SSH 证书生成(Linux、windows)

一、介绍SSH证书:

1.首先什么是SSH

Secure Shell (SSH) 是一个允许两台电脑之间通过安全的连接进行数据交换的网络协议。通过加密保证了数据的保密性和完整性。SSH采用公钥加密技术来验证远程主机,以及(必要时)允许远程主机验证用户。

2.SSH的好处

1、传统的FTP、Telnet是再网络中明文传送数据、用户帐号和密码,很容易受到中间人攻击。而通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了, 而且也能够防止DNS和IP欺骗。 2、第二个好处是:传输的数据是经过压缩的,所以可以加快传输的速度。

3.怎么实现SSH的好处呢?【怎么才能做到加密】

SSH利用SSH Key来进行前面提到的基于密钥的安全验证。

4.SSH-Key是什么?

1、SSH-Key 就是一对密钥对。【一个是公钥,一个是私钥】 2、公钥是给别人用的。私钥是给自己用的。 3、别人是谁?可以是GitLab服务器。 自己是谁?可以是本地。

4、举个例子 4.1》本地想要使用git从gitHub/gitlab上拉取代码。 4.2》给GitHub/GitLab配置公钥,公钥就可以作为一个加密的箱子,将代码放在箱子里。 4.3》被本地拉取到后,使用私钥将加密的箱子打开。就能拿到代码了。 4.4》整个过程中,都没有用户名/密码在网络中传输,所以不会给他人拦截到,破解你的数据

5、所以,SSH-Key的直观作用,就是【让你方便的登录到 SSH 服务器,而无需输入密码】

5.SSH-Key的密钥类型

有RSA和DSA两种认证密钥

6.目录.ssh下的文件说明

id_rsa :存放私钥的文件

id_rsa.pub :存放公钥的文件

known_hsots :可以保存多个公钥文件,每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts文件中

authorized_keys :A机器生成的公钥-->放B的机器.ssh下authorized_keys文件里,A就能免密访问B,但是B不能访问A。如果需要两台电脑互相访问均免密码。则需要重复上面的步骤(机器的配置刚好相反)

二、Linux生成证书

1、开启ssh和查看是ssh否开启

[root@VM_0_6_centos ~]# netstat -anp|grep :22
tcp        0      0 0.0.0.0:22              0.0.0.0:*            
tcp        0     36 172.16.0.6:22           211.161.248.60:22447 
[root@VM_0_6_centos ~]# service sshd start
Redirecting to /bin/systemctl start sshd.service

复制代码

2、查看是否有生成的证书

[root@VM_0_6_centos .ssh]# cd  /root/.ssh
[root@VM_0_6_centos .ssh]# ls
[root@VM_0_6_centos .ssh]#

复制代码

3、生成证书 ssh-keygen -t rsa

邮箱可以不是真实的。

[root@VM_0_6_centos .ssh]# ssh-keygen -t rsa -C "zhengja@dist.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:ANbGYlsumXjZ3GzsgkCen80YNwl5Y1/U4zGgDcgaVIA zhengja@dist.com
The key's randomart image is:
+---[RSA 2048]----+
|   o=B....oo     |
|  E.*.@  +. =    |
| o + ^.B.... +   |
|  = X B.*   .    |
|   + X +S        |
|    = + .        |
|       .         |
|                 |
|                 |
+----[SHA256]-----+
[root@VM_0_6_centos .ssh]# ls
id_rsa  id_rsa.pub
[root@VM_0_6_centos .ssh]#
复制代码

3、证书使用

可以配置gitlab、github、其它机器上等。

例如:配置gitlab

获取公钥(id_rsa.pub)内容

[root@VM_0_6_centos .ssh]# vim id_rsa.pub
复制代码

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMXYx0+V6xndjSdHpwOWqtqwQ2Wn95mFemNZuuKcILnqPP/bVJm3RKKmCu7jUqM2YgQOSEOAwdvKHTfKKFVLMXHvbKY63TdlrhvGZSXmsZPRVi3pxz2bZC+Wuxv3feVKypCWuHZBNjrmVylaDA7XcFwFrqH367621O/DIad1QgysXqX1ZhkL9SSlKVSowgyWcNvO3vXRkomg5oxiRCxhcuMsiN+WhJPuynNCMqPSIb/xNmX8lvXB2wTVqEnnlwsy849Mduv6g1I2OipOTUyDcEj8G+Tl4c44bYJKlyYxo7eF0MhZgAVpFBlcU+s/CpZfa4VdoOMehNr8NTUqxYbsmT zhengja@dist.com

复制公钥:id_rsa.pub 内容-->配置gitlab

登录gitlab点击头像-->settings-->SHH Keys

4、测试使用

Linux安装git

[root@VM_0_6_centos local]# yum install git
[root@VM_0_6_centos local]# git --version
git version 1.8.3.1
复制代码

