ssh-keygen

SSH-KEYGEN(1)              OpenBSD Reference Manual              SSH-KEYGEN(1)
|"g!TX.l+w0
:z3qD8S-JQ&i0名称
*Wx$z#s:a%uv/r [7w&Z0     ssh-keygen - 生成、管理和转换认证密钥51Testing软件测试网,ETHBs Wp&cw6]

3@P%@'Y:^5P9Hm1z2A/z051Testing软件测试网`'}T7e }+T
语法
`B
C0r6m%cv0    ssh-keygen[-q] [-bbits]-ttype[-Nnew_passphrase] [-Ccomment] [-foutput_keyfile]

c~da(zT(z5Y [0    ssh-keygen -p[-Pold_passphrase] [-Nnew_passphrase] [-fkeyfile]51Testing软件测试网#d&W
U3Z!n4n^5?
    ssh-keygen -i[-finput_keyfile]
:`z3j*t TPW6xi0    ssh-keygen -e[-finput_keyfile]51Testing软件测试网z@"q$j1`'u_j
    ssh-keygen -y[-finput_keyfile]
r@-E#Qcc0    ssh-keygen -c[-Ppassphrase] [-Ccomment] [-fkeyfile]
:f Zx@+ap/f0    ssh-keygen -l[-finput_keyfile]
3\O;R;oQV"`0    ssh-keygen -B[-finput_keyfile]51Testing软件测试网j)xbK5A g@sN
    ssh-keygen -Dreader51Testing软件测试网&@hW2}2t
    ssh-keygen -Fhostname[-fknown_hosts_file]51Testing软件测试网0l/MYS'Q-h
    ssh-keygen -H[-fknown_hosts_file]
` S.R(DI!A y0    ssh-keygen -Rhostname[-fknown_hosts_file]
` Dj6V0Ksc0    ssh-keygen -Ureader[-finput_keyfile]
n%Z2Z6y)A/|M#gR|r0    ssh-keygen -rhostname[-finput_keyfile] [-g]
7V%{;@ }L?t [v!W2vN0    ssh-keygen -Goutput_file[-v] [-bbits] [-Mmemory] [-Sstart_point]51Testing软件测试网?y)P,~v
    ssh-keygen -Toutput_file-finput_file[-v] [-anum_trials] [-Wgenerator]
b)CSeJ3EN051Testing软件测试网#JM.b6D-sFh
51Testing软件测试网"Z6t7kp6D?D'C
描述51Testing软件测试网:y-H5e@(R]
    ssh-keygen用于为ssh(1)生成、管理和转换认证密钥，包括 RSA 和 DSA 两种密钥。51Testing软件测试网*?~?|})w,q
     密钥类型可以用-t选项指定。如果没有指定则默认生成用于SSH-2的RSA密钥。
#o%EiAun,h051Testing软件测试网3CMDXhW&z
    ssh-keygen还可以用来产生 Diffie-Hellman group exchange (DH-GEX) 中使用的素数模数。51Testing软件测试网/I'h R OY%J"Y2A6K
     参见模数和生成小节。
(a"fR!R'M051Testing软件测试网}y9v,M5GM c
     一般说来，如果用户希望使用RSA或DSA认证，那么至少应该运行一次这个程序，
8lIh:g+kBwf x0     在~/.ssh/identity,~/.ssh/id_dsa或~/.ssh/id_rsa文件中创建认证所需的密钥。51Testing软件测试网`t6{%Xs:_
     另外，系统管理员还可以用它产生主机密钥。51Testing软件测试网4?,N9f l,yV
51Testing软件测试网VGGv2C/D3X+J2z _K$J
     通常，这个程序产生一个密钥对，并要求指定一个文件存放私钥，同时将公钥存放在附加了".pub"后缀的同名文件中。
8?h[v_y{7C0a0     程序同时要求输入一个密语字符串(passphrase)，空表示没有密语(主机密钥的密语必须为空)。
%NMa^9xu{XsL0     密语和口令(password)非常相似，但是密语可以是一句话，里面有单词、标点符号、数字、空格或任何你想要的字符。
Yz,T.NHW$q@ G0     好的密语要30个以上的字符，难以猜出，由大小写字母、数字、非字母混合组成。密语可以用-p选项修改。51Testing软件测试网9maKxi3Xn1j
51Testing软件测试网XsA._Q*WeYj
     丢失的密语不可恢复。如果丢失或忘记了密语，用户必须产生新的密钥，然后把相应的公钥分发到其他机器上去。
0\5U}+t E051Testing软件测试网 _wS;GgB(qT1S
     RSA1的密钥文件中有一个"注释"字段，可以方便用户标识这个密钥，指出密钥的用途或其他有用的信息。
X3k*YfB_0     创建密钥的时候，注释域初始化为"user@host"，以后可以用-c选项修改。51Testing软件测试网 Y)u(o.m4L1d
51Testing软件测试网*II-{3@7c eq
     密钥产生后，下面的命令描述了怎样处置和激活密钥。可用的选项有：51Testing软件测试网y@$dj;X
51Testing软件测试网
{*_U~-we8l*sk3K
    -atrials51Testing软件测试网9VfP T$?%x#LYW9W
             在使用-T对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。51Testing软件测试网5zWZ$HnJ
51Testing软件测试网 f'w O8_h%ro6h5S%G
    -B      显示指定的公钥/私钥文件的 bubblebabble 摘要。51Testing软件测试网-Qq$pV&Rg)P2S
51Testing软件测试网\z+m k {f
    -bbits51Testing软件测试网:wa7fs.|'|
             指定密钥长度。对于RSA密钥，最小要求768位，默认是2048位。DSA密钥必须恰好是1024位(FIPS 186-2 标准的要求)。
4h Y)hM @O9wa051Testing软件测试网:^ T4aFSA"X
    -Ccomment
\)|u!QJs]0             提供一个新注释
R!??!w T\!O-O&\$\oE051Testing软件测试网
G9lg;Xv)l Up
    -c      要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。
(@Bb4O#EHTqJ\0             程序将提示输入私钥文件名、密语(如果存在)、新注释。
/L1X#`
g8n;D051Testing软件测试网9o}s u]Oz
    -Dreader
AsI.?]`&ED0             下载存储在智能卡reader里的 RSA 公钥。
QI{p$Fu%q0
:@
pm4fTrg0    -e      读取OpenSSH的私钥或公钥文件，并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。51Testing软件测试网:G1A(Ut},v
             该选项能够为多种商业版本的 SSH 输出密钥。51Testing软件测试网8Q9|X:}q;P)C

6r.g U0l \\0    -Fhostname
0z)kS!BW8^0             在known_hosts文件中搜索指定的hostname，并列出所有的匹配项。51Testing软件测试网)K;B2MF/gf8} Tg
             这个选项主要用于查找散列过的主机名/ip地址，还可以和-H选项联用打印找到的公钥的散列值。51Testing软件测试网[k%h
G\9L"I

,A{ L9G)Iq+V0Xl0    -ffilename51Testing软件测试网%^geV9P@#v:[
             指定密钥文件名。51Testing软件测试网e%oZ3n1\{'Mw"V
51Testing软件测试网w#s9o&WNu K!wz
    -Goutput_file51Testing软件测试网lbs&]aG.p;GK
             为 DH-GEX 产生候选素数。这些素数必须在使用之前使用-T选项进行安全筛选。

X7B1^JB:lUynm0
:v3A'N)a,qMwT0    -g      在使用-r打印指纹资源记录的时候使用通用的 DNS 格式。51Testing软件测试网/OA(n[*W*P,aq
51Testing软件测试网)rW)Abn#OQ8a
    -H      对known_hosts文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。
3f6aKo&K#T8Yp0c0             原来文件的内容将会添加一个".old"后缀后保存。这些散列值只能被ssh和sshd使用。51Testing软件测试网ee|+\R-K(\%a
             这个选项不会修改已经经过散列的主机名/ip地址，因此可以在部分公钥已经散列过的文件上安全使用。
A#Pe,Tr2Bw&u0
N'Ec:O6XTs1h6QgKb0    -i      读取未加密的SSH-2兼容的私钥/公钥文件，然后在 stdout 显示OpenSSH兼容的私钥/公钥。
5T"Fmb]g'@0             该选项主要用于从多种商业版本的SSH中导入密钥。51Testing软件测试网a3j!O:j7M
p
51Testing软件测试网K/N(ro2SDEf
    -l      显示公钥文件的指纹数据。它也支持 RSA1 的私钥。
.Yp9r V1PwtyB)P0             对于RSA和DSA密钥，将会寻找对应的公钥文件，然后显示其指纹数据。51Testing软件测试网%r am[E'k{
y9Z]

m.AC\_ z a0    -Mmemory51Testing软件测试网 Ct}v
Y3g8W
             指定在生成 DH-GEXS 候选素数的时候最大内存用量(MB)。51Testing软件测试网P#q?!Q S

5Pl.VN3lTK;F)`0    -Nnew_passphrase
6? Eg2w-l0             提供一个新的密语。51Testing软件测试网a)~j6}$zy
51Testing软件测试网w$C0TM u0P0L,y
    -Ppassphrase
lD2u]fe3]0             提供(旧)密语。51Testing软件测试网&i#h?8U#eM1I
51Testing软件测试网3X5] _l(~-N2sil'V
    -p      要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次输入新密语。
/?!X;U.n cD0
V(v;M;x2|
wEBz0    -q      安静模式。用于在/etc/rc中创建新密钥的时候。
?t&]!u4Um3U0
}e},[#[l0    -Rhostname51Testing软件测试网K-cT$w M9u
             从known_hosts文件中删除所有属于hostname的密钥。
;tq)u|-B(Vn0             这个选项主要用于删除经过散列的主机(参见-H选项)的密钥。51Testing软件测试网m4Ff B9{j&Q


T [4px U.\$K'g0    -rhostname51Testing软件测试网)JQ/j4TI,PH B!H
             打印名为hostname的公钥文件的 SSHFP 指纹资源记录。51Testing软件测试网`[uS[w0mR/?+u!B
51Testing软件测试网W,D*~i8g
    -Sstart51Testing软件测试网|"b1Iy2z'fq;E
             指定在生成 DH-GEX 候选模数时的起始点(16进制)。51Testing软件测试网"I7M2Cc!k1r@d

bAJu4Wk\0    -Toutput_file51Testing软件测试网8oY.e B_
             测试 Diffie-Hellman group exchange 候选素数(由-G选项生成)的安全性。
E
nMGD U!VX(vC&[E051Testing软件测试网6P)R%Zop iX[9Om
    -ttype51Testing软件测试网&wZGzTa
             指定要创建的密钥类型。可以使用："rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2)51Testing软件测试网9B
?M{'`3AV_U
51Testing软件测试网 M8lQ#pH-[6W
    -Ureader51Testing软件测试网(OGaR`vQ5T2A
             把现存的RSA私钥上传到智能卡reader
@D2L^#[O051Testing软件测试网1`n JJ5xQ
    -v      详细模式。ssh-keygen将会输出处理过程的详细调试信息。常用于调试模数的产生过程。
N&N
g O$~K0             重复使用多个-v选项将会增加信息的详细程度(最大3次)。51Testing软件测试网'h&r?}:j
51Testing软件测试网;l~ b;n,ckF
    -Wgenerator51Testing软件测试网Qy#Zs.E5l WtZ
             指定在为 DH-GEX 测试候选模数时想要使用的 generator
x2X Az"Zb)?mL0
ax4Q`3u2i+S(M0    -y      读取OpenSSH专有格式的公钥文件，并将OpenSSH公钥显示在 stdout 上。
a6khg&M5[ O.d,i`0
`0H1eh6pW0
*Hb"mjX5|0模数生成
[lB}In`Y0_NdckK0    ssh-keygen可以生成用于 Diffie-Hellman Group Exchange (DH-GEX) 协议的 groups 。51Testing软件测试网
`)^ ~'c6?6B q(V
     生成过程分为两步：51Testing软件测试网
M8l/N]9~N
     首先，使用一个快速且消耗内存较多的方法生成一些候选素数。然后，对这些素数进行适应性测试(消耗CPU较多)。51Testing软件测试网jzq4J;Q3hmx@
^
51Testing软件测试网3vSM/@q
     可以使用-G选项生成候选素数，同时使用-b选项制定其位数。例如：51Testing软件测试网%b6w5S{T.U"wK
51Testing软件测试网i7~.{#|@'\4W
           # ssh-keygen -G moduli-2048.candidates -b 2048
s] k HT^Y0
*dmI}fG"l0     默认将从指定位数范围内的一个随机点开始搜索素数，不过可以使用-S选项来指定这个随机点(16进制)。
B/J|AsZ$w0
8{_"m9yvz3V0     生成一组候选数之后，接下来就需要使用-T选项进行适应性测试。
.M]7^
X DhN5d0     此时ssh-keygen将会从 stdin 读取候选素数(或者通过-f选项读取一个文件)，例如：51Testing软件测试网2QY?*T;]^1D
51Testing软件测试网.M%z)^(O`U
           # ssh-keygen -T moduli-2048 -f moduli-2048.candidates
ii:qU{h;_F0
4\k)ntV-p"~0     每个候选素数默认都要通过 100 个基本测试(可以通过-a选项修改)。
,W|-?"[
A0z+e@@'M0     DH generator 的值会自动选择，但是你也可以通过-W选项强制指定。有效的值可以是： 2, 3, 551Testing软件测试网 wJh3Ag

P/`
yN([N)D0     经过筛选之后的 DH groups 就可以存放到/etc/ssh/moduli里面了。51Testing软件测试网hW-zIT!t
     很重要的一点是这个文件必须包括不同长度范围的模数，而且通信双方双方共享相同的模数。
Gy/[ R6Y6g8mW0|051Testing软件测试网lYGK.R5F*N? u
51Testing软件测试网q|]}+D|
文件
Z|1L9s+B?1{@0     ~/.ssh/identity
u2N:{\6B4TB l0             该用户默认的 RSA1 身份认证私钥(SSH-1)。此文件的权限应当至少限制为"600"。51Testing软件测试网+ER(iz,yz!H
             生成密钥的时候可以指定采用密语来加密该私钥(3DES)。51Testing软件测试网5b(kn%N4M+`!`@*x
            ssh(1)将在登录的时候读取这个文件。51Testing软件测试网:Qj7N/j0DM T

}}M!VA5RR n}:\f&]_0     ~/.ssh/identity.pub
F9admkc fup5n%r0             该用户默认的 RSA1 身份认证公钥(SSH-1)。此文件无需保密。51Testing软件测试网-o.iHz7Cp ViV;v
             此文件的内容应该添加到所有 RSA1 目标主机的~/.ssh/authorized_keys文件中。51Testing软件测试网 ibM0r~

!_+|k Q#Y2zP i0l!jSO{0     ~/.ssh/id_dsa51Testing软件测试网7c O5G2]h5B7O r-c [
             该用户默认的 DSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。51Testing软件测试网!k(^
Altl%KGt
             生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
.{!k#m2?1_0c0            ssh(1)将在登录的时候读取这个文件。
X#IH/h.zTv051Testing软件测试网dC
oW cU4ei!v*t
     ~/.ssh/id_dsa.pub
!e3X*LBgi2z~}Q0             该用户默认的 DSA 身份认证公钥(SSH-2)。此文件无需保密。
'}9U'Q`{sC0             此文件的内容应该添加到所有 DSA 目标主机的~/.ssh/authorized_keys文件中。51Testing软件测试网$x%[:D%J*x,^$my

0NwO#{3l4a\0     ~/.ssh/id_rsa
@3Z)s Bw0             该用户默认的 RSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
,b@~us0R5HC)N0             生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
A8W|$D}
Ekc&~+A0            ssh(1)将在登录的时候读取这个文件。
RFAXQ_K0
&E'g @J;n2X;e0     ~/.ssh/id_rsa.pub
7oM
N-K#oRxO0             该用户默认的 RSA 身份认证公钥(SSH-2)。此文件无需保密。
#iA`1w4pP6mI2BW&b0             此文件的内容应该添加到所有 RSA 目标主机的~/.ssh/authorized_keys文件中。
V3~+?rPjA#T+r*b0
9^V6|.}df?h0     /etc/ssh/moduli51Testing软件测试网8VkM)z}1v4g+EO:A
             包含用于 DH-GEX 的 Diffie-Hellman groups 。文件的格式在moduli(5)手册页中描述。51Testing软件测试网K'hU"\7[.ni(J/X`