Куда нужно вставлять приватный ключ
Перейти к содержимому

Куда нужно вставлять приватный ключ

  • автор:

Где мой Приватный ключ?
Где притаился и прячется pKey ? Как найти мой секретный ключ

Где мне найти мой Private Key? — общий ответ — Приватный ключ находится рядышком с сертификатом в секретной, специальной, защищенной директории вашего сервера (компьютера) которая обычно называется хранилищем сертификатов.

Что такое private key (pKey) зачем он нужен и с чем его едят?

Для всех SSL-сертификатов для работы требуется закрытый ключ. Закрытый ключ — это отдельный файл, который используется при шифровании / расшифровке данных, отправляемых между вашим сервером и подключающимися клиентами. Закрытый ключ создается вами — владельцем сертификата — когда вы запрашиваете свой сертификат с помощью запроса подписи сертификата (CSR). Центр сертификации, предоставляющий ваш сертификат, не создает и не имеет ваш закрытый ключ. Вы храните ваш Приватный ключ как зеницу ока.

Если вы еще не установили свой сертификат, наиболее вероятное местоположение вашего закрытого ключа находится на компьютере или сервере, на котором вы создали CSR. Когда вы сгенерировали эту CSR, вы бы попросили сервер сохранить два файла — для OpenSSL вы можете запустить команду

openssl version –a

чтобы найти папку, в которой будут сохраняться ваши файлы ключей — /usr/local/ssl по умолчанию. В Windows (IIS) процессом создания приватного ключа и запроса CSR управляет операционная система. Она предложит вам создать приватный ключ и потом сделать его экспорт в желаемую директорию

Где же находится мой Private Key

Если ваш сертификат уже установлен, выполните следующие действия, чтобы найти файл секретного ключа для этих популярных операционных систем.

Apache

Местоположение вашего личного ключевого файла будет указано в главном файле конфигурации Apache, который называется httpd.conf или apache2.conf. Директива SSLCertificateKeyFile укажет путь на вашем сервере, где хранится ваш ключ.

Nginx

Вы сможете найти местоположение секретного ключа в файле виртуальных хостов вашего сайта. Перейдите к серверному блоку для этого сайта (по умолчанию в каталоге /var/www/). Откройте основной файл конфигурации для сайта и найдите директиву ssl_certificate_key которая предоставит вам путь к файлу для частного ключа (некоторые пользователи имеют отдельный файл конфигурации для своего SSL, например ssl.conf).

Windows (IIS)

На серверах Windows ОС управляет вашими файлами сертификатов для вас в скрытой папке, но вы можете получить закрытый ключ, экспортировав файл «.pfx», содержащий сертификаты и закрытый ключ. Подробнее процедура трансфера описана в разделе Экпорт-Ипорт сертификатов

Где еще может быть мой приватный ключ?

Если вы работаете с сервером, который обеспечивает рабочие соединения HTTPS, то ключ находится где-то на этом сервере или доступен для этого сервера на другом сервере, в противном случае протокол HTTPS работать не будет. Возможно, ваша организация использует специальную настраиваемую конфигурацию. Вы можете попробовать выполнить поиск на вашем сервере файла «.key» или выполнить шаги, по установке нового сертификат, которые должны указать где сохранить частного ключ. На некоторых платформах OpenSSL сохранит файл .key в том же каталоге, откуда была запущена команда -req

Если вы еще не установили сертификат и не можете найти ключ, возможно, он утерян. Если вы создали CSR, но не можете найти файл ключа, проще всего переиздать свой сертификат. Начните с создания нового PrivateKey или CSR , чтобы сохранить закрытый ключ в известном местоположении и соедините сертификат с этим новым ключом.

Частный, секретный, приватный ключ является «ключевым ключом», который расшифровывает зашифрованные данные, отправленные на сервер во время сеанса SSL. Если секретный ключ был скомпрометирован, зашифрованные данные могут быть легко дешифрованы тем, кто получил этот закрытый ключ. Таким образом, жизненно важно, чтобы закрытый ключ оставался защищенным на сервере в любое время. Открытый ключа встроена в файл CSR и отправляется в компанию CA. При одобрении и выдаче сертификата SSL компания Центр сертификации в цифровом виде подписывает открытый ключ и отправляет его вам для установки на сервер в соответствии с вашим закрытым ключом.

