Inhaltsverzeichnis
Werbung
SSH-Schlüsselerzeugung unter Linux-Systemen
Zahlreiche Linux-Distributionen haben das OpenSSH-Paket bereits installiert. Hier genügt ein einfacher Befehl an der
Shell, um die gewünschte Schlüsseldatei zu erzeugen. Die verwendete Syntax entspricht dabei der des LCOS-Befehls
sshkeygen:
ssh-keygen [-t (dsa|rsa)] [-b <Bits>] [-f <OutputFile>]
Mit einem Befehl ssh-keygen -t rsa -b 4096 -f hostkey erzeugen Sie also einen RSA-Schlüssel
mit 4096 Bit Länge, welcher sich aus dem privaten Bestandteil 'hostkey' und dem öffentlichen Bestandteil 'hostkey.pub'
zusammensetzt.
SSH-Schlüsselerzeugung unter Windows-Systemen
Windows-Systeme sind von Haus aus nicht dazu in der Lage, SSH-Schlüssel zu kompilieren. Nutzen Sie stattdessen
entsprechende Hilfprogramme wie die freie Software PuTTYgen.
Eine Anleitung, wie Sie mit PuTTYgen eine individuellen Schlüssel erstellen, finden Sie im Abschnitt
erzeugen mit PuTTy
Erzeugung jedoch nicht über die Schaltflächen Save public key und Save private key, sondern wählen Sie
Conversions > Export OpenSSH key. Der so erstellte OpenSSH-Private-Key lässt sich anschließend ohne weitere
Bearbeitung ins Gerät laden.
2.13 SSH-Authentifizierung mit Hilfe eines Public-Keys
Das SSH-Protokoll und der LCOS-eigene SSH-Server unterstützen zwei verschiedene Authentifizierungs-Mechanismen:
1. interaktiv durch Eingeben eines Benutzernamens und Passworts über die Tastatur;
2. automatisiert durch Übermitteln eines öffentlichen Schlüssels (Public-Key)
Beim Public-Key-Verfahren wird ein Schlüsselpaar aus privatem und öffentlichem Schlüssel verwendet – ein digitales
Zertifikat. Der private Teil des Schlüsselpaares wird beim Client bzw. Nutzer gespeichert (häufig mit einem Kennwort –
auch Passphrase genannt – geschützt); der öffentliche Teil wird in das Gerät geladen. Da die Schlüssel individuell und
anwenderbezogen sein müssen, existieren keine vordefinierten Standardschlüssel. Im Auslieferungszustand unterstützt
Ihr Gerät daher nur die interaktive Authentifizierung über Zugangsdaten.
Die nachfolgenden Abschnitte beschreiben, wie Sie einen eigenen SSH-Schlüssel generieren und die Authentifizierung
mit Hilfe eines öffentlichen Schlüssels realisieren. Als Anwendungen dienen exemplatisch LANconfig sowie der freie
SSH-Client PuTTY, über dessen Hilfsprogramm PuTTYgen auch die Erzeugung des benötigten Schlüsselpaares erfolgen
kann. PuTTY selbst ist sowohl für Windows- als auch Linux-Betriebssysteme erhältlich; die nachfolgenden Abschnitte
beschränken sich jedoch – analog zu LANconfig – vorwiegend auf die Windows-Variante.
4
Ihr Gerät unterstützt sowohl RSA als auch DSA- bzw. DSS-Schlüssel. RSA-Schlüssel sind etwas kleiner und erlauben
so einen etwas schnelleren Betrieb. Weitere Informationen zu diesen Schlüsseln finden Sie auch im VPN-Kapitel
des Referenzhandbuchs im Abschnitt
2.13.1 Ablauf der Zertifikatsprüfung beim SSH-Zugang
Beim Aufbau der SSH-Verbindung erkundigt sich der Client zunächst beim Gerät, welche Authentifizierungs-Methoden
für diesen Zugang zugelassen sind. Sofern das Public-Key-Verfahren erlaubt ist, sucht der Client nach installierten privaten
Schlüsseln und übergibt diese mit der Angabe des Benutzernamens zur Prüfung an das Gerät.
Findet das Gerät in der Liste seiner öffentlichen SSH-Schlüssel einen passenden Eintrag, in dem der Benutzername
enthalten ist, wird der Zugang über SSH erlaubt. Hat der Client keinen passenden privaten Schlüssel installiert oder auf
Seiten des Gerätes gibt es keine Übereinstimmung mit Benutzernamen oder öffentlichem Schlüssel, fordert das Gerät
die Authentifizierung mit Benutzername/Kennwort an (sofern diese Authentifizierungs-Methode erlaubt ist) oder bricht
den Authentifizierungsprozess ab.
auf Seite 92. Befolgen Sie darin die einzelnen Schritte; speichern Sie den Schlüssel nach seiner
Einsatz von digitalen Zertifikaten
Referenzhandbuch
2 Konfiguration
SSH-Schlüsselpaar
auf Seite 576.
91
Werbung
Inhaltsverzeichnis
