SSH 證書登入教程

阮一峰發表於2020-07-08

SSH 是伺服器登入工具,提供密碼登入和金鑰登入。

但是,SSH 還有第三種登入方法,那就是證書登入。很多情況下,它是更合理、更安全的登入方法,本文就介紹這種登入方法。

一、非證書登入的缺點

密碼登入和金鑰登入,都有各自的缺點。

密碼登入需要輸入伺服器密碼,這非常麻煩,也不安全,存在被暴力破解的風險。

金鑰登入需要伺服器儲存使用者的公鑰,也需要使用者儲存伺服器公鑰的指紋。這對於多使用者、多伺服器的大型機構很不方便,如果有員工離職,需要將他的公鑰從每臺伺服器刪除。

二、證書登入是什麼?

證書登入就是為了解決上面的缺點而設計的。它引入了一個證書頒發機構(Certificate1 authority,簡稱 CA),對信任的伺服器頒發伺服器證書,對信任的使用者頒發使用者證書。

登入時,使用者和伺服器不需要提前知道彼此的公鑰,只需要交換各自的證書,驗證是否可信即可。

證書登入的主要優點有兩個:(1)使用者和伺服器不用交換公鑰,這更容易管理,也具有更好的可擴充套件性。(2)證書可以設定到期時間,而公鑰沒有到期時間。針對不同的情況,可以設定有效期很短的證書,進一步提高安全性。

三、證書登入的流程

SSH 證書登入之前,如果還沒有證書,需要生成證書。具體方法是:(1)使用者和伺服器都將自己的公鑰,發給 CA;(2)CA 使用伺服器公鑰,生成伺服器證書,發給伺服器;(3)CA 使用使用者的公鑰,生成使用者證書,發給使用者。

有了證書以後,使用者就可以登入伺服器了。整個過程都是 SSH 自動處理,使用者無感知。

第一步,使用者登入伺服器時,SSH 自動將使用者證書發給伺服器。

第二步,伺服器檢查使用者證書是否有效,以及是否由可信的 CA 頒發。

第三步,SSH 自動將伺服器證書發給使用者。

第四步,使用者檢查伺服器證書是否有效,以及是否由信任的 CA 頒發。

第五步,雙方建立連線,伺服器允許使用者登入。

四、生成 CA 的金鑰

證書登入的前提是,必須有一個 CA,而 CA 本質上就是一對金鑰,跟其他金鑰沒有不同,CA 就用這對金鑰去簽發證書。

雖然 CA 可以用同一對密碼簽發使用者證書和伺服器證書,但是出於安全性和靈活性,最好用不同的金鑰分別簽發。所以,CA 至少需要兩對金鑰,一對是簽發使用者證書的金鑰,假設叫做user_ca,另一對是簽發伺服器證書的金鑰,假設叫做host_ca

使用下面的命令,生成user_ca


# 生成 CA 簽發使用者證書的金鑰
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/user_ca -C user_ca

上面的命令會在~/.ssh目錄生成一對金鑰:user_ca(私鑰)和user_ca.pub(公鑰)。

這個命令的各個引數含義如下。

  • -t rsa:指定金鑰演算法 RSA。
  • -b 4096:指定金鑰的位數是4096位。安全性要求不高的場合,這個值可以小一點,但是不應小於1024。
  • -f ~/.ssh/user_ca:指定生成金鑰的位置和檔名。
  • -C user_ca:指定金鑰的識別字串,相當於註釋,可以隨意設定。

使用下面的命令,生成host_ca


# 生成 CA 簽發伺服器證書的金鑰
$ ssh-keygen -t rsa -b 4096 -f host_ca -C host_ca

上面的命令會在~/.ssh目錄生成一對金鑰:host_ca(私鑰)和host_ca.pub(公鑰)。

現在,~/.ssh目錄應該至少有四把金鑰。

  • ~/.ssh/user_ca
  • ~/.ssh/user_ca.pub
  • ~/.ssh/host_ca
  • ~/.ssh/host_ca.pub

五、CA 簽發伺服器證書

有了 CA 以後,就可以簽發伺服器證書了。

簽發證書,除了 CA 的金鑰以外,還需要伺服器的公鑰。一般來說,SSH 伺服器(通常是sshd)安裝時,已經生成金鑰/etc/ssh/ssh_host_rsa_key了。如果沒有的話,可以用下面的命令生成。


$ sudo ssh-keygen -f /etc/ssh/ssh_host_rsa_key -b 4096 -t rsa

上面命令會在/etc/ssh目錄,生成ssh_host_rsa_key(私鑰)和ssh_host_rsa_key.pub(公鑰)。然後,需要把伺服器公鑰ssh_host_rsa_key.pub,複製或上傳到 CA 所在的伺服器。

上傳以後,CA 就可以使用金鑰host_ca為伺服器的公鑰ssh_host_rsa_key.pub簽發伺服器證書。


$ ssh-keygen -s host_ca -I host.example.com -h -n host.example.com -V +52w ssh_host_rsa_key.pub

上面的命令會生成伺服器證書ssh_host_rsa_key-cert.pub(伺服器公鑰名字加字尾-cert)。這個命令各個引數的含義如下。

  • -s:指定 CA 簽發證書的金鑰。
  • -I:身份字串,可以隨便設定,相當於註釋,方便區分證書,將來可以使用這個字串撤銷證書。
  • -h:指定該證書是伺服器證書,而不是使用者證書。
  • -n host.example.com:指定伺服器的域名,表示證書僅對該域名有效。如果有多個域名,則使用逗號分隔。使用者登入該域名伺服器時,SSH 通過證書的這個值,分辨應該使用哪張證書發給使用者,用來證明伺服器的可信性。
  • -V +52w:指定證書的有效期,這裡為52周(一年)。預設情況下,證書是永遠有效的。建議使用該引數指定有效期,並且有效期最好短一點,最長不超過52周。
  • ssh_host_rsa_key.pub:伺服器公鑰。

生成證書以後,可以使用下面的命令,檢視證書的細節。


$ ssh-keygen -L -f ssh_host_rsa_key-cert.pub

最後,為證書設定許可權。


$ chmod 600 ssh_host_rsa_key-cert.pub

六、CA 簽發使用者證書

下面,再用 CA 簽發使用者證書。這時需要使用者的公鑰,如果沒有的話,客戶端可以用下面的命令生成一對金鑰。


$ ssh-keygen -f ~/.ssh/user_key -b 4096 -t rsa

上面命令會在~/.ssh目錄,生成user_key(私鑰)和user_key.pub(公鑰)。

然後,將使用者公鑰user_key.pub,上傳或複製到 CA 伺服器。接下來,就可以使用 CA 的金鑰user_ca為使用者公鑰user_key.pub簽發使用者證書。


$ ssh-keygen -s user_ca -I user@example.com -n user -V +1d user_key.pub

上面的命令會生成使用者證書user_key-cert.pub(使用者公鑰名字加字尾-cert)。這個命令各個引數的含義如下。

  • -s:指定 CA 簽發證書的金鑰
  • -I:身份字串,可以隨便設定,相當於註釋,方便區分證書,將來可以使用這個字串撤銷證書。
  • -n user:指定使用者名稱,表示證書僅對該使用者名稱有效。如果有多個使用者名稱,使用逗號分隔。使用者以該使用者名稱登入伺服器時,SSH 通過這個值,分辨應該使用哪張證書,證明自己的身份,發給伺服器。
  • -V +1d:指定證書的有效期,這裡為1天,強制使用者每天都申請一次證書,提高安全性。預設情況下,證書是永遠有效的。
  • user_key.pub:使用者公鑰。