配置git: email要和上名的配置一致(email可以不是真实的)

[root@VM_0_6_centos ~]# git config --global user.name "zhengja"
[root@VM_0_6_centos ~]# git config --global user.email "zhengja@dist.com"
复制代码

随便找个自己gitlab上的项目

是否能下载gitlab项目

[root@VM_0_6_centos ~]# git clone ssh://git@elbgit-1200450932.cn-northwest-1.elb.amazonaws.com.cn:5337/zhengja/springboot-test-gitlab.git
Cloning into 'springboot-test-gitlab'...
The authenticity of host '[elbgit-1200450932.cn-northwest-1.elb.amazonaws.com.cn]:5337 ([52.83.120.124]:5337)' can't be established.
ECDSA key fingerprint is SHA256:cb3sC2zG1MwV8pkEZzfNzQ1V+3PZaEEc2UEdkHsdq2c.
ECDSA key fingerprint is MD5:be:bd:1d:07:f9:5e:27:25:6e:b5:af:e6:61:15:f8:d0.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[elbgit-1200450932.cn-northwest-1.elb.amazonaws.com.cn]:5337,[52.83.120.124]:5337' (ECDSA) to the list of known hosts.
remote: Counting objects: 22, done.
remote: Compressing objects: 100% (13/13), done.
remote: Total 22 (delta 0), reused 0 (delta 0)
Receiving objects: 100% (22/22), done.
[root@VM_0_6_centos ~]# ls
springboot-test-gitlab

复制代码

成功!

三、windows生成证书

首先安装git

安装git参考地址

安装git参考地址2 这个精简

1、查看是否有生成的证书

默认位置:C:\Users\Administrator.ssh

在Windows下查看**[c盘->用户->自己的用户名->.ssh]*下是否有"id_rsa、id_rsa.pub"*文件,这两个就是证书文件默认名称。

2、生成证书 ssh-keygen -t rsa

安装好git后:

右击 空白处-->进入 Git Bash Here :邮箱可以不是真实的

$ ssh-keygen -t rsa -C "zhengja@dist.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/c/Users/Administrator/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /c/Users/Administrator/.ssh/id_rsa.
Your public key has been saved in /c/Users/Administrator/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:WDXfBdxE5au0AE0hCIE8u6aaqbQJIS883mBMNs4zm4k zhengja@dist.com
The key's randomart image is:
+---[RSA 2048]----+
|  . .oo ..oo...=*|
|   +   . .+o ..o.|
|    o   .. .. . .|
|   .   o  .     .|
|o+  . . S  . . . |
|Oo.o        o o  |
|o%+          o   |
|*=%              |
|EB .             |
+----[SHA256]-----+

复制代码

3、查看是否生成证书文件

4、使用ssh证书

可以配置gitlab、github、其它机器上等。

例如:配置gitlab

获取公钥(打开id_rsa.pub文件)内容

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMXYx0+V6xndjSdHpwOWqtqwQ2Wn95mFemNZuuKcILnqPP/bVJm3RKKmCu7jUqM2YgQOSEOAwdvKHTfKKFVLMXHvbKY63TdlrhvGZSXmsZPRVi3pxz2bZC+Wuxv3feVKypCWuHZBNjrmVylaDA7XcFwFrqH367621O/DIad1QgysXqX1ZhkL9SSlKVSowgyWcNvO3vXRkomg5oxiRCxhcuMsiN+WhJPuynNCMqPSIb/xNmX8lvXB2wTVqEnnlwsy849Mduv6g1I2OipOTUyDcEj8G+Tl4c44bYJKlyYxo7eF0MhZgAVpFBlcU+s/CpZfa4VdoOMehNr8NTUqxYbsmT zhengja@dist.com

复制公钥:id_rsa.pub 内容-->配置gitlab

登录gitlab点击头像-->settings-->SHH Keys

gitlab配置shh.png

5、测试shh证书使用

找的空文件夹-->右击 空白处-->进入 Git Bash Here

Administrator@ZhengJiaAo MINGW64 /d/FileTest/Testgitlab
$ git clone ssh://git@elbgit-1200450932.cn-northwest-1.elb.amazonaws.com.cn:5337/zhengja/springboot-test-gitlab.git
Cloning into 'springboot-test-gitlab'...
remote: Counting objects: 22, done.
remote: Compressing objects: 100% (13/13), done.
remote: Total 22 (delta 0), reused 0 (delta 0)
Receiving objects: 100% (22/22), done.

复制代码

成功!

四、证书使用场景

例如:

windows通过Xshell 以ssh方式连接 Linux系统

Linux 以ssh连接另一台Linux系统

git使用ssh免密连接gitlab、github等下载项目

jenkins配置ssh连接slave节点机器 等等......

分类:
后端
标签: