ssh-keygen命令详解
ssh-keygen
名称
ssh-keygen - 生成验证密钥
用法概要
ssh-keygen [-q] [-b bits ] -t type [-N new_passphrase] [-C comment] [-f output_keyfile]
ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
ssh-keygen -i [-f input_keyfile | PKCS#11-URI]
ssh-keygen -e [-f input_keyfile]
ssh-keygen -y [-f input_keyfile]
ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]
ssh-keygen -l [-f input_keyfile | PKCS#11-URI]
ssh-keygen -B [-f input_keyfile]
ssh-keygen -F hostname [-f known_hosts_file]
ssh-keygen -H [-f known_hosts_file]
ssh-keygen -R hostname [-f known_hosts_file]
最常用用法
ssh-keygen -t rsa -b 4096 -C "user@host"
描述
ssh-keygen
实用程序用于为 ssh生成、管理和转换验证密钥。ssh-keygen
可以创建供 SSH 协议版本 1 使用的 RSA 密钥,以及供 SSH 协议版本 2 使用的 RSA 或 DSA 密钥。生成的密钥类型使用 –t
选项指定。ssh-keygen
还可以生成指纹或从指定为 PKCS#11 URI 的 X.509v3 证书转换公钥。
通常,希望将 SSH 与 RSA 或 DSA 验证结合使用的每个用户应运行一次此实用程序,以便在 $HOME/.ssh/identity
、$HOME/.ssh/id_dsa
或 $HOME/.ssh/id_rsa
中创建验证密钥。系统管理员还可以使用此实用程序生成主机密钥。
通常,此程序会生成密钥并要求提供一个存储私钥的文件。公钥存储在附加了 ".pub
" 扩展名的同名文件中。该程序还要求提供口令短语。口令短语可以为空,表示没有口令短语(主机密钥必须具有空口令短语),也可以为任意长度的字符串。好的口令短语长度在 10-30 个字符,不是简单的句子或其他容易猜到的句子,由大写字母、小写字母、数字和非字母数字字符组合而成。(普通英文句子中的每个字只有 1-2 位的熵,提供的口令短语非常差。)如果设置口令短语,则长度必须至少为 4 个字符。
之后可以使用 –p
选项更改口令短语。
无法恢复丢失的口令短语。如果丢失或忘记口令短语,您必须生成一个新密钥并将相应的公钥复制到其他计算机。
对于 RSA,密钥文件中还包含一个注释字段,该字段只是为了便于用户识别密钥。comment 字段可以说明密钥的用途或提供任何有用信息。创建密钥时,注释将初始化为 "user@host
",但可以使用 –c
选项进行更改。
密钥生成后,可以使用下面的详细说明了解应将密钥放在何处,以便激活密钥。
参数
支持以下参数:
-
–b
bits- 指定要创建的密钥的位数。最小位数为 512 位。通常,2048 位足以满足安全需要。密钥大小超过该值并不会提高安全性,反而会降低速度。缺省值为 2048 位。
-
–B
- 显示指定的私钥或公钥文件的 bubblebabble 摘要。
-
–c
- 请求更改私钥和公钥文件中的注释。该程序会提示您提供包含私钥的文件、口令短语(如果密钥具有一个口令短语)以及新的注释。此选项仅适用于
rsa1
(SSHv1
) 密钥。
- 请求更改私钥和公钥文件中的注释。该程序会提示您提供包含私钥的文件、口令短语(如果密钥具有一个口令短语)以及新的注释。此选项仅适用于
-
–C
comment- 提供新注释。
-
–e
- 此选项读取 OpenSSH 私钥或公钥文件并将密钥以 "SECSH" 公钥文件格式输出到 stdout。此选项允许导出密钥供其他一些 SSH 实现使用。
