAgent作者buptczq耐心与我线上沟通找出使用中的问题。

参考资料

sbdx
关注
专栏目录
WinCryptSSHAgent:在Windows上无缝使用Yubikey进行SSH身份验证
02-06
WinCrypt SSH代理 介绍 基于Windows CryptoAPI的SSH代理。 该项目允许其他程序访问Windows证书存储区中存储的SSH密钥以进行身份​​验证。 受益于Windows证书管理,该项目本机支持使用Windows用户证书或智能卡(例如Yubikey PIV)进行身份验证。 总览 特征 本机使用智能卡,而无需在Windows中安装任何驱动程序(仅PIV) 支持OpenSSH证书(因此您可以将智能卡与其他OpenSSH证书一起使用) 兼容性好 兼容性 Windows中有许多不同的OpenSSH代理实现。 该项目在Windows中实现了4种流行的协议: Cygwi
YubiKey指南:将YubiKey用于GPG和SSH的指南
02-05
YubiKey指南:将YubiKey用于GPG和SSH的指南
Yubikey硬件密钥SSH认证
DRC's CSDN
05-03 5151
手上的Yubikey 5 NFC一直以来都是我2FA的设备之一,这阵子也偶然了解到CanoKey这款产品,也是和Yubikey比较类似,看了不少关于GPG/PGP相关的文章,于是乎想要自己实践一下。 比较让人熟知的Yubikey,或者硬件密钥的用法都是U2F、TOTP/HOTP之类的。我手上的这款Yubikey 5 NFC也支持PIV和OpenPGP标准。值得注意的是,PIV和OpenPGP的密钥存储区不共享,...
探索Yubico PIV工具:安全身份验证的新纪元
最新发布
gitblog_00015的博客
08-28 306
探索Yubico PIV工具:安全身份验证的新纪元 yubico-piv-toolCommand line tool for the YubiKey PIV application项目地址:https://gitcode.com/gh_mirrors/yu/yubico-piv-tool 项目介绍 Yubico PIV工具是一款专为与YubiKey上的个人身份验证(PIV)应用交互而设计的软件。...
YubiKey-Guide, 使用YubiKey作为GPG和SSH智能卡的指南.zip
09-17
YubiKey-Guide, 使用YubiKey作为GPG和SSH智能卡的指南 这是使用 YubiKey 作为智能卡存储GPG加密和签名密钥的实用指南。还可以为SSH创建认证密钥,并与 gpg代理一起使用。像YubiKey这样存储的密钥比存储在磁盘上的密钥更难,而且方便日常使用使用 YubiKey 4为 De
piv-agent:可以与PIV智能卡安全密钥一起使用SSH代理
02-14
可以与PIV智能卡/安全密钥一起使用SSH代理。 piv-agent几乎完全基于思想和密码学。 重要提示:我不是密码专家,并且不对本软件的安全性或其他方面作任何断言。 yubikey-agent有什么问题? 没有! 我只是想更好...
smartcard-scripts:用于运行具有 ssh 密钥支持的 gpg-agent 以及将密钥加载到 Yubikey Neo 的 PIV-II 小程序中的帮助脚本
06-28
智能卡帮助脚本 gpg-agent-functions.sh 从~/.bash_profile此脚本(由于使用launchctl getenv来获取$SSH_AUTH_SOCK的默认值,因此目前仅适用于 Mac)。 这会将您的$SSH_AUTH_SOCK设置为~/.ssh_auth_sock ,然后从~/...
yubikey-ssh:如何在没有GPG的情况下将Yubikey与OpenSSH一起使用
05-22
Yubikey作为SSH密钥 截至2020-05-09,瓦尔索达( 已发布 。 我现在建议使用此方法,而不要使用PKCS#11,但是,如果您仍然希望使用本机ssh-agent,请继续阅读。 我见过的所有其他指南( 最多)告诉您通过gpg-agent将Yubikey智能卡(PKCS#11)功能与GnuPG一起使用。 停止疯狂! 自5.4版开始,OpenSSH就已支持OpenSC。 这意味着您需要做的就是安装OpenSC库,并告诉SSH使用该库作为您的身份。 先决条件 1.安装OpenSC和YubiKey Manager(仅CLI) 在macOS上 确保您安装的是OpenSC的木桶版本,而不是公式。 桶版本是.pkg,它将共享库安装到ssh-agent可接受的位置。 该公式不适用,因为Homebrew将每个版本安装到其自己的位置,并且不允许将未知路径用作PKCS#11库。 brew
YubiKey 使用指南
gitblog_01192的博客
08-13 492
YubiKey 使用指南 YubiKey-GuideGuide to using YubiKey for GPG and SSH项目地址:https://gitcode.com/gh_mirrors/yu/YubiKey-Guide 项目介绍 YubiKey 使用指南是一个开源项目,旨在帮助用户了解如何使用 YubiKey 进行 GnuPG 和 SSH 的安全认证。该项目由 drduh 维护,提...
