「ssh-keygen」の版間の差分

2015年9月23日 (水) 17:24時点における最新版

ssh-keygen とは、ssh の認証鍵の生成、管理、変換をするためのコマンドです。Secure Shell の利点の１つである公開鍵認証を使うために、鍵ペア が必要です。ssh-agent を利用することで、さらに利便性が向上します。RSA, DSA, ECDSA であれば、RSA の鍵を作成してください。

読み方

ssh-keygen

えすえすえいち きーじぇん

概要

ssh-keygen とは、ssh の認証鍵の生成、管理、変換をするためのコマンドです。 Secure Shell の利点の１つである公開鍵認証を使うために、鍵ペア が必要です。 ssh-agent を利用することで、さらに利便性が向上します。

RSA鍵は、鍵長が 2048bit の鍵で十分だと考えられています。

ssh-keygen で作成した公開鍵 ( *.pub ) は、authorized_keys に登録します。 公開鍵 ごとにアクセス元や実行できるコマンド、pty を使わせるか、などを設定できます。

インストール

ssh-keygen は、 ssh のパッケージに含まれています。

FreeBSD であれば、openssh-portable をインストールします。

FreeBSDにインストールする場合

pkgコマンドでインストールする場合

sudo pkg install openssh-portable

書式

openssh-portable-6.6.p1_4,1

openssh-portable-6.6.p1_4,1のパッケージのssh-keygenのコマンドラインオプションです。

usage: ssh-keygen [options]
Options:
  -A          Generate non-existent host keys for all key types.
  -a number   Number of KDF rounds for new key format or moduli primality tests.
  -B          Show bubblebabble digest of key file.
  -b bits     Number of bits in the key to create.
  -C comment  Provide new comment.
  -c          Change comment in private and public key files.
  -D pkcs11   Download public key from pkcs11 token.
  -e          Export OpenSSH to foreign format key file.
  -F hostname Find hostname in known hosts file.
  -f filename Filename of the key file.
  -G file     Generate candidates for DH-GEX moduli.
  -g          Use generic DNS resource record format.
  -H          Hash names in known_hosts file.
  -h          Generate host certificate instead of a user certificate.
  -I key_id   Key identifier to include in certificate.
  -i          Import foreign format to OpenSSH key file.
  -J number   Screen this number of moduli lines.
  -j number   Start screening moduli at specified line.
  -K checkpt  Write checkpoints to this file.
  -k          Generate a KRL file.
  -L          Print the contents of a certificate.
  -l          Show fingerprint of key file.
  -M memory   Amount of memory (MB) to use for generating DH-GEX moduli.
  -m key_fmt  Conversion format for -e/-i (PEM|PKCS8|RFC4716).
  -N phrase   Provide new passphrase.
  -n name,... User/host principal names to include in certificate
  -O option   Specify a certificate option.
  -o          Enforce new private key format.
  -P phrase   Provide old passphrase.
  -p          Change passphrase of private key file.
  -Q          Test whether key(s) are revoked in KRL.
  -q          Quiet.
  -R hostname Remove host from known_hosts file.
  -r hostname Print DNS resource record.
  -S start    Start point (hex) for generating DH-GEX moduli.
  -s ca_key   Certify keys with CA key.
  -T file     Screen candidates for DH-GEX moduli.
  -t type     Specify type of key to create.
  -u          Update KRL rather than creating a new one.
  -V from:to  Specify certificate validity interval.
  -v          Verbose.
  -W gen      Generator to use for generating DH-GEX moduli.
  -y          Read private key file and print public key.
  -Z cipher   Specify a cipher for new private key format.
  -z serial   Specify a serial number.

FreeBSD 10.0-RELEASE の ssh-keygen

FreeBSD 10.0-RELEASE に付属している ssh-keygen のオプションです。

     ssh-keygen [-q] [-b bits] -t type [-N new_passphrase] [-C comment]
                [-f output_keyfile]
     ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
     ssh-keygen -i [-m key_format] [-f input_keyfile]
     ssh-keygen -e [-m key_format] [-f input_keyfile]
     ssh-keygen -y [-f input_keyfile]
     ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]
     ssh-keygen -l [-f input_keyfile]
     ssh-keygen -B [-f input_keyfile]
     ssh-keygen -D pkcs11
     ssh-keygen -F hostname [-f known_hosts_file] [-l]
     ssh-keygen -H [-f known_hosts_file]
     ssh-keygen -R hostname [-f known_hosts_file]
     ssh-keygen -r hostname [-f input_keyfile] [-g]
     ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point]
     ssh-keygen -T output_file -f input_file [-v] [-a num_trials]
                [-W generator]
     ssh-keygen -s ca_key -I certificate_identity [-h] [-n principals]
                [-O option] [-V validity_interval] [-z serial_number] file ...
     ssh-keygen -L [-f input_keyfile]

鍵のタイプ

作成する鍵のタイプは、いくつかのアルゴリズムから選択できます。

環境(sshパッケージのバージョン)によって、使えるアルゴリズムが異なります。 古い環境ならDSAやRSAしか使用できないかもしれません。

SSHプロトコルバージョン1では、RSA暗号の鍵を使用できます。 SSHプロトコルバージョン2では、DSA, ECDSA, Ed25519, RSA暗号 の鍵が使用できます。

Ed25519は、OpenSSH 6.5 からサポートされました。

楕円曲線暗号 ECDSA には512ビットの鍵長は存在しない

ECDSAの鍵では、鍵長は、256, 384, 521 ビットです。

楕円曲線暗号の要件で、それぞれのビット長である楕円曲線が出てくるべきだが、それが満たせないので、512ビットの変わりに521ビットを使う、とされています。

使い方

RSAの鍵ペアの作成

鍵ペア の作成は、下記の通りです。

ssh-keygen -b 4096 -t rsa -f ~/.ssh/id_rsa.`date '+%Y-%m-%d'` -N '' -C "$USER-`date '+%Y-%m-%d'`"

パスフレーズなしの秘密鍵の作成

アプリケーションアカウント で実行する cron (バッチ) で ssh を使う場合には、パスフレーズのない秘密鍵 を利用すると、環境構築は、楽になります。 その代わり、セキュリティは低下します。

ssh-keygen -b 4096 -t rsa -f ~/.ssh/id_rsa.nopass -N '' -C "$USER-`date '+%Y-%m-%d'`"

ログインシェル に rbash や scponly を利用して、実行できるコマンドを制限したり、authorized_keys でコマンドやアクセス元などの制限を行うべきです。

詳しくは、パスフレーズのないsshの秘密鍵の作成をご参照ください。

パスフレーズを変更する

古いパスフレーズ foo から 新しい パスフレーズ bar に変更する例です。

ssh-keygen -p foo -N bar -f ~/.ssh/id_rsa

known_hostsファイルからホストを削除する

ssh-keygenコマンドを使って、sshdのホストキーをknown_hostsから削除できます。 foo.local のキーを削除したい場合は、下記の通りです。

ssh-keygen -R foo.local

下記は、実行例です。

%ssh-keygen -R foo.local
/home/foo/.ssh/known_hosts updated.
Original contents retained as /home/foo/.ssh/known_hosts.old

Windows を利用している場合

Windows で PuTTY を利用している場合は、 PuTTYgen で 鍵ペア を作成できます。 PuTTYgen は、PuTTY 形式の秘密鍵と OpenSSH 形式の秘密鍵 を相互に変換できます。

関連項目

• パスフレーズ
• ssh-agent
• パスフレーズのないsshの秘密鍵の作成
• ssh
• Secure Shell
• PuTTYgen
• 鍵長