Это команда ssh-keygen, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
SSH-серийник - генерация, управление и преобразование ключей аутентификации
СИНТАКСИС
SSH-серийник [-q] [-b биты] [-t АСС | ECDSA | ed25519 | RSA | rsa1] [-N новая_парольная фраза]
[-C комментарий] [-f выходной_ключевой файл]
SSH-серийник -p [-P старая_парольная фраза] [-N новая_парольная фраза] [-f ключевой файл]
SSH-серийник -i [-m ключевой_формат] [-f input_keyfile]
SSH-серийник -e [-m ключевой_формат] [-f input_keyfile]
SSH-серийник -y [-f input_keyfile]
SSH-серийник -c [-P фраза] [-C комментарий] [-f ключевой файл]
SSH-серийник -l [-v] [-E отпечаток пальца_хэш] [-f input_keyfile]
SSH-серийник -B [-f input_keyfile]
SSH-серийник -D pkcs11
SSH-серийник -F хоста [-f известный_хост_файл] [-l]
SSH-серийник -H [-f известный_хост_файл]
SSH-серийник -R хоста [-f известный_хост_файл]
SSH-серийник -r хоста [-f input_keyfile] [-g]
SSH-серийник -G выходной файл [-v] [-b биты] [-M Память] [-S Начальная точка]
SSH-серийник -T выходной файл -f входной_файл [-v] [-a туры] [-J количество_линий] [-j начальная_строка]
[-K проверка] [-W генератор]
SSH-серийник -s ca_key -I сертификат_идентичность [-h] [-n директора школы] [-O вариант]
[-V действительность_интервал] [-z серийный номер] файл ...
SSH-серийник -L [-f input_keyfile]
SSH-серийник -A
SSH-серийник -k -f krl_file [-u] [-s ca_public] [-z номер версии] файл ...
SSH-серийник -Q -f krl_file файл ...
ОПИСАНИЕ
SSH-серийник генерирует, управляет и преобразует ключи аутентификации для SSH(1). SSH-серийник
создавать ключи для использования в протоколах SSH версий 1 и 2. Протокол 1 не должен использоваться и
предлагается только для поддержки устаревших устройств. Он страдает рядом криптографических
слабые места и не поддерживает многие расширенные функции, доступные для протокола 2.
Тип создаваемого ключа указывается с помощью -t вариант. Если вызывается без каких-либо
аргументы, SSH-серийник сгенерирует ключ RSA для использования в соединениях по протоколу SSH 2.
SSH-серийник также используется для создания групп для использования в обмене группами Диффи-Хеллмана (DH-
GEX). Увидеть МОДУЛИ ПОКОЛЕНИЕ раздел для деталей.
Наконец, SSH-серийник может использоваться для создания и обновления списков отзыва ключей, а также для тестирования
были ли данные ключи отозваны одним. Увидеть KEY ОТЗЫВ СПИСКИ раздел для
Обычно каждый пользователь, желающий использовать SSH с аутентификацией с открытым ключом, запускает это один раз, чтобы
создать ключ аутентификации в ~ / .ssh / идентичность, ~ / .ssh / id_dsa, ~ / .ssh / id_ecdsa,
~ / .ssh / id_ed25519 or ~ / .ssh / id_rsa. Кроме того, системный администратор может использовать это для
генерировать ключи хоста.
Обычно эта программа генерирует ключ и запрашивает файл, в котором будет храниться личная информация.
ключ. Открытый ключ хранится в файле с тем же именем, но с добавлением «.pub». В
программа также запрашивает кодовую фразу. Кодовая фраза может быть пустой, что означает отсутствие ключевой фразы.
(ключи хоста должны иметь пустую парольную фразу) или это может быть строка произвольной длины. А
Кодовая фраза похожа на пароль, за исключением того, что это может быть фраза, состоящая из ряда слов,
пунктуация, числа, пробелы или любая строка символов по вашему выбору. Хорошие парольные фразы
имеют длину 10–30 символов, не являются простыми предложениями или легко угадываются (английский
проза имеет только 1-2 бита энтропии на символ и предоставляет очень плохие парольные фразы), и
содержат сочетание прописных и строчных букв, цифр и не буквенно-цифровых символов. В
парольную фразу можно изменить позже, используя -p опцию.
Невозможно восстановить утерянную кодовую фразу. Если кодовая фраза утеряна или забыта, новая
ключ должен быть сгенерирован, а соответствующий открытый ключ скопирован на другие машины.
Для ключей RSA1 в файле ключей также есть поле комментария, которое используется только для удобства
пользователю, чтобы помочь идентифицировать ключ. Комментарий может сказать, для чего нужен ключ или что-то еще.
полезный. Комментарий инициализируется как «user @ host» при создании ключа, но может быть
изменено с помощью -c опцию.
После того, как ключ будет сгенерирован, в приведенных ниже инструкциях подробно описано, где ключи должны быть размещены.
активируется.
Возможны следующие варианты:
-A Для каждого из типов ключей (rsa1, rsa, dsa, ecdsa и ed25519), для которых используются ключи хоста
не существует, сгенерируйте ключи хоста с путем к файлу ключей по умолчанию, пустым
кодовая фраза, биты по умолчанию для типа ключа и комментарий по умолчанию. Это используется
сценарии системного администрирования для генерации новых ключей хоста.
-a туры
При сохранении закрытого ключа нового формата (например, ключа ed25519 или любого ключа протокола SSH 2
когда окно -o установлен флаг), в этой опции указывается количество KDF (вывод ключа
функция) раунды использовались. Более высокие числа приводят к более медленной проверке парольной фразы и
повышенная устойчивость к взлому пароля методом перебора (в случае кражи ключей).
При отборе кандидатов DH-GEX (с помощью -T команда). Эта опция определяет
количество тестов на простоту, которые нужно выполнить.
-B Показать пузырчатый дайджест указанного файла с закрытым или открытым ключом.
-b биты
Задает количество бит в создаваемом ключе. Для ключей RSA минимальный размер
составляет 1024 бит, а значение по умолчанию - 2048 бит. Обычно считается 2048 бит.
достаточный. Ключи DSA должны быть точно 1024 бит, как указано в FIPS 186-2. Для
Ключи ECDSA, -b флаг определяет длину ключа, выбирая один из трех
Размеры эллиптических кривых: 256, 384 или 521 бит. Попытка использовать другую битовую длину
чем эти три значения для ключей ECDSA не сработают. Ключи Ed25519 имеют фиксированную длину
и -b флаг будет проигнорирован.
-C комментарий
Предоставляет новый комментарий.
-c Запрашивает изменение комментария в файлах закрытого и открытого ключей. Эта операция
поддерживается только для ключей RSA1. Программа запросит файл, содержащий
закрытые ключи, для ключевой фразы, если она есть в ключе, и для нового комментария.
-D pkcs11
Загрузите открытые ключи RSA, предоставленные общей библиотекой PKCS # 11. pkcs11. Когда
используется в сочетании с -s, этот параметр указывает, что ключ CA находится в
Токен PKCS # 11 (см. СЕРТИФИКАТЫ раздел для деталей).
-E отпечаток пальца_хэш
Задает алгоритм хеширования, используемый при отображении отпечатков пальцев. Допустимые варианты
являются: «md5» и «sha256». По умолчанию - «sha256».
-e Эта опция будет читать частный или общедоступный файл ключа OpenSSH и печатать на стандартный вывод
введите один из форматов, указанных -m вариант. Формат экспорта по умолчанию:
«RFC4716». Эта опция позволяет экспортировать ключи OpenSSH для использования другими программами,
включая несколько коммерческих реализаций SSH.
-F хоста
Искать указанный хоста в известные_хосты файл, перечисляя все вхождения
нашел. Эта опция полезна для поиска хешированных имен или адресов хостов, а также может быть
используется вместе с -H возможность распечатать найденные ключи в хешированном формате.
-f имя файла
Задает имя файла ключа.
-G выходной файл
Сгенерируйте простые числа-кандидаты для DH-GEX. Эти праймы должны быть проверены на безопасность.
(с использованием -T вариант) перед использованием.
-g Используйте общий формат DNS при печати записей ресурсов отпечатков пальцев с помощью -r
команда.
-H Хешировать известные_хосты файл. Это заменяет все имена хостов и адреса хешированными
представления в указанном файле; исходное содержимое перемещается в файл
с суффиксом .old. Эти хэши могут нормально использоваться SSH и SSHD, но они делают
не раскрывать идентифицирующую информацию в случае разглашения содержимого файла. Этот
опция не изменяет существующие хешированные имена хостов и поэтому безопасна для использования на
файлы, которые смешивают хешированные и нехешированные имена.
-h При подписании ключа создайте сертификат хоста вместо сертификата пользователя. Пожалуйста
см. СЕРТИФИКАТЫ раздел для деталей.
-I сертификат_идентичность
Укажите идентификатор ключа при подписании открытого ключа. Пожалуйста, посмотрите СЕРТИФИКАТЫ
раздел для деталей.
-i Эта опция будет читать незашифрованный файл закрытого (или открытого) ключа в формате
определяется -m вариант и распечатать закрытый (или открытый) ключ, совместимый с OpenSSH
в стандартный вывод. Эта опция позволяет импортировать ключи из другого программного обеспечения, включая несколько
коммерческие реализации SSH. Формат импорта по умолчанию - «RFC4716».
-J количество_линий
Выйти после проверки указанного количества строк при выполнении кандидата DH
скрининг с использованием -T опцию.
-j начальная_строка
Начать проверку с указанного номера строки при выполнении проверки кандидатов DH
используя -T опцию.
-K проверка
Записать последнюю обработанную строку в файл проверка при выполнении кандидата DH
скрининг с использованием -T вариант. Это будет использоваться для пропуска строк во входном файле
которые уже были обработаны, если задание будет перезапущено.
-k Создайте файл KRL. В этом режиме SSH-серийник создаст файл KRL в
место, указанное через -f флаг, отменяющий каждый представленный ключ или сертификат
в командной строке. Ключи / сертификаты, которые нужно отозвать, могут быть указаны с помощью открытого ключа
файл или используя формат, описанный в KEY ОТЗЫВ СПИСКИ .
-L Печатает содержимое одного или нескольких сертификатов.
-l Показать отпечаток указанного файла открытого ключа. Частные ключи RSA1 также
поддерживается. Для ключей RSA и DSA SSH-серийник пытается найти соответствующий открытый ключ
файл и распечатывает его отпечаток пальца. В сочетании с -v, художественное представление ASCII
ключа поставляется с отпечатком пальца.
-M Память
Укажите объем памяти, который будет использоваться (в мегабайтах) при создании модулей-кандидатов
для DH-GEX.
-m ключевой_формат
Укажите ключевой формат для -i (импорт) или -e (экспорт) варианты преобразования. В
поддерживаемые форматы ключей: «RFC4716» (открытый или закрытый ключ RFC 4716 / SSH2), «PKCS8»
(Открытый ключ PEM PKCS8) или «PEM» (открытый ключ PEM). Формат преобразования по умолчанию:
«RFC4716».
-N новая_парольная фраза
Предоставляет новую кодовую фразу.
-n директора школы
Укажите одного или нескольких участников (имена пользователей или хостов), которые будут включены в сертификат.
при подписании ключа. Можно указать несколько участников, разделенных запятыми.
Пожалуйста, обратитесь к СЕРТИФИКАТЫ раздел для деталей.
-O вариант
Укажите параметр сертификата при подписании ключа. Этот вариант может быть указан
многократно. Пожалуйста, посмотрите СЕРТИФИКАТЫ раздел для деталей. Варианты, которые
действительны для пользовательских сертификатов:
Очистить Очистите все включенные разрешения. Это полезно для очистки набора по умолчанию
разрешений, поэтому разрешения могут быть добавлены индивидуально.
Force-Command=команду
Принуждает к исполнению команду вместо любой оболочки или команды, указанной
пользователь, когда сертификат используется для аутентификации.
пересылка без агента
Отключить SSH-агент(1) пересылка (по умолчанию разрешена).
без переадресации портов
Отключить переадресацию портов (по умолчанию разрешено).
нет Отключить выделение PTY (по умолчанию разрешено).
нет-пользователь-rc
Отключить выполнение ~ / .ssh / rc by SSHD(8) (разрешено по умолчанию).
нет-x11-переадресация
Отключить пересылку X11 (по умолчанию разрешено).
агент-экспедитор
Позволяет SSH-агент(1) пересылка.
разрешение-переадресация порта
Разрешает переадресацию портов.
разрешение
Разрешает размещение PTY.
разрешение-пользователь-RC
Позволяет выполнять ~ / .ssh / rc by SSHD(8).
разрешение-x11-пересылка
Разрешает пересылку X11.
адрес источника=список_адресов
Ограничьте исходные адреса, с которых считается сертификат
действительный. В список_адресов это список из одного или нескольких разделенных запятыми
пары адрес / маска сети в формате CIDR.
В настоящее время для ключей хоста нет опций.
-o Причины SSH-серийник для сохранения закрытых ключей с использованием нового формата OpenSSH, а не
более совместимый формат PEM. В новом формате повышена устойчивость к брутфорсу.
взлом пароля, но не поддерживается версиями OpenSSH до 6.5. Ed25519
ключи всегда используют новый формат закрытого ключа.
-P фраза
Предоставляет (старую) кодовую фразу.
-p Запрашивает изменение парольной фразы файла закрытого ключа вместо создания нового
закрытый ключ. Программа запросит файл, содержащий закрытый ключ, для
старая кодовая фраза и дважды для новой кодовой фразы.
-Q Проверьте, были ли отозваны ключи в KRL.
-q Молчание SSH-серийник.
-R хоста
Удаляет все ключи, принадлежащие хоста от известные_хосты файл. Этот вариант
полезно для удаления хешированных хостов (см. -H вариант выше).
-r хоста
Распечатайте запись ресурса отпечатка пальца SSHFP с именем хоста для указанной общественности
ключевой файл.
-S Начало
Укажите начальную точку (в шестнадцатеричном формате) при создании модулей-кандидатов для DH-GEX.
-s ca_key
Сертифицировать (подписать) открытый ключ с помощью указанного ключа CA. Пожалуйста, посмотрите СЕРТИФИКАТЫ
раздел для деталей.
При создании KRL, -s указывает путь к файлу открытого ключа CA, который используется для отзыва
сертификаты напрямую по идентификатору ключа или серийному номеру. Увидеть KEY ОТЗЫВ СПИСКИ
раздел для деталей.
-T выходной файл
Тестовые простые числа кандидатов на обмен группы DH (сгенерированные с использованием -G вариант) для безопасности.
-t АСС | ECDSA | ed25519 | RSA | rsa1
Задает тип создаваемого ключа. Возможные значения: «rsa1» для протокола.
версия 1 и «dsa», «ecdsa», «ed25519» или «rsa» для версии протокола 2.
-u Обновите KRL. Когда указано с -k, ключи, перечисленные в командной строке, добавляются в
существующий KRL, а не создаваемый новый KRL.
-V действительность_интервал
Укажите срок действия при подписании сертификата. Срок действия может
состоят из одного времени, указывающего, что сертификат действителен, начиная с настоящего момента и
истекает в это время или может состоять из двух раз, разделенных двоеточием, чтобы указать
явный временной интервал. Время начала можно указать как дату в формате ГГГГММДД.
формат, время в формате ГГГГММДДЧЧММСС или относительное время (относительно текущего времени)
состоящий из знака минус, за которым следует относительное время в формате, описанном в
раздел ФОРМАТЫ ВРЕМЕНИ sshd_config(5). Время окончания может быть указано как
ГГГГММДД дата, время ГГГГММДДЧЧММСС или относительное время, начинающееся с плюса
характер.
Например: «+ 52w1d» (действительно до 52 недель и одного дня с этого момента), «-4w: + 4w»
(действительно с четырех недель назад до четырех недель с настоящего момента), «20100101123000: 20110101123000»
(действует с 12:30 1 января 2010 г. до 12:30 1 января 2011 г.),
«-1d: 20110101» (действует со вчерашнего дня до полуночи 1 января 2011 г.).