Чтобы в общем ответить на вопрос «Где мой закрытый ключ?» — Приватный ключ храниться на сервере или в любом случае доступен серверу. Как управлять частным ключом и где он может быть найден, все зависит от используемого серверного программного обеспечения. Все серверные программные платформы будут управлять ими по-разному, поэтому, пожалуйста, обратитесь к поставщику вашего сервера или в службу поддержки, если вы не можете найти их на своем сервере.

Как найти или восстановить секретный ключ SSL сертификата в среде IIS MicroSoft?

SSL-сертификат установлен, но отсутствует закрытый ключ. Каковы шаги по восстановлению секретного ключа сертификата SSL в среде Microsoft Internet Information Services (IIS)? Сертификаты SSL не включают закрытый ключ. Закрытый ключ находится на сервере, который сгенерировал запрос подписи сертификата (CSR). При правильной установке сертификат сервера будет соответствовать закрытому ключу, как показано ниже.

  • Сертификат устанавливается не на том же сервере, на котором сгенерирован запрос CSR.
  • Отложенный запрос — CSR был удален из IIS.
  • Сертификат был установлен с помощью мастера импорта сертификатов, а не через IIS.

Решение: Чтобы восстановить закрытый ключ, выполните следующие действия.

Шаг 1. Конфигурация оснастки

  1. Нажмите кнопку Пуск и выберите команду Выполнить .
  2. Введите mmc и нажмите OK .
  3. В меню «Файл» выберите « Добавить / удалить оснастку» .
  4. В появившемся новом окне нажмите « Добавить» .
  5. Выберите « Сертификаты» и нажмите « Добавить» .
  6. Выберите опцию « Учетная запись компьютера» и нажмите « Далее»
  7. Выберите « Локальный компьютер» и нажмите « Готово»
  8. Нажмите « Закрыть» , а затем « ОК» . В консоли появится оснастка для сертификатов (локальный компьютер)

Шаг 2 — Импорт сертификата сервера

    Разверните дерево сертификатов (локальный компьютер) в левой панели предварительного просмотра.

Щелкните правой кнопкой мыши Личные и выберите « Все задачи> Импорт»

  • Откроется мастер импорта сертификатов. Нажмите « Далее» .
  • Перейдите к местоположению файла сертификата сервера и нажмите « Далее»

    Выберите « Разместить все сертификаты» в следующем хранилище и нажмите « Далее» .

    Нажмите « Готово», чтобы завершить мастер импорта сертификатов.

    Появится диалоговое окно с сообщением об успешном завершении импорта. Нажмите « ОК» .

      Найдите файл сертификата сервера (например, server.cer) и дважды щелкните его. Откроется диалоговое окно «Сертификат».

    Перейдите на вкладку « Сведения ». Запишите 8-значный серийный номер сертификата.

  • Нажмите Пуск> Выполнить .
  • Введите cmd и нажмите OK . Откроется окно командной строки.
  • Введите в командной строке следующую команду:

    certutil –repairstore my

    Если Windows смог восстановить закрытый ключ, вы увидите следующее сообщение:

    CertUtil: -repairstore command completed successfully.

     DV OV EV WC SAN PRO CodeSign Email PDF Wi-Fi IoT ALL Купить сертификат

    NO russia - мы не осблуживаем резидентов из россии

    Copyright © 1997-2024 adgrafics

    Где взять данные для установки SSL-сертификата

    Данные для установки SSL-сертификата отправляются после его выпуска и активации. Они высылаются на контактный e-mail сертификата. Некоторые данные (CSR-запрос и приватный ключ) генерируются только во время покупки SSL-сертификата и не высылаются в письме. Своевременно сохраните их на компьютер, так как Рег.ру не сможет предоставить вам эти данные.

    Как узнать, на какой контактный email отправлено сообщение

    Если SSL-сертификат заказывался через партнёра Рег.ру, контактный e-mail указан на сайте партнёра.

