SSH 为 Secure Shell 的缩写, 为建立在应用层基础上的安全协议。一般,通过ssh登录远程服务器时,使用密码认证,分别输入用户名和密码,两者满足一定规则就可以登录。但是密码认证有以下的缺点:
1、用户无法设置空密码(即使系统允许空密码,也会十分危险)
2、密码容易被人偷窥或猜到
3、服务器上的一个帐户若要给多人使用,则必须让所有使用者都知道密码,导致密码容易泄露,修改密码时必须通知所有人
而使用公钥认证则可以解决上述问题:
公钥认证允许使用空密码,省去每次登录都需要输入密码的麻烦
多个使用者可以通过各自的密钥登录到系统上的同一个用户
公钥认证的原理
所谓的公钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。ssl证书申请
ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便,以下将使用这些符号。
Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥
在认证之前,客户端需要通过某种方法将公钥 Ac 登录到服务器上。
认证过程分为两个步骤。
1、会话密钥(session key)生成
2、认证
那么如何校验密钥和公钥是否配对
ssh公钥 私钥
1、用ssh-keygen -l命令 Show fingerprint of key file
2、如果配对
Enter file in which the key is (/home/oracle/.ssh/id_rsa):
1024 bc:ca:c4:f5:b3:58:e4:a4:c7:28:bd:7e:62:3e:38:86 /home/oracle/.ssh/id_rsa.pub
3、如果不匹配会看到failed
Enter file in which the key is (/home/oracle/.ssh/id_rsa):
key_read: uudecode
id_rsa.pub文件内容
failed
ssl公钥 私钥
1、找相同的方阵,如果一样就匹配
openssl rsa -in ssl.key -text -noout
Private-Key: (2048 bit)
modulus:
openssl x509 -inform PEM -in ssl.pem -noout -text
RSA Public Key: (2048 bit)
Modulus (2048 bit):
2、如果匹配能合并成p12格式,不匹配肯定合不成。
openssl pkcs12 -export -clcerts -in ssl.pem -inkey ssl.key -out ssl.p12