-v Подробный режим. Причины SSH-серийник распечатать отладочные сообщения о его ходе.
Это полезно для отладки генерации модулей. Несколько -v варианты увеличивают
многословие. Максимум 3.
-W генератор
Укажите желаемый генератор при тестировании модулей-кандидатов для DH-GEX.
-y Эта опция будет читать частный файл формата OpenSSH и печатать открытый ключ OpenSSH.
в стандартный вывод.
-z серийный номер
Задает серийный номер, который будет встроен в сертификат, чтобы отличить этот
сертификат от других из того же ЦС. Серийный номер по умолчанию равен нулю.
При создании KRL -z Флаг используется для указания номера версии KRL.
МОДУЛИ ПОКОЛЕНИЕ
SSH-серийник может использоваться для создания групп для обмена группами Диффи-Хеллмана (DH-GEX)
протокол. Создание этих групп - это двухэтапный процесс: во-первых, простые числа кандидатов
генерируется с помощью быстрого, но интенсивного процесса памяти. Эти простые числа-кандидаты затем
проверено на пригодность (процесс, требующий интенсивного использования ЦП).
Генерация простых чисел выполняется с помощью -G вариант. Желаемая длина простых чисел может
быть уточненным -b вариант. Например:
# ssh-keygen -G модули-2048.кандидаты -b 2048
По умолчанию поиск простых чисел начинается в случайной точке в желаемом диапазоне длин.
Это можно изменить, используя -S параметр, который указывает другую начальную точку (в
шестнадцатеричный).
После того, как набор кандидатов сформирован, они должны быть проверены на пригодность. Этот
может выполняться с помощью -T вариант. В этом режиме SSH-серийник будет читать кандидатов из
стандартный ввод (или файл, указанный с помощью -f вариант). Например:
# ssh-keygen -T модули-2048 -f модули-2048.кандидаты
По умолчанию каждый кандидат будет подвергнут 100 тестам на простоту. Это может быть отменено
используя -a вариант. Значение генератора ЦТ будет выбрано автоматически для первичного
на рассмотрении. Если требуется конкретный генератор, его можно запросить с помощью -W
вариант. Допустимые значения генератора: 2, 3 и 5.
Экранированные группы ЦО могут быть установлены в / и т.д. / SSH / модули. Важно, чтобы этот файл
содержит модули разной длины в битах, и оба конца соединения имеют общие
модули.
СЕРТИФИКАТЫ
SSH-серийник поддерживает подписание ключей для создания сертификатов, которые могут использоваться для пользователя или
аутентификация хоста. Сертификаты состоят из открытого ключа, некоторой идентификационной информации и нуля.
или несколько основных (пользователей или хостов) имен и набор параметров, подписанных
Ключ центра сертификации (CA). Тогда клиенты или серверы могут доверять только ключу CA и
проверять свою подпись на сертификате, а не доверять многим ключам пользователя / хоста. Обратите внимание, что
Сертификаты OpenSSH - это другой и гораздо более простой формат сертификатов X.509.
используется в SSL(8).
SSH-серийник поддерживает два типа сертификатов: пользовательский и хост. Сертификаты пользователей
аутентифицируют пользователей на серверах, тогда как сертификаты хостов аутентифицируют хосты серверов для пользователей.
Чтобы сгенерировать сертификат пользователя:
$ ssh-keygen -s / путь / к / ca_key -I key_id /path/to/user_key.pub
Полученный сертификат будет помещен в /путь/к/user_key-cert.pub. Сертификат хоста
требует -h опции:
$ ssh-keygen -s / путь / к / ca_key -I key_id -h /path/to/host_key.pub
Сертификат хоста будет выведен на /путь/к/host_key-cert.pub.
Можно подписать с помощью ключа CA, хранящегося в токене PKCS # 11, предоставив токен
библиотека, использующая -D и идентифицируя ключ CA, предоставляя его открытую половину в качестве аргумента
-s:
$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub
Во всех случаях, KEY_ID "ключевой идентификатор", который регистрируется сервером, когда сертификат
используется для аутентификации.
Сертификаты могут быть ограничены, чтобы быть действительными для набора основных (пользователь / хост) имен. К
по умолчанию сгенерированные сертификаты действительны для всех пользователей или хостов. Для создания сертификата
для указанного набора принципалов:
$ ssh-keygen -s ca_key -I key_id -n user1, user2 user_key.pub
$ ssh-keygen -s ca_key -I идентификатор_ключа -h -n host.domain host_key.pub
Дополнительные ограничения на срок действия и использование пользовательских сертификатов могут быть указаны через
параметры сертификата. Параметр сертификата может отключать функции сеанса SSH, может быть
действителен только при представлении с определенных адресов источника или может вынудить использовать
конкретная команда. Список допустимых вариантов сертификатов см. В документации по -O
вариант выше.
Наконец, сертификаты могут быть определены со сроком действия. В -V опция позволяет
указание времени начала и окончания сертификата. Сертификат, который предъявляется единовременно
вне этого диапазона не будет считаться действительным. По умолчанию сертификаты действительны с
Эпоха UNIX в далекое будущее.
Чтобы сертификаты использовались для аутентификации пользователя или хоста, открытый ключ CA должен быть
доверяет SSHD(8) или SSH(1). Пожалуйста, обратитесь к этим страницам руководства для получения подробной информации.
KEY ОТЗЫВ СПИСКИ
SSH-серийник может управлять списками отзыва ключей (KRL) в формате OpenSSH. Эти двоичные файлы
укажите ключи или сертификаты, которые необходимо отозвать, используя компактный формат, занимая всего один
бит на сертификат, если они отзываются по серийному номеру.
KRL могут быть созданы с использованием -k флаг. Эта опция считывает один или несколько файлов из
командная строка и генерирует новый KRL. Файлы могут содержать спецификацию KRL (см.
ниже) или открытые ключи, перечисленные по одному в каждой строке. Обычные открытые ключи отзываются путем перечисления их
хэш или содержимое KRL и сертификаты, отозванные по серийному номеру или идентификатору ключа (если
серийный номер равен нулю или недоступен).
Отзыв ключей с использованием спецификации KRL предлагает явный контроль над типами записей.
используется для отзыва ключей и может использоваться для прямого отзыва сертификатов по серийному номеру или ключу
Удостоверение личности без наличия полного оригинала сертификата. Спецификация KRL состоит из
строк, содержащих одну из следующих директив, за которыми следует двоеточие и некоторые директивы:
конкретная информация.
последовательный: серийный номер[-серийный номер]
Отзывает сертификат с указанным серийным номером. Серийные номера 64-битные
значения, кроме нуля, и могут быть выражены в десятичном, шестнадцатеричном или восьмеричном формате. Если два
серийные номера указываются через дефис, затем диапазон серийных номеров
в том числе и между каждым отменяется. Ключ CA должен быть указан на
SSH-серийник командная строка с помощью -s опцию.
id: KEY_ID
Отзывает сертификат с указанной строкой идентификатора ключа. Ключ CA должен был быть
указано на SSH-серийник командная строка с помощью -s опцию.
ключ: открытый_ключ
Отменяет указанный ключ. Если сертификат указан, то он аннулируется как
простой открытый ключ.
sha1: открытый_ключ
Отменяет указанный ключ по его хешу SHA1.
KRL могут быть обновлены с помощью -u флаг в дополнение к -k. Когда указана эта опция,
ключи, перечисленные в командной строке, объединяются в KRL, добавляя к уже существующим.
Также возможно, учитывая KRL, чтобы проверить, отменяет ли он конкретный ключ (или ключи).
Команда -Q flag будет запрашивать существующий KRL, проверяя каждый ключ, указанный в командной строке. Если
любой ключ, указанный в командной строке, был отозван (или возникла ошибка), тогда
SSH-серийник выйдет с ненулевым статусом выхода. Будет возвращен только нулевой статус выхода.
если ни один ключ не был отозван.
Используйте ssh-keygen онлайн с помощью сервисов onworks.net