    Где взять данные для установки SSL-сертификата 1

    Авторизуйтесь в личном кабинете и перейдите в раздел SSL-сертификаты:

    Где взять данные для установки SSL-сертификата 2

    Выберите нужный SSL-сертификат из списка:

    Где взять данные для установки SSL-сертификата 3

    На открывшейся странице перейдите во вкладку Сведения о сертификате. E-mail, на который высылаются данные для установки SSL-сертификата, указан внизу страницы:

    Готово! Вы узнали e-mail, на который были высланы данные SSL-сертификата.

    Данные для установки в письме

    Где взять данные для установки SSL-сертификата 3

    Начало письма с данными для установки

    В письме вы найдёте:

    • SSL-сертификат (указан после слов «Ваш сертификат предоставлен ниже»);
    • Корневой сертификат;
    • Промежуточный сертификат (используется в цепочке с корневым сертификатом. Это значит, что при установке сначала вставляется промежуточный сертификат, а затем корневой с новой строки);
    • Запрос на получение сертификата — на базе него центр сертификации сгенерировал и выпустил SSL-сертификат;
    • Приватный ключ (для бесплатного сертификата) — после слов «Сохраните приватный ключ на локальном компьютере». Приватный ключ для платного сертификата нужно сохранить на этапе заказа.

    Приватный ключ (Private Key) сертификата не хранится на серверах Рег.ру. Скопируйте приватный ключ из письма, вставьте в пустой текстовый файл и сохраните его в формате .txt или .key. Это файл понадобится для дальнейшей установки SSL-сертификата.

    Если вы потеряли или скомпрометировали приватный ключ, текущий SSL-сертификат использовать не удастся. Чтобы решить проблему, переиздайте SSL-сертификат по инструкции: Переиздание SSL-сертификата.

    Как сохранить приватный ключ в формате .key
    Откройте письмо с темой «Данные для установки ssl сертификата для домена».

    Где взять данные для установки SSL-сертификата 4

    Из письма скопируйте последний текстовый блок начиная с «——BEGIN RSA PRIVATE KEY——» и заканчивая «——END RSA PRIVATE KEY——» включительно:

    Откройте блокнот и вставьте скопированный текст.

    Где взять данные для установки SSL-сертификата 5

    Нажмите ФайлСохранить:

    Где взять данные для установки SSL-сертификата 6

    Выберите папку, в которую хотите сохранить файл. В поле «Имя файла» напишите «name.key» и нажмите Сохранить:

    Готово, вы сохранили приватный ключ в формате .key.

    Данные в личном кабинете

    Некоторые данные (Сертификат, Корневой + Промежуточный сертификат и CSR-запрос) дублируются в личном кабинете. Они представлены в виде файлов, которые вы можете скачать, а затем загрузить при установке SSL-сертификата на сервер.

    В личном кабинете не дублируется приватный ключ сертификата. Не удаляйте письмо с данными для установки сертификата или сохраните приватный ключ в формате .txt или .key.

    Чтобы скачать данные:

    Где взять данные для установки SSL-сертификата 1

    Авторизуйтесь в личном кабинете и перейдите в раздел SSL-сертификаты:

    Где взять данные для установки SSL-сертификата 2

    Выберите нужный SSL-сертификат из списка:

    Где взять данные для установки SSL-сертификата 5

    Во вкладке «Управление» вы найдете файлы сертификата. Для установки вам понадобятся файлы «Сертификат» и «Корневой сертификат» (в этом файле содержатся корневой и промежуточный сертификаты). Сертификаты рекомендуется скачивать в формате .der.

    Что дальше?

    Чтобы установить SSL-сертификат на сайт, воспользуйтесь инструкциями из раздела Установка SSL-сертификата.

    Помогла ли вам статья?

    Спасибо за оценку. Рады помочь ��

    Работа с ssh-ключами

    Как следует из названия — это ключ для ssh, т.е. используется программой ssh (или другим ssh-клиентом, в дальнейшем так и будем говорить: ssh-клиент) для авторизации на удаленном сервере через демон/сервис sshd (будем называть этот сервер ssh-сервером)

    Если вы попали на эту страницу, значит в дальнейшем Вы таким способом будете (или от Вас требуют) авторизоваться (т.е. доказать, что это именно Вы) на каком-то unix-подобном сервере.