生成證書以後,可以使用下面的命令,檢視證書的細節。


$ ssh-keygen -L -f user_key-cert.pub

最後,為證書設定許可權。


$ chmod 600 user_key-cert.pub

七、伺服器安裝證書

CA 生成伺服器證書ssh_host_rsa_key-cert.pub以後,需要將該證書發回伺服器,可以使用下面的scp命令,將證書拷貝過去。


$ scp ~/.ssh/ssh_host_rsa_key-cert.pub root@host.example.com:/etc/ssh/

然後,將下面一行新增到伺服器配置檔案/etc/ssh/sshd_config


HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub

上面的程式碼告訴 sshd,伺服器證書是哪一個檔案。

重新啟動 sshd。


$ sudo systemctl restart sshd
# 或者
$ sudo service sshd restart

八、伺服器安裝 CA 公鑰

為了讓伺服器信任使用者證書,必須將 CA 簽發使用者證書的公鑰user_ca.pub,拷貝到伺服器。


$ scp ~/.ssh/user_ca.pub root@host.example.com:/etc/ssh/

上面的命令,將 CA 簽發使用者證書的公鑰user_ca.pub,拷貝到 SSH 伺服器的/etc/ssh目錄。

然後,將下面一行新增到伺服器配置檔案/etc/ssh/sshd_config


TrustedUserCAKeys /etc/ssh/user_ca.pub

上面的做法是將user_ca.pub加到/etc/ssh/sshd_config,這會產生全域性效果,即伺服器的所有賬戶都會信任user_ca簽發的所有使用者證書。

另一種做法是將user_ca.pub加到伺服器某個賬戶的~/.ssh/authorized_keys檔案,只讓該賬戶信任user_ca簽發的使用者證書。具體方法是開啟~/.ssh/authorized_keys,追加一行,開頭是@cert-authority principals="...",然後後面加上user_ca.pub的內容,大概是下面這個樣子。


@cert-authority principals="user" ssh-rsa AAAAB3Nz...XNRM1EX2gQ==

上面程式碼中,principals="user"指定使用者登入的伺服器賬戶名,一般就是authorized_keys檔案所在的賬戶。

重新啟動 sshd。


$ sudo systemctl restart sshd
# 或者
$ sudo service sshd restart

至此,SSH 伺服器已配置為信任user_ca簽發的證書。

九、客戶端安裝證書

客戶端安裝使用者證書很簡單,就是從 CA 將使用者證書user_key-cert.pub複製到客戶端,與使用者的金鑰user_key儲存在同一個目錄即可。

十、客戶端安裝 CA 公鑰

為了讓客戶端信任伺服器證書,必須將 CA 簽發伺服器證書的公鑰host_ca.pub,加到客戶端的/etc/ssh/ssh_known_hosts檔案(全域性級別)或者~/.ssh/known_hosts檔案(使用者級別)。

具體做法是開啟ssh_known_hostsknown_hosts檔案,追加一行,開頭為@cert-authority *.example.com,然後將host_ca.pub檔案的內容(即公鑰)貼上在後面,大概是下面這個樣子。


@cert-authority *.example.com ssh-rsa AAAAB3Nz...XNRM1EX2gQ==

上面程式碼中,*.example.com是域名的模式匹配,表示只要伺服器符合該模式的域名,且簽發伺服器證書的 CA 匹配後面給出的公鑰,就都可以信任。如果沒有域名限制,這裡可以寫成*。如果有多個域名模式,可以使用逗號分隔;如果伺服器沒有域名,可以用主機名(比如host1,host2,host3)或者 IP 地址(比如11.12.13.14,21.22.23.24)。

然後,就可以使用證書,登入遠端伺服器了。


$ ssh -i ~/.ssh/user_key user@host.example.com

上面命令的-i引數用來指定使用者的金鑰。如果證書與金鑰在同一個目錄,則連線伺服器時將自動使用該證書。

十一、廢除證書

廢除證書的操作,分成使用者證書的廢除和伺服器證書的廢除兩種。

伺服器證書的廢除,使用者需要在known_hosts檔案裡面,修改或刪除對應的@cert-authority命令的那一行。

使用者證書的廢除,需要在伺服器新建一個/etc/ssh/revoked_keys檔案,然後在配置檔案sshd_config新增一行,內容如下。


RevokedKeys /etc/ssh/revoked_keys

revoked_keys檔案儲存不再信任的使用者公鑰,由下面的命令生成。


$ ssh-keygen -kf /etc/ssh/revoked_keys -z 1 ~/.ssh/user1_key.pub

上面命令中,-z引數用來指定使用者公鑰儲存在revoked_keys檔案的哪一行,這個例子是儲存在第1行。

如果以後需要廢除其他的使用者公鑰,可以用下面的命令儲存在第2行。


$ ssh-keygen -ukf /etc/ssh/revoked_keys -z 2 ~/.ssh/user2_key.pub

十二、參考連結

(完)

相關文章