-
–f
- 指定密钥文件的文件名。
-
–F
- 在
known_hosts
文件中搜索指定的 hostname,列出找到的任何匹配项。此选项可用于查找散列格式的主机名或地址,还可以与–H
选项一起使用,以散列格式输出找到的密钥。
- 在
-
–H
- 对
known_hosts
文件执行散列计算。此选项使用散列形式替换指定文件内的所有主机名和地址。原始内容将移动到后缀为.old
的文件中。这些散列值通常由ssh
和sshd
使用,即使文件内容被公开,这些散列值也并不会透露可识别的信息。此选项不会修改现有的散列主机名,因此可以放心地用于同时包含散列名称和非散列名称的文件。
- 对
-
–i
- 此选项以 SSH2 兼容格式读取未加密的私钥(或公钥)文件并将 OpenSSH 兼容的私钥(或公钥)输出到 stdout。
ssh-keygen
还可读取 “SECSH” 公钥文件格式。此选项允许从其他一些 SSH 实现中导入密钥。
- 此选项以 SSH2 兼容格式读取未加密的私钥(或公钥)文件并将 OpenSSH 兼容的私钥(或公钥)输出到 stdout。
-
–l
- 显示指定的私钥或公钥文件的指纹。
-
–N
new_passphrase- 提供新口令短语。
-
–p
- 请求更改私钥文件的口令短语,而不创建新私钥。该程序会提示您提供包含私钥的文件、旧口令短语,并两次提示您输入新口令短语。
-
–P
passphrase- 提供(旧)口令短语。
-
–q
- 退出
ssh-keygen
。
- 退出
-
–t
type- 指定用于生成密钥的算法,其中 type 是
rsa
、dsa
和rsa1
中的一种。rsa1
类型仅用于 SSHv1 协议。
- 指定用于生成密钥的算法,其中 type 是
-
–R
hostname- 从
known_hosts
文件中删除属于 hostname 的所有密钥。此选项可用于删除散列主机。请参见–H
。
- 从
-
–x
- 已过时。已被
–e
选项取代。
- 已过时。已被
-
–X
- 已过时。已被
–i
选项取代。
- 已过时。已被
-
–y
- 此选项读取 OpenSSH 私钥格式文件并将 OpenSSH 公钥输出到 stdout。
-
–8
- 指定
ssh-keygen
生成 PKCS#8 格式的密钥。对于要生成的密钥,支持的类型为rsa
或dsa
。
- 指定
退出状态
将返回以下退出值:
-
0
- 成功完成。
-
1
- 出现错误。
文件
-
$HOME/.ssh/identity
该文件包含用于 SSHv1 协议的 RSA 私钥。除了用户外,其他任何人均应无法读取此文件。生成密钥时可以指定密码短语;该密码短语用于使用 128 位 AES 对此文件的私有部分加密。
ssh-keygen
并不自动访问此文件,此文件是作为私钥的缺省文件提供的。尝试登录时,sshd
(1M) 将读取该文件。 -
$HOME/.ssh/identity.pub
该文件包含用于 SSHv1 协议的 RSA 公钥。应在登录时要使用 RSA 验证的所有计算机的
$HOME/.ssh/authorized_keys
中添加该文件的内容。不需要将该文件的内容保密。 -
$HOME/.ssh/id_dsa
-
$HOME/.ssh/id_rsa
这两个文件分别包含用于 SSHv2 协议的 DSA 私钥或 RSA 私钥。除了用户外,其他任何人均应无法读取这些文件。生成密钥时可能会指定口令短语;该口令短语用于对此文件的私钥部分加密(使用 3DES)。
ssh-keygen
并不自动访问其中的任一文件,这两个文件是作为私钥的缺省文件提供的。尝试登录时,sshd
(1M) 将读取其中的一个文件。 -
$HOME/.ssh/id_dsa.pub
-
$HOME/.ssh/id_rsa.pub
这些文件分别包含用于 SSHv2 协议的 DSA 公钥或 RSA 公钥。应在登录时要使用 DSA 或 RSA 验证的所有计算机的
$HOME/.ssh/authorized_keys
中分别添加这两个文件的内容。不需要将这些文件的内容保密。