    • для работы на суперкомпьютере/суперкомпьютерах
    • для работы на сервере с вашим сайтом (на хостинге или выделенном)
    • и много где еще

    Важно то, что для всего этого достаточно одного ключа, не требуется каждый раз создавать новый ключ.

    • публичная часть ключа (или публичный ключ)
    • приватная/закрытая часть ключа (или закрытый ключ)

    Публичная часть — это замок, а приватная часть — это Ваш личный ключ. Именно публичная часть используется сервером для Вашей авторизации (сможете ли Вы открыть ключом шкатулку или нет).

    Не компрометируйте свою закрытую часть ключа, что может произойти при:

    • передаче другому лицу (по аналогии: с железного ключа можно снять восковой отпечаток и отдать ключ обратно, копий ключа уже будет сколько угодно), примеры:
      • хранение на флешке ключа и передача флешки (даже на время) других людям (чтобы они на нее сохранили что-нибудь, например)
      • подключение флешки в сторонний компьютер
      • хранение ключа на компьютере в классе (администратор класса может получить к нему доступ)
      • хранение ключа в почте (аналогично: может получить доступ администратор почтового сервера)
    • посылке по открытым каналам (аналогично, копию снять ничего не стоит), пример:
      • посылка по электронной почте (даже себе)
    • и других обстоятельствах, когда доступ к закрытому ключу могут получить третие лица.

    Более подробно о защите ssh-ключа

    Чем это лучше использования пароля

    Если Вы привыкли использовать системы с паролем, у Вас может возникнуть вопрос, почему администраторы сервера рекомендуют/заставляют Вас пользоваться ssh-ключами.

    • простой пароль могут подобрать;
    • сложный пароль пользователь может забыть;
    • пароль пользователя может перехватить программа-шпион;
    • пользователь может раскрыть свой сложный пароль путем записывания пароля в записной книжке, на столе и т.д.
    • Пользователь создает (если ключей еще нет) открытый и закрытый ключи
    • Открытый/публичный ключ копируется на удаленный ssh-сервер и кладется в специальный файл в директории того пользователя, в кого и надо залогиниться. Скорее всего будет использоваться файл ~/.ssh/authorized_keys.
    • ssh-клиент отправляет ssh-серверу свой публичный ключ (поэтому публичный ключ у Вас тоже должен быть).
    • Сервер проверяет файл ~/.ssh/authorized_keys на наличие присланного ключа, если он в файле найден, ssh-сервер отправляет клиенту сообщение, зашифрованное публичным ключом (шкатулку закрытую на замок)
    • Клиент должен расшифровать сообщение с помощью своего приватного ключа (открыть шкатулку), если приватный ключ защищен паролем, ssh-клиент попросит пользователя ввести пароль, чтобы сначала расшифровать сам ключ.
    • Если сообщение расшифровано (обратно прислана открытая шкатулка), то правильность закрытого и открытого ключей считается подтвержденной и пользователю предоставляется доступ на сервер.
    • для подбора надо не только подобрать очень большой открытый ключ (скажем при длине ключа в 2048 бит он сложнее пароля из 8 символов примерно в 10^500 раз), но и подобрать закрытую пару к подобранному открытому ключу (тоже очень сложная и дорогая задача)
    • несколько пользователей могут логиниться под одним логином на удаленном сервере не обмениваясь общими секретами, иными словами:
      • если требуется для работы групповой логин, то имея пользователей с разными ключами всегда можно определить тот набор из пользователей, которые смогут логиниться в данный момент времени под этим групповым логином

      Как установить ssh-клиент

      • *BSD (FreeBSD /NetBSD/OpenBSD):
        • ssh-клиент уже есть в системе
        • ssh-клиент уже есть в системе
        • в современных дистрибутивах должен быть, проверьте что есть команда ssh, если не работает:
          • Ubuntu/Debian: sudo apt-get install openssh-client в терминале. Или через центр приложений Ubuntu (как следует из названия, лишь в Ubuntu)
          • в остальных дистрибутивах: читайте документацию по своей системе
          • Если у вас Windows 10, можно воспользоваться прослойкой Windows Subsystem for Linux и получить Linux-подобное окружение. В нём справедливы инструкции для GNU/Linux выше, и команда ssh, скорее всего, уже будет присутствовать
          • Либо оконный клиент PuTTY:
            • ссылка на страницу скачивания, рекомендуется скачивать инсталятор
            • Инсталятор версии 0.63 (ссылка может устареть)
            • Либо два файла: сама программа, генератор ключей

            Кстати PuTTY есть и под Unix-системы.

