Generieren Sie ssh-Schlüssel unter Windows mit puttygen

Secure Shell (SSH) ist ein kryptografisches Netzwerkprotokoll, das für eine sichere Verbindung zwischen einem Client und einem Server verwendet wird und verschiedene Authentifizierungsmechanismen unterstützt.

Die beiden beliebtesten Mechanismen sind die kennwortbasierte Authentifizierung und die Authentifizierung mit öffentlichem Schlüssel. Die Verwendung von SSH-Schlüsseln ist sicherer und bequemer als die herkömmliche Kennwortauthentifizierung.

In diesem Tutorial wird erklärt, wie Sie mit PuTTYgen SSH-Schlüssel unter Windows generieren. Wir zeigen Ihnen auch, wie Sie eine SSH-Schlüssel-basierte Authentifizierung einrichten und eine Verbindung zu Ihren entfernten Linux-Servern herstellen, ohne ein Kennwort einzugeben.

Laden Sie PuTTYgen herunter

PuTTYgen ist ein Open-Source-Dienstprogramm, mit dem Sie SSH-Schlüssel für den beliebtesten Windows-SSH-Client PuTTY generieren können.

PuTTYgen ist als eigenständige ausführbare Datei verfügbar und Teil des PuTTY-MSI-Installationspakets. Wenn Sie PuTTYgen nicht installiert haben, gehen Sie zur PuTTY-Download-Seite und laden Sie das PuTTY-Installationspaket herunter. Die Installation ist einfach, doppelklicken Sie auf das Installationspaket und folgen Sie den Anweisungen.

Erstellen von SSH-Schlüsseln mit PuTTYgen

Führen Sie die folgenden Schritte aus, um unter Windows mit PuTTYgen ein SSH-Schlüsselpaar zu generieren:

1. Starten Sie das PuTTYgen-Tool, indem Sie auf die EXE-Datei doppelklicken oder zum Windows-Startmenü → PuTTY (64-Bit) → PuTTYgen wechseln.

   

   Belassen Sie für "Zu generierender Schlüsseltyp" den Standard-RSA. Die "Anzahl der Bits in einem generierten Schlüssel", 2048, ist für die meisten Menschen ausreichend. Alternativ können Sie es in 4096 ändern.

   Klicken Sie auf die Schaltfläche "Generieren", um die Generierung des neuen Schlüsselpaars zu starten.

   

   Sie werden aufgefordert, den Mauszeiger über den leeren Bereich des Key-Bereichs zu bewegen, um eine gewisse Zufälligkeit zu erzeugen. Wenn Sie den Zeiger bewegen, wird der grüne Fortschrittsbalken angezeigt. Der Vorgang sollte einige Sekunden dauern.

   Wenn der Generierungsprozess abgeschlossen ist, wird der öffentliche Schlüssel im Fenster angezeigt.

   

   Wenn Sie eine Passphrase verwenden möchten, geben Sie diese optional in das Feld "Schlüsselpassphrase" ein und bestätigen Sie die gleiche Passphrase im Feld "Passphrase bestätigen". Wenn Sie sich für die Verwendung einer Passphrase entscheiden, erhalten Sie eine zusätzliche Sicherheitsebene, indem Sie den privaten Schlüssel vor unbefugter Verwendung schützen.

   Speichern Sie den privaten Schlüssel, indem Sie auf die Schaltfläche "Privaten Schlüssel speichern" klicken. Sie können die Datei in einem beliebigen Verzeichnis mit der Erweiterung.ppk (PuTTY Private Key) speichern. Es wird jedoch empfohlen, sie an einem Ort zu speichern, an dem Sie sie leicht finden können. Es ist üblich, einen beschreibenden Namen für die private Schlüsseldatei zu verwenden.

   Optional können Sie auch den öffentlichen Schlüssel speichern, der jedoch später durch Laden des privaten Schlüssels neu generiert werden kann.

   Klicken Sie mit der rechten Maustaste in das Textfeld mit der Bezeichnung "Öffentlicher Schlüssel zum Einfügen in die OpenSSH-Datei" authorized_keys "und wählen Sie alle Zeichen aus, indem Sie auf" Alle auswählen "klicken. Öffnen Sie einen Texteditor, fügen Sie die Zeichen ein und speichern Sie sie. Stellen Sie sicher, dass Sie den gesamten Schlüssel einfügen. Es wird empfohlen, die Datei in demselben Verzeichnis zu speichern, in dem Sie den privaten Schlüssel gespeichert haben, und als Dateierweiterung den gleichen Namen wie den privaten Schlüssel und.txt oder.pub zu verwenden.

   

   Dies ist der Schlüssel, den Sie Ihrem Linux-Server hinzufügen.

Kopieren Sie den öffentlichen Schlüssel auf Ihren Linux-Server

Nachdem Sie Ihr SSH-Schlüsselpaar generiert haben, besteht der nächste Schritt darin, den öffentlichen Schlüssel auf den Server zu kopieren, den Sie verwalten möchten.

Starten Sie das PuTTY-Programm und melden Sie sich bei Ihrem entfernten Linux-Server an.

Wenn Ihr Benutzer-SSH-Verzeichnis nicht vorhanden ist, erstellen Sie es mit dem Befehl mkdir und stellen Sie die richtigen Berechtigungen ein:

mkdir -p ~/.ssh chmod 0700 ~/.ssh

Öffnen Sie Ihren Texteditor und fügen Sie den öffentlichen Schlüssel, den Sie in Schritt 4 beim Generieren des Schlüsselpaars kopiert haben, in ~/.ssh/authorized_keys Datei ~/.ssh/authorized_keys :

nano ~/.ssh/authorized_keys

Der gesamte öffentliche Schlüssel sollte in einer einzigen Zeile stehen.

Führen Sie den folgenden Befehl chmod , um sicherzustellen, dass nur Ihr Benutzer ~/.ssh/authorized_keys Datei ~/.ssh/authorized_keys lesen und schreiben kann:

chmod 0600 ~/.ssh/authorized_keys

Melden Sie sich mit SSH-Schlüsseln bei Ihrem Server an

Pageant ist ein PuTTY SSH-Authentifizierungsagent, der die privaten Schlüssel im Speicher hält. Die Pageant-Binärdatei ist Teil des PuTTY.msi-Installationspakets und kann über das Windows-Startmenü → PuTTY (64-Bit) → Pageant gestartet werden.

Wenn Sie Pageant starten, wird ein Symbol in der Taskleiste angezeigt. Doppelklicken Sie auf das Symbol und das Fenster Pageant wird geöffnet.

Um einen Schlüssel zu laden, klicken Sie auf die Schaltfläche "Schlüssel hinzufügen". Daraufhin wird ein neuer Dateidialog geöffnet. Suchen Sie die private Schlüsseldatei und klicken Sie auf "Öffnen". Wenn Sie keine Passphrase festgelegt haben, wird der Schlüssel sofort geladen. Andernfalls werden Sie aufgefordert, die Passphrase einzugeben.

Geben Sie das Passwort ein und Pageant lädt den privaten Schlüssel.

Nachdem Sie die obigen Schritte ausgeführt haben, sollten Sie sich beim Remote-Server anmelden können, ohne zur Eingabe eines Kennworts aufgefordert zu werden.

Zum Testen öffnen Sie eine neue PuTTY-SSH-Sitzung und versuchen Sie, sich bei Ihrem Server anzumelden. PuTTY verwendet den geladenen Schlüssel und Sie werden auf Ihrem Linux-Server angemeldet, ohne das Passwort einzugeben.

Deaktivieren der SSH-Kennwortauthentifizierung

Um Ihrem Server eine zusätzliche Sicherheitsebene hinzuzufügen, können Sie die Kennwortauthentifizierung für SSH deaktivieren.

Stellen Sie vor dem Deaktivieren der SSH-Kennwortauthentifizierung sicher, dass Sie sich ohne Kennwort bei Ihrem Server anmelden können und der Benutzer, mit dem Sie sich anmelden, über sudo-Berechtigungen verfügt.

/etc/ssh/sshd_config bei Ihrem Remote-Server an und öffnen Sie die SSH-Konfigurationsdatei /etc/ssh/sshd_config mit Ihrem Texteditor:

sudo nano /etc/ssh/sshd_config

Suchen Sie nach den folgenden Anweisungen und ändern Sie sie wie folgt:

/ etc / ssh / sshd_config

PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no

Sobald Sie fertig sind, speichern Sie die Datei und starten Sie den SSH-Dienst neu, indem Sie Folgendes eingeben:

sudo systemctl restart ssh

Zu diesem Zeitpunkt ist die kennwortbasierte Authentifizierung deaktiviert.

Fazit

In diesem Lernprogramm haben Sie gelernt, wie Sie ein neues SSH-Schlüsselpaar generieren und eine SSH-Schlüssel-basierte Authentifizierung einrichten. Sie können denselben Schlüssel mehreren Remoteservern hinzufügen. Wir haben Ihnen auch gezeigt, wie Sie die SSH-Kennwortauthentifizierung deaktivieren und Ihrem Server eine zusätzliche Sicherheitsebene hinzufügen.

Standardmäßig überwacht SSH Port 22. Durch Ändern des Standard-SSH-Ports wird das Risiko automatisierter Angriffe verringert.

SSH-Sicherheit