这是 ssh-keygen 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
SSH-凯基 — 认证密钥生成、管理和转换
概要
SSH-凯基 [-q[-b 位[-t dsa | 电子病历 | ed25519 | RSA | rsa1[-N 新密码]
[-C 评论[-f 输出密钥文件]
SSH-凯基 -p [-P 旧密码[-N 新密码[-f 密钥文件]
SSH-凯基 -i [-m 密钥格式[-f 输入密钥文件]
SSH-凯基 -e [-m 密钥格式[-f 输入密钥文件]
SSH-凯基 -y [-f 输入密钥文件]
SSH-凯基 -c [-P 通关密语[-C 评论[-f 密钥文件]
SSH-凯基 -l [-v[-E 指纹哈希[-f 输入密钥文件]
SSH-凯基 -B [-f 输入密钥文件]
SSH-凯基 -D pkcs11
SSH-凯基 -F 主机 [-f 已知主机文件[-l]
SSH-凯基 -H [-f 已知主机文件]
SSH-凯基 -R 主机 [-f 已知主机文件]
SSH-凯基 -r 主机 [-f 输入密钥文件[-g]
SSH-凯基 -G 输出文件 [-v[-b 位[-M 记忆[-S 起点]
SSH-凯基 -T 输出文件 -f 输入文件 [-v[-a 轮[-J 行数[-j 起始行]
[-K 检查点[-W 发电机]
SSH-凯基 -s ca_key -I 证书_身份 [-h[-n 校长[-O 选项]
[-V 有效性_间隔[-z 序列号] 文件 ...
SSH-凯基 -L [-f 输入密钥文件]
SSH-凯基 -A
SSH-凯基 -k -f krl_文件 [-u[-s ca_public[-z 版本号] 文件 ...
SSH-凯基 -Q -f krl_文件 文件 ...
商品描述
SSH-凯基 生成、管理和转换认证密钥 SSH(1)。 SSH-凯基 能够
创建供 SSH 协议版本 1 和 2 使用的密钥。不应使用协议 1,它是
仅提供支持旧设备。 它受到许多密码学的影响
弱点,并且不支持协议 2 可用的许多高级功能。
要生成的密钥类型由 -t 选项。 如果没有任何调用
论据, SSH-凯基 将生成用于 SSH 协议 2 连接的 RSA 密钥。
SSH-凯基 也用于生成用于 Diffie-Hellman 组交换 (DH-
GEX)。 见 模数 代 详细信息。
最后, SSH-凯基 可用于生成和更新密钥撤销列表,以及测试
给定的密钥是否已被一个人撤销。 见 KEY 撤销 LISTS 对于部分
细节。
通常每个希望使用带有公钥认证的 SSH 的用户运行一次
在中创建身份验证密钥 ~/.ssh/身份, 〜/ .ssh / id_dsa, 〜/.ssh/id_ecdsa,
〜/.ssh/id_ed25519 or 〜/ .ssh / id_rsa. 此外,系统管理员可以使用它来
生成主机密钥。
通常这个程序会生成密钥并要求一个文件来存储私有的
钥匙。 公钥存储在同名但附加“.pub”的文件中。 这
程序还要求输入密码。 密码可能为空以表示没有密码
(主机密钥必须有一个空密码),或者它可以是任意长度的字符串。 一种
密码短语类似于密码,但它可以是包含一系列单词的短语,
标点符号、数字、空格或任何您想要的字符串。 好密码
长度为 10-30 个字符,不是简单的句子或其他容易猜到的(英语)
散文每个字符只有 1-2 位熵,并且提供了非常糟糕的密码),以及
包含大小写字母、数字和非字母数字字符的混合。 这