            Как создать ssh-ключ

            1. Установить ssh-клиент (если еще не установили). По поводу установки смотри предыдущий раздел.
            2. Далее — в зависимости от предпочтений:
              • если вы предпочитаете ssh-клиент PuTTY (для Windows)
              • если вы предпочитаете ssh-клиент openssh (для *nix, WSL)

            Использование различных ключей в одном клиенте

            • разграничением ключей по серверам (скажем, на особо секретные сервера можно заходить по ключу с паролем, а на менее секретные — безпарольным ключом)
            • тем, что уже имеющийся ключ не подходит серверу (например BlueGene не принимает в данный момент ключи ECDSA) и надо создать другой ключ.
            • так сложилось
            • можно при запуске с помощью ключа -i указать нужный ключ (указывается закрытая часть ключа)
            • либо прописать настройку IdentityFile в конфигурационном файле (обычно ~/.ssh/config) для нужного сервера
            • более подробно — на странице про создание и использование ключей в openssh
            • putty сохраняет параметры ключа в параметрах сессии
            • более подробно — на странице про генерирование и использование ключей в PuTTY

            Зачем нужен отпечаток (fingerprint) ключа

            • посылаете письмо с открытым ssh-ключом
            • вводите текст открытого ssh-ключа через форму на сайте (через браузер)
            • например через бумагу с подписью:
              • Вы распечатываете отпечаток на бумаге,
              • заверяете его своей подписью,
              • преподаватель заверяет Вашу подпись и все это передает нам
              • администратор проверяет подпись преподавателя (поскольку преподавателей сильно меньше студентов и меняются они реже, это довольно простая операция)
              • администратор берет отпечаток от присланного другим способом публичного ключа и сверяет с тем, что принесли на бумаге
                • если все совпало, то помещает открытый ключ в Вашего пользователя
                • Если используете программу ssh для соединения, то:
                  • для создания используйте программу ssh-keygen:
                    • ssh-keygen -l -f путь_к_публичному_ssh-ключу
                    • для нашего примера (RSA-ключ) можно использовать путь к закрытому ключу
                    • в результате будет что-то вида: 2048 4c:d1:96:6f:dd:e5:67:ce:55:8b:fb:38:b2:a2:63:c5 user@host (RSA)
                    • для создания используйте программу puttygen:
                      • puttygen -l путь_к_закрытому_ключу
                      • в результате будет что-то вида: ssh-rsa 2048 4c:d1:96:6f:dd:e5:67:ce:55:8b:fb:38:b2:a2:63:c5

                      Почему SSH-ключ — безопасная альтернатива паролю

                      Рассказываем о SSH-ключах: какие бывают, как генерировать и где хранить.

                      Изображение записи

                      Мы используем пароли, чтобы войти в учетную запись в соцсети, почту, панель управления Selectel. С помощью пароля также можно зайти на арендованный сервер. У этого, правда, есть весомые недостатки. О них и более безопасной альтернативе — SSH-ключах — мы расскажем в тексте.

                      Пароли: их особенности и минусы

                      Связка логин/пароль используется для авторизации в системе. Проще говоря, для того, чтобы приложение, операционная система — все, что стоит за окошком с вводом пароля, поняло, что вы — это действительно вы.

                      Пароли — это привычно и просто. Но их использование влечет ряд недостатков:

                      • Пароль можно подобрать. Часто мы выставляем пароли, которые легко запомнить. А значит, это какие-то сочетания слов или цифр. Есть способы создать более безопасный пароль — использовать случайный набор букв и цифр, генерировать длинный пароль. Но это приводит к следующей проблеме.
                      • Безопасные пароли, особенно если их много, практически невозможно запомнить. В итоге, если вы все-таки забыли какой-то из них, придется тратить время и силы на восстановление.
                      • Часто (как раз из-за пункта 2) люди останавливают один и тот же «проверенный» пароль на множество аккаунтов. В итоге, если пароль «утечет», злоумышленник получит доступ сразу к нескольким вашим аккаунтам.
                      • Наконец, связку логин/пароль можно подсмотреть.