yubikey-agent:yubikey-agent是YubiKeys的无缝ssh-agent
03-19
yubikey代理 yubikey-agent是YubiKeys的无缝ssh-agent。 便于使用。一个命令的设置,一个环境变量,它仅在后台运行。 坚不可摧。允许拔出,Hibernate和挂起。无需重启。 兼容的。提供可与所有服务和服务器一起使用的公钥。 安全的。密钥是在YubiKey上生成的,无法提取。每个会话都需要PIN,每个登录都需要触摸。安装程序负责PUK和管理密钥。 用纯围棋,它是基于和 。 安装 苹果系统 brew install yubikey-agent brew services start yubikey-agent yubikey-agent -setup # generate a new key on the YubiKey 然后~/.zshrc下行添加到~/.zshrc然后重新启动外壳程序。 export SSH_AUTH_SOCK="/usr/local/v
ssh代理服务-windows
06-08
支持ssh透传,代理。转发。 这个是服务端。配置挺简单。需要客户端配合使用
YubiKey Agent 使用教程
gitblog_00799的博客
08-23 434
YubiKey Agent 使用教程 yubikey-agentyubikey-agent is a seamless ssh-agent for YubiKeys.项目地址:https://gitcode.com/gh_mirrors/yu/yubikey-agent 项目介绍 YubiKey Agent 是一个使用 Go 语言编写的开源项目,旨在将 YubiKey 转变为一个 SSH 代理。...
linux使用密钥对好还是密码好,个人使用如何选择GnuPG密钥方案?使用密钥还是不用?...
weixin_35797127的博客
04-30 233
(噫,分类第一篇)这些年过去,感觉越来越有必要操心一下安全与签名/认证的问题,所以有心去折腾一下GnuPG(gpg)。目的是想制作好一对(或多对,如果需要的话)密钥,将公钥发布在密钥服务器上,私钥保存在自己的电脑上。前些年我刚接触这些概念的时候,好像还不推荐使用gpg的子密钥机制(因为「和pgp不兼容」)。但到了这一段再去查的时候,发现大量文章都在谈子密钥,尤其是涉及Yubikey之类的设备的时候...
基于FIDO2和USBKEY硬件的SSH认证
2401_84466229的博客
05-26 1080
总的来说,OpenSSH 对 FIDO 的支持给我们带来了一种更便捷而且安全的身份认证方式。当然由于这是一个开始,可能还会存在着一些问题和 bug,希望各种 SSH 客户端软件也能及时跟进,内置支持该协议,让大家安全水平都提高一个档次。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
探秘YubiKey-Agent:智能密钥管理的未来
gitblog_00004的博客
03-23 449
探秘YubiKey-Agent:智能密钥管理的未来 yubikey-agentyubikey-agent is a seamless ssh-agent for YubiKeys.项目地址:https://gitcode.com/gh_mirrors/yu/yubikey-agent 项目简介 在信息安全领域,YubiKey是一个广受欢迎的硬件安全密钥,而则是Filo Sottile开发的一款工...
推荐项目:PuTTY-CAC - 安全便捷的SSH与telnet客户端
gitblog_00009的博客
04-20 499
推荐项目:PuTTY-CAC - 安全便捷的SSH与telnet客户端 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个增强版的 PuTTY,它支持使用 USB 安全密钥(如 YubiKey、Gemalto 或其他遵循 PKCS#15 标准的设备)进行 SSH 和 telnet 连接。PuTTY 是一款流行的开源终端模拟器和网络文件传输应用程序,而 PuTTY-C...
TrueCrypt、VeraCrypt、CnCrypt三大虚拟磁盘加密以及EDS安卓版
热门推荐
bruce135lee的专栏
05-29 3万+
  TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。TrueCrypt 提供多种加密算法,包括:AES-256, Blowfish (448-bit key), C...
YubiKey是什么
07-27
YubiKey是一款小巧的硬件安全密钥设备,它主要用于两步验证(2FA,Two-Factor Authentication)和单点登录(SSO,Single Sign-On)。这种设备通常插入USB端口,可以生成一次性密码(OTP),增强在线账户的安全性。YubiKey支持多种加密标准,如OAuth、OpenID Connect、SSH等,用户只需输入主密码配合YubiKey提供的动态验证码即可完成身份验证,无需记住额外的复杂密码。它的设计旨在提供物理安全保障,即使丢失了主密码,攻击者也无法仅凭记忆获取访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值