密码可以稍后通过使用更改 -p 选项。
没有办法恢复丢失的密码。 如果密码丢失或忘记,则需要一个新的
必须生成密钥并将相应的公钥复制到其他机器上。
对于 RSA1 密钥,密钥文件中还有一个注释字段,只是为了方便
帮助用户识别密钥。 注释可以说明密钥的用途,或者是什么
有用。 注释在创建密钥时被初始化为“user@host”,但可以
使用 -c 选项。
生成密钥后,下面的说明会详细说明应将密钥放置在何处
活性。
选项如下:
-A 对于主机密钥执行的每种密钥类型(rsa1、rsa、dsa、ecdsa 和 ed25519)
不存在,用默认的密钥文件路径生成主机密钥,一个空的
密码、密钥类型的默认位和默认注释。 这是由
用于生成新主机密钥的系统管理脚本。
-a 轮
保存新格式的私钥(即 ed25519 密钥或任何 SSH 协议 2 密钥)时
当 -o 标志已设置),该选项指定 KDF(密钥派生
函数)使用的轮次。 数字越大,密码验证越慢,
增加对暴力密码破解的抵抗力(如果密钥被盗)。
在筛选 DH-GEX 候选对象时(使用 -T 命令)。 此选项指定
要执行的素性测试的数量。
-B 显示指定私钥或公钥文件的气泡摘要。
-b 位
指定要创建的密钥中的位数。 对于 RSA 密钥,最小大小
是 1024 位,默认是 2048 位。 一般考虑2048位
充足的。 DSA 密钥必须正好是 FIPS 1024-186 指定的 2 位。 为了
ECDSA 密钥 -b 标志通过从三个中选择一个来确定密钥长度
椭圆曲线大小:256、384 或 521 位。 尝试使用其他位长
ECDSA 密钥的这三个值将失败。 Ed25519 键有固定长度
和 -b 标志将被忽略。
-C 评论
提供新评论。
-c 请求更改私钥和公钥文件中的注释。 这个操作
仅支持 RSA1 密钥。 程序将提示输入包含
私钥、密码短语(如果密钥有的话)和新评论。
-D pkcs11
下载 PKCS#11 共享库提供的 RSA 公钥 pkcs11。 何时
与...结合使用 -s, 此选项表示 CA 密钥驻留在
PKCS#11 令牌(请参阅 证书 部分了解详情)。
-E 指纹哈希
指定显示密钥指纹时使用的哈希算法。 有效选项
是:“md5”和“sha256”。 默认值为“sha256”。
-e 此选项将读取私有或公共 OpenSSH 密钥文件并打印到标准输出
键入指定的格式之一 -m 选项。 默认导出格式为
“RFC4716”。 此选项允许导出 OpenSSH 密钥以供其他程序使用,
包括几个商业 SSH 实现。
-F 主机
搜索指定的 主机 育明在 已知主机 文件,列出任何事件
成立。 此选项对于查找散列的主机名或地址很有用,也可能是
与 -H 以散列格式打印找到的键的选项。
-f 文件名
指定密钥文件的文件名。
-G 输出文件
为 DH-GEX 生成候选素数。 这些素数必须经过安全筛选
(使用 -T 选项)在使用前。
-g 打印指纹资源记录时使用通用 DNS 格式 -r
命令。
-H 散列一个 已知主机 文件。 这将用散列替换所有主机名和地址
指定文件中的表示; 原始内容被移动到一个文件
带有 .old 后缀。 这些散列通常可以由 SSH 和 sshd的,但他们确实
如果文件的内容被披露,则不披露识别信息。 这个
选项不会修改现有的散列主机名,因此可以安全地使用
混合散列和非散列名称的文件。
-h 签署密钥时,创建主机证书而不是用户证书。 请
看到 证书 详细信息。
-I 证书_身份
签名公钥时指定密钥身份。 请参阅 证书