                      Теперь представим, что у вас парк серверов, где расположены критические сервисы компании. К каждому серверу — отдельный пароль, их нужно где-то записывать, хранить. Желательно с учетом правил безопасности.

                      Добавим, что серверы — очень популярная цель для злоумышленников. Поскольку они постоянно «смотрят» в интернет, машины подвергаются брутфорсу, или подбору паролей. По наблюдениям специалистов Selectel первая атака на сервер начинается спустя 10-15 минут после его появления в сети.

                      SSH для подключения к серверу

                      Большинство пользователей устанавливает на серверы операционную систему Linux, а подключаются к ним по SSH.

                      SSH — это зашифрованный протокол, который используется для взаимодействия компьютера с сервером и его управления. Для работы по протоколу можно использовать один из основных способов авторизации — связку логин/пароль либо SSH-ключи. О недостатках первого способа мы уже написали. Теперь рассмотрим особенности SSH-ключей.

                      SSH-ключи: какие бывают и как работают

                      Прежде чем переходить к преимуществу SSH-ключей, разберемся, как они работают.

                      Благодаря SSH-ключам можно произвести аутентификацию без пароля. Ключи представляют собой набор из сотен различных символов, включая латиницу верхнего и нижнего регистров, а также спецсимволы. Общая длина часто составляет от 1024 до 4096 бит.

                      Для аутентификации нужно два SSH-ключа — открытый и закрытый.

                      Открытый ключ

                      Открытый, или публичный, ключ доступен всем. Он используется для шифрования данных при обращении к серверу. Проще говоря, это набор символов, при помощи которых мы шифруем информацию.

                      При передаче публичного ключа не нужно подстраховываться — даже если он попадет в руки злоумышленников, они не смогут его использовать. Открытый ключ — лишь замок на двери, за которой находится важная информация. Без второго SSH-ключа он не имеет смысла.

                      Закрытый ключ

                      Закрытый, или приватный, SSH-ключ — это ключ к замку. Он расшифровывает данные. С ним нужно быть в разы осторожнее: хранить, соблюдая правила безопасности, и не передавать вторым лицам. Забегая вперед, скажем, что при генерации SSH-ключей закрытый ключ можно и нужно запаролить, чтобы обеспечить дополнительную защиту.

                      Теперь разберемся, как открытый и закрытый ключи применяются при использовании протокола SSH.

                      При создании пользователя на сервере ему можно разрешить вход по SSH-ключу. Для этого необходимо указать открытый ключ. Когда пользователь захочет подключиться, он отправит запрос на сервер. После чего сервер ответит случайной фразой, которую пользователь шифрует. Имея случайную фразу и открытый ключ, сервер при помощи криптографической магии подтверждает, была ли фраза подписана именно этим пользователем. Проще говоря, идентифицирует его.

                      По сути, между клиентом и сервером происходит небольшая «перекличка», по которой сервер определяет, свой перед ним или чужой. Достаточно просто это изображено на схеме:

                      Преимущества SSH-ключей

                      Использовать SSH-ключи безопаснее, чем связку логин/пароль. Давайте перечислим почему:

                      • Невозможно взломать методами перебора. Попробуйте подобрать ключ минимум на четыре строчки.
                      • Приватный SSH-ключ недоступен из внешней сети. Пароль-фраза будет необходима исключительно для идентификации пользователя на сервере.
                      • Закрытый ключ стандартно находится в каталоге, к которому у обычного пользователя нет доступа (в случае Unix-подобных систем).
                      • Для кражи приватного ключа злоумышленник должен иметь полный доступ к правам администратора операционной системы. Другими словами, необходим доступ к привилегиям sudo. Как правило, они есть, например, у пользователя root или того, кому аналогичные привилегии были назначены вручную.

                      Как мы писали выше, при создании ключа можно дополнительно зашифровать приватный ключ паролем. Его нужно будет ввести, чтобы посмотреть или скопировать SSH-ключ. В итоге, даже если злоумышленники получат доступ к root, им понадобятся дополнