服务器公钥私钥总结

在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。

公钥用来给数据加密，用公钥加密的数据只能使用私钥解密

用来解密公钥加密的数据。

对需要传输的文本，做一个HASH计算，一般采用SHA1，SHA2来获得

使用私钥对需要传输的文本的摘要进行加密，得到的密文即被称为该次传输过程的签名。

数据接收端，拿到传输文本，但是需要确认该文本是否就是发送发出的内容，中途是否曾经被篡改。因此拿自己持有的公钥对签名进行解密（密钥对中的一种密钥加密的数据必定能使用另一种密钥解密。），得到了文本的摘要，然后使用与发送方同样的HASH算法计算摘要值，再与解密得到的摘要做对比，发现二者完全一致，则说明文本没有被篡改过。

是将数据资料加密，使得非法用户即使取得加密过的资料，也无法获取正确的资料内容，所以数据加密可以保护数据，防止监听攻击。其重点在于数据的安全性。

公钥登录是为了解决每次登录服务器都要输入密码的问题，流行使用RSA加密方案，主要流程包含：

1、客户端生成RSA公钥和私钥

2、客户端将自己的公钥存放到服务器

3、客户端请求连接服务器，服务器将一个随机字符串加密后发送给客户端

4、客户端根据自己的私钥解密这个随机字符串之后再发送给服务器

5、服务器接受到字符串之后用公钥解密，如果正确就让客户端登录，否则拒绝。这样就不用使用密码了。

进入用户目录下.ssh目录：

id_rsa：私钥文件

id_rsa.pub：公钥文件

authorized_keys: 保存其他公钥的的文件

known_hosts: 已经建立过连接的服务器信息，可以清空。

1.执行命令：

此时会重新生成id_rsa私钥文件和id_rsa.pub公钥文件

用户将公钥发送给其他服务器，其他服务器将接受的公钥保存在authorized_keys里面。持有私钥的用户就可以登录服务器（authorized_keys存放自己的公钥，用户便可以使用私钥从其他的地方登录服务器）。

2.将公钥导入到vps

3.修改SSHD的配置文件/etc/ssh/sshd_config

4.重启SSH后进行测试

SSH详解-1.ssh基础知识

SSH详解-2.ssh基本用法

SSH详解-3.密钥登陆

SSH详解-4.多个ssh公钥

在上一篇中我们了解到了ssh基本用法，ssh通过密码进行登录。密码登录存在很多问题。密码太简单，又不安全。密码太复杂，不容易记，而且每次登录都要输入很麻烦。于是就有了密钥登陆。

什么是密钥(key)？

ssh密钥登录采用的是 非对称加密 。

非对称密钥加密系统，又称公钥密钥加密。它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥（public key）和，另一个由用户自己秘密保存，即私用密钥（private key）。

如果数据使用公钥加密，那么只有使用对应的私钥才能解密，其他密钥都不行；反过来，如果使用私钥加密（这个过程一般称为“签名”），也只有使用对应的公钥解密。

了解完密钥后，接下来看看密钥登录的过程，SSH 密钥登录分为以下的步骤。

第零步，准备步骤客户端通过 ssh-keygen 生成自己的公钥和私钥，并将公钥放入远程服务器的指定位置。

第一步，用户客户端向服务器发起SSH登录的请求。

第二步，服务器收到用户SSH登录的请求，服务器生成一些随机数据发送给客户端。

第三步，客户端接收到服务器发过来的数据，客户端使用私钥对数据进行签名后再返回给服务器。

第四步，服务器收到客户端加密后的数据，使用对应公钥进行解密。然后判断解密后的数据是否与原始数据一致，如果一致就允许用户登录。

ssh-keygen 是OpenSSH提供的一个命令行工具，用于生成密钥登录所需的公钥和私钥。

在上面的例子中，我使用了-t参数来指定加密算法，一遍会选择rsa或者dsa。

第一个问题，问我要保存在哪？（直接Enter默认会保存在~/.ssh/id_rsa中）因为我之前已经生成过密钥了，我就保存在tenxun里面。

第二个问题，询问是否要为私钥文件设定密码保护（passphrase）。这样的话，即使入侵者拿到私钥，还是需要破解密码。如果为了方便，不想设定密码保护，可以直接按回车键，密码就会为空。

最后，就会生成私钥和公钥，屏幕上还会给出公钥的指纹，以及当前的用户名和主机名作为注释，用来识别密钥的来源。

从上面的公钥中我们可以看到末尾的公钥注释 23696@DESKTOP-GKRBCVI

公钥注释可以用来识别不同的公钥，表示这是哪台主机（DESKTOP-GKRBCVI）的哪个用户（username）的公钥。

注意 ，公钥只有一行。因为它太长了，显示的时候可能自动换行了。

OpenSSH 规定，用户公钥保存在服务器的 ~/.ssh/authorized_keys 文件。你要以哪个用户的身份登录到服务器，密钥就必须保存在该用户主目录的~/.ssh/authorized_keys文件。只要把公钥添加到这个文件之中，就相当于公钥上传到服务器了。每个公钥占据一行。如果该文件不存在，可以手动创建。

-i 指定要上传公钥（公钥文件可以不指定路径和 .pub 后缀名），user是所要登录的用户名，hostname是主机名，这两个参数与ssh 登录命令是一致。

特别注意 ，不是把公钥上传上去就行了，还需要把 authorized_keys 文件的权限要设为644，即只有文件所有者才能写。如果权限设置不对，SSH服务器可能会拒绝读取该文件，导致密钥登录失效，登录的时候还需要输入密码。

提到输入密码，如果再生成公钥和私钥的时候设置了密码，使用密钥登录的时候也需要输入私钥的密码，这样可以防止他人非法窃取了私钥。

私钥设置了密码以后，每次使用都必须输入私钥密码，这个问题可以使用 ssh-agent 命令解决。

百度百科-密钥

Git - 生成 SSH 公钥 (git-scm.com)

ssh(1) - OpenBSD manual pages

---