详细信息。
-i 此选项将以以下格式读取未加密的私钥(或公钥)文件
由指定 -m 选项并打印 OpenSSH 兼容的私有(或公共)密钥
到标准输出。 此选项允许从其他软件导入密钥,包括几个
商业 SSH 实现。 默认导入格式为“RFC4716”。
-J 行数
执行DH候选筛选指定行数后退出
筛选使用 -T 选项。
-j 起始行
在执行 DH 候选筛选时从指定的行号开始筛选
使用 -T 选项。
-K 检查点
将处理的最后一行写入文件 检查点 在执行 DH 候选人时
筛选使用 -T 选项。 这将用于跳过输入文件中的行
如果作业重新启动,则已经处理过。
-k 生成 KRL 文件。 在这种模式下, SSH-凯基 将在以下位置生成 KRL 文件
通过指定的位置 -f 撤销每个密钥或证书的标志
在命令行上。 被撤销的密钥/证书可以由公钥指定
文件或使用中描述的格式 KEY 撤销 LISTS 部分。
-L 打印一份或多份证书的内容。
-l 显示指定公钥文件的指纹。 私有 RSA1 密钥也是
支持的。 对于 RSA 和 DSA 密钥 SSH-凯基 尝试找到匹配的公钥
文件并打印其指纹。 如果结合 -v, ASCII 艺术表现形式
密钥随指纹一起提供。
-M 记忆
指定生成候选模时要使用的内存量(以兆字节为单位)
对于 DH-GEX。
-m 密钥格式
指定密钥格式 -i (进口)或 -e (导出)转换选项。 这
支持的密钥格式有:“RFC4716”(RFC 4716/SSH2 公钥或私钥)、“PKCS8”
(PEM PKCS8 公钥)或“PEM”(PEM 公钥)。 默认的转换格式是
“RFC4716”。
-N 新密码
提供新密码。
-n 校长
指定要包含在证书中的一个或多个主体(用户名或主机名)
签署密钥时。 可以指定多个主体,用逗号分隔。
请参阅 证书 详细信息。
-O 选项
签名密钥时指定证书选项。 可以指定此选项
多次。 请参阅 证书 部分了解详情。 选项
对用户证书有效的是:
清除 清除所有启用的权限。 这对于清除默认设置很有用
权限,因此可以单独添加权限。
强制指挥=命令
强制执行 命令 而不是由指定的任何 shell 或命令
使用证书进行身份验证时的用户。
无代理转发
关闭 SSH代理(1)转发(默认允许)。
无端口转发
禁用端口转发(默认允许)。
禁止 禁用 PTY 分配(默认允许)。
无用户-rc
禁用执行 〜/ .ssh / rc by sshd的(8)(默认允许)。
no-x11-转发
禁用 X11 转发(默认允许)。
许可代理转发
允许 SSH代理(1) 转发。
许可端口转发
允许端口转发。
许可
允许 PTY 分配。
许可-用户-rc
允许执行 〜/ .ssh / rc by sshd的(8)。
允许-x11-转发
允许 X11 转发。
源地址=地址列表
限制考虑证书的源地址
有效的。 这 地址列表 是一个或多个逗号分隔的列表
CIDR 格式的地址/网络掩码对。
目前,没有选项对主机密钥有效。
-o 原因 SSH-凯基 使用新的 OpenSSH 格式而不是
更兼容的 PEM 格式。 新格式增加了对蛮力的抵抗力
密码破解,但 6.5 之前的 OpenSSH 版本不支持。 Ed25519
密钥始终使用新的私钥格式。
-P 通关密语
提供(旧)密码。
-p 请求更改私钥文件的密码而不是创建新的
私钥。 程序将提示输入包含私钥的文件,例如
旧密码,新密码两次。
-Q 测试 KRL 中的密钥是否已被撤销。
-q 沉默 SSH-凯基.
-R 主机
删除所有属于 主机 从 已知主机 文件。 这个选项是
对删除散列主机很有用(请参阅 -H 以上选项)。
-r 主机
打印名为的 SSHFP 指纹资源记录 主机 为特定公众
密钥文件。
-S 开始
为 DH-GEX 生成候选模数时指定起点(以十六进制表示)。
-s ca_key
使用指定的 CA 密钥验证(签名)公钥。 请参阅 证书
详细信息。
在生成 KRL 时, -s 指定用于撤销的 CA 公钥文件的路径
证书直接通过密钥 ID 或序列号。 见 KEY 撤销 LISTS
详细信息。
-T 输出文件
测试 DH 组交换候选素数(使用 -G 选项)以确保安全。
-t dsa | 电子病历 | ed25519 | RSA | rsa1
指定要创建的密钥类型。 协议的可能值为“rsa1”
版本 1 和协议版本 25519 的“dsa”、“ecdsa”、“ed2”或“rsa”。
-u 更新 KRL。 当指定时 -k, 通过命令行列出的键被添加到
现有 KRL 而不是正在创建的新 KRL。
-V 有效性_间隔
签署证书时指定有效期间隔。 一个有效间隔可能
由单个时间组成,表示证书从现在开始有效,并且
在那个时候到期,或者可能由两个以冒号分隔的时间组成,以表示
一个明确的时间间隔。 开始时间可以指定为 YYYYMMDD 中的日期
格式,YYYYMMDDHHMMSS 格式的时间或相对时间(到当前时间)
由一个减号和一个相对时间组成,格式为
时间格式部分 sshd_配置(5). 结束时间可以指定为
YYYYMMDD 日期、YYYYMMDDHHMMSS 时间或以加号开头的相对时间
字符。
例如:“+52w1d”(从现在到 52 周和一天后有效),“-4w:+4w”
(从四个星期前到四个星期后有效),“20100101123000:20110101123000”
(有效期为12年30月1日下午2010:12至30年1月2011日下午XNUMX:XNUMX),
“-1d:20110101”(从昨天到 1 年 2011 月 XNUMX 日午夜有效)。
-v 详细模式。 原因 SSH-凯基 打印有关其进度的调试消息。
这有助于调试模数生成。 多种的 -v 选项增加
冗长。 最大值为 3。
-W 发电机
在测试 DH-GEX 的候选模数时指定所需的生成器。
-y 此选项将读取私有 OpenSSH 格式文件并打印 OpenSSH 公钥
到标准输出。
-z 序列号
指定要嵌入到证书中的序列号以区分此
来自同一 CA 的其他人的证书。 默认序列号为零。
在生成 KRL 时, -z 标志用于指定 KRL 版本号。
模数 代
SSH-凯基 可用于为 Diffie-Hellman Group Exchange (DH-GEX) 生成组
协议。 生成这些组是一个两步过程:首先,候选素数是
使用快速但内存密集的过程生成。 然后这些候选素数是
测试适用性(CPU 密集型过程)。
素数的生成是使用 -G 选项。 所需的素数长度可以
由 -b 选项。 例如:
# ssh-keygen -G moduli-2048.candidates -b 2048
默认情况下,素数搜索从所需长度范围内的随机点开始。
这可能会被覆盖使用 -S 选项,它指定一个不同的起点(在
十六进制)。
一旦产生了一组候选人,就必须对他们进行适当的筛选。 这个
可以使用 -T 选项。 在这种模式下 SSH-凯基 将阅读候选人
标准输入(或使用 -f 选项)。 例如:
# ssh-keygen -T moduli-2048 -f moduli-2048.candidates
默认情况下,每个候选人将接受 100 次素性测试。 这可能会被覆盖
使用 -a 选项。 DH 生成器值将自动选择为素数
在考虑中。 如果需要特定的生成器,可以使用 -W
选项。 有效的生成器值为 2、3 和 5。
筛选的 DH 组可以安装在 /etc/ssh/模数. 这个文件很重要
包含一系列位长度的模数,并且连接的两端共享公共
模数。
证书
SSH-凯基 支持对密钥进行签名以生成可用于用户或
主机认证。 证书包括一个公钥、一些身份信息、零
或多个主体(用户或主机)名称和一组由
证书颁发机构 (CA) 密钥。 客户端或服务器然后可能只信任 CA 密钥和
验证其在证书上的签名,而不是信任许多用户/主机密钥。 注意
OpenSSH 证书是一种与 X.509 证书不同且更简单的格式
所用 SSL(8)。
SSH-凯基 支持两种类型的证书:用户和主机。 用户证书
向服务器验证用户,而主机证书向用户验证服务器主机。
生成用户证书:
$ ssh-keygen -s /path/to/ca_key -I key_id /path/to/user_key.pub
生成的证书将放置在 /path/to/user_key-cert.pub. 主机证书
需要 -h 选项:
$ ssh-keygen -s /path/to/ca_key -I key_id -h /path/to/host_key.pub
主机证书将输出到 /path/to/host_key-cert.pub.
通过提供令牌,可以使用存储在 PKCS#11 令牌中的 CA 密钥进行签名
图书馆使用 -D 并通过提供其公共部分作为参数来识别 CA 密钥
-s:
$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id user_key.pub
在所有情况下, 密钥 ID 是一个“密钥标识符”,当证书被服务器记录时
用于身份验证。
证书可能仅限于对一组主体(用户/主机)名称有效。 经过
默认情况下,生成的证书对所有用户或主机都有效。 生成证书
对于一组指定的主体:
$ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
$ ssh-keygen -s ca_key -I key_id -h -n 主机.域 主机_key.pub
可以通过以下方式指定对用户证书的有效性和使用的其他限制
证书选项。 证书选项可能会禁用 SSH 会话的功能,可能是
仅当从特定源地址提供时才有效或可能强制使用
具体命令。 有关有效证书选项的列表,请参阅文档 -O
以上选项。
最后,证书可以定义为具有有效期。 这 -V 选项允许
证书开始和结束时间的规范。 一次出示的证书
超出此范围将不被视为有效。 默认情况下,证书的有效期从
UNIX Epoch 到遥远的未来。
对于用于用户或主机身份验证的证书,CA 公钥必须是
被信任 sshd的(8)或 SSH(1). 有关详细信息,请参阅这些手册页。
KEY 撤销 LISTS
SSH-凯基 能够管理 OpenSSH 格式的密钥撤销列表 (KRL)。 这些二进制文件
使用紧凑格式指定要撤销的密钥或证书,只需一个
如果它们被序列号撤销,则每个证书位。
KRL 可以使用 -k 旗帜。 此选项从文件中读取一个或多个文件
命令行并生成新的 KRL。 这些文件可能包含 KRL 规范(请参阅
下面)或公钥,每行列出一个。 普通的公钥通过列出它们的
KRL 中的散列或内容以及由序列号或密钥 ID 撤销的证书(如果
序列为零或不可用)。
使用 KRL 规范撤销密钥提供对记录类型的显式控制
用于撤销密钥,可用于通过序列号或密钥直接撤销证书
ID 手头没有完整的原始证书。 KRL 规范包括
包含以下指令之一的行,后跟一个冒号和一些指令-
具体信息。
串行: 序列号[-序列号]
撤销具有指定序列号的证书。 序列号为 64 位
值,不包括零,可以用十进制、十六进制或八进制表示。 如果两个
序列号用连字符分隔,然后是序列号的范围
包括和之间的每个被撤销。 CA 密钥必须已在
SSH-凯基 命令行使用 -s 选项。
id: 密钥 ID
撤销具有指定密钥 ID 字符串的证书。 CA 密钥必须是
上指定 SSH-凯基 命令行使用 -s 选项。
键: 公钥
撤销指定的密钥。 如果列出了证书,则将其吊销为
普通公钥。
sha1: 公钥
通过其 SHA1 哈希撤销指定的密钥。
KRL 可以使用 -u 标志除了 -k. 指定此选项时,
通过命令行列出的键被合并到 KRL 中,添加到已经存在的键中。
给定 KRL,也可以测试它是否撤销了一个(或多个)特定的密钥。
这款 -Q flag 将查询现有的 KRL,测试命令行上指定的每个键。 如果
命令行上列出的任何键都已被撤销(或遇到错误)然后
SSH-凯基 将以非零退出状态退出。 只会返回零退出状态
如果没有密钥被撤销。
使用 onworks.net 服务在线使用 ssh-keygen
