如何生成SSH密钥

打开你的终端窗口。

使用以下命令，将会以你的邮箱作为标签创建一个新的SSH密钥。

$ ssh-keygen -t rsa -b 4096 -C "注册邮箱，比如：zhansan@xxcom"

> Generating public/private rsa key pair

当系统提示您“输入要保存密钥的文件”时，按Enter键。将接受默认文件位置。如下：

> Enter a file in which to save the key (/Users/you/ssh/id_rsa): [Press enter]

在提示符下，输入安全密码，即可生成一个新的ssh密钥。

> Enter passphrase (empty for no passphrase): [Type a passphrase]

> Enter same passphrase again: [Type passphrase again]

均可。

密钥登录 1(客户端生成密钥)。在本地客户端生成公私钥对，使用ssh-copy-id命令把本地的ssh公钥文件安装到远程主机对应的账户下。

密钥登录 2(服务端生成密钥)。用户登录服务器，并在服务器生成公私钥对，将私钥传递给远端客户端，保存在客户端相应目录下。

前天给客户安装环境，没想到在生成SSH密钥上耽误很多时间。

先从一个实验开始吧。

先生成密钥对，公钥为/tmp/keypub，私钥为/tmp/key。命令行选项中 -t表示key type，-b表示key的bit数，在puttygen中也是使用这样的组合，即RSA， 2048。

这里产生的私钥默认是兼容性更好的PEM格式。如果加-o选项，则生成的是OpenSSH格式的私钥。

这里生成的PEM RSA格式的私钥，可以import到puttygen中生成putty使用的PPK格式的私钥，如下：

顺带说一下，PEM表示Privacy Enhanced Mail，PPK表示PuTTY Private Key。这两种都是私钥格式。PEM实际上是一种特定的BASE64编码。参见这里

将OpenSSH格式公钥转换为SSH2格式，即RFC 4716格式：

将SSH2 格式公钥转换为PEM：

将OpenSSH格式公钥转换为PEM格式：

私钥除了PEM格式，还有一个OpenSSH格式。如文档描述：

使用-p选项可以将PEM和OpenSSH格式互相转换。

总结一下，私钥的格式有PEM, OpenSSH和PPK 3种。公钥的格式有OpenSSH和SSH2两种。

对于私钥，PPK是putty程序用的，这种格式和其它格式的转换通过puttygen来做。puttygen只能import PEM格式的，但可以转换成openssh格式的。PEM和OpenSSH之间的转换通过ssh-keygen -p来做。

对于公钥，OpenSSH，SSH2，PEM之间通过ssh-keygen -e或-i来转换。 ~/ssh/authorized_keys中存放的公钥是OpenSSH格式。OCI中API Signing Key使用PKCS8格式的公钥。如下：

那天在客户处出现的问题就是因为Oracle公有云(OCI)生成的私钥和私钥都是OpenSSH格式的。所以私钥无法直接导入puttygen，需要先转换为PEM格式才可导入。

————————————————

原文链接： https://blogcsdnnet/stevensxiao/article/details/109381001

SSH详解-1ssh基础知识

SSH详解-2ssh基本用法

SSH详解-3密钥登陆

SSH详解-4多个ssh公钥

在上一篇中我们了解到了ssh基本用法，ssh通过密码进行登录。密码登录存在很多问题。密码太简单，又不安全。密码太复杂，不容易记，而且每次登录都要输入很麻烦。于是就有了密钥登陆。

什么是密钥(key)？

ssh密钥登录采用的是 非对称加密 。

非对称密钥加密系统，又称公钥密钥加密。它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥（public key）和，另一个由用户自己秘密保存，即私用密钥（private key）。

如果数据使用公钥加密，那么只有使用对应的私钥才能解密，其他密钥都不行；反过来，如果使用私钥加密（这个过程一般称为“签名”），也只有使用对应的公钥解密。

了解完密钥后，接下来看看密钥登录的过程，SSH 密钥登录分为以下的步骤。

第零步，准备步骤客户端通过 ssh-keygen 生成自己的公钥和私钥，并将公钥放入远程服务器的指定位置。

第一步，用户客户端向服务器发起SSH登录的请求。

第二步，服务器收到用户SSH登录的请求，服务器生成一些随机数据发送给客户端。

第三步，客户端接收到服务器发过来的数据，客户端使用私钥对数据进行签名后再返回给服务器。

第四步，服务器收到客户端加密后的数据，使用对应公钥进行解密。然后判断解密后的数据是否与原始数据一致，如果一致就允许用户登录。

ssh-keygen 是OpenSSH提供的一个命令行工具，用于生成密钥登录所需的公钥和私钥。

在上面的例子中，我使用了-t参数来指定加密算法，一遍会选择rsa或者dsa。

第一个问题，问我要保存在哪？（直接Enter默认会保存在~/ssh/id_rsa中）因为我之前已经生成过密钥了，我就保存在tenxun里面。

第二个问题，询问是否要为私钥文件设定密码保护（passphrase）。这样的话，即使入侵者拿到私钥，还是需要破解密码。如果为了方便，不想设定密码保护，可以直接按回车键，密码就会为空。

最后，就会生成私钥和公钥，屏幕上还会给出公钥的指纹，以及当前的用户名和主机名作为注释，用来识别密钥的来源。

从上面的公钥中我们可以看到末尾的公钥注释 23696@DESKTOP-GKRBCVI

公钥注释可以用来识别不同的公钥，表示这是哪台主机（DESKTOP-GKRBCVI）的哪个用户（username）的公钥。

注意 ，公钥只有一行。因为它太长了，显示的时候可能自动换行了。

OpenSSH 规定，用户公钥保存在服务器的 ~/ssh/authorized_keys 文件。你要以哪个用户的身份登录到服务器，密钥就必须保存在该用户主目录的~/ssh/authorized_keys文件。只要把公钥添加到这个文件之中，就相当于公钥上传到服务器了。每个公钥占据一行。如果该文件不存在，可以手动创建。

-i 指定要上传公钥（公钥文件可以不指定路径和 pub 后缀名），user是所要登录的用户名，hostname是主机名，这两个参数与ssh 登录命令是一致。

特别注意 ，不是把公钥上传上去就行了，还需要把 authorized_keys 文件的权限要设为644，即只有文件所有者才能写。如果权限设置不对，SSH服务器可能会拒绝读取该文件，导致密钥登录失效，登录的时候还需要输入密码。

提到输入密码，如果再生成公钥和私钥的时候设置了密码，使用密钥登录的时候也需要输入私钥的密码，这样可以防止他人非法窃取了私钥。

私钥设置了密码以后，每次使用都必须输入私钥密码，这个问题可以使用 ssh-agent 命令解决。

-密钥

Git - 生成 SSH 公钥 (git-scmcom)

ssh(1) - OpenBSD manual pages

使用SSH的优点：

1）利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题，也能够防止DNS欺骗和IP欺骗。

2）使用SSH传输的数据是经过压缩的，所以可以加快传输的速度 。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更高，可以有效防止中间人攻击。

1在客户端（本地）生成密钥对

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录，这里密钥锁码设置为空。完成上述步骤后，在 root 用户的家目录中生成了一个 ssh 的隐藏目录，内含两个密钥文件，其中id_rsa 为私钥，id_rsapub 为公钥。

SSH详解-1ssh基础知识

SSH详解-2ssh基本用法

SSH详解-3密钥登陆

SSH详解-4多个ssh公钥

前面说了利用密钥ssh可以快速登录，而不用每次都输入密码。

有时候在github和gitee中我们想用不同的密钥登录，或者某个服务器我们想使用另外一个公钥登录。这就情况下我们就需要配置多个公钥。

我们在生成私钥和公钥的默认的名称是 id_rsa 。前面已经详细说过密钥登录流程了，而密钥登录的时候会默认读取 id_rsa 密钥进行验证。因此，我们在使用多个密钥对的时候，必须告诉ssh哪个服务器验证用哪个密钥。

在一台电脑上生成多个公钥格式 ssh-keygen -t rsa -C 邮箱 公钥名 ，详细参数上一节已经说过了。

在 ~/ssh/ 文件夹下面默认是没有config文件的，要配置多少个ssh公钥我们需要在该文件夹下新建一个 config 文件。

User 登录的用户名， IdentityFile 密钥文件路径， HostName 服务器ip地址或者域名。

Host 主机名，为什么把这个放到最后说呢？

需要注意一点配置完后应使用 ssh root@tenxun 来登录 ，也就是说@后面的是Host不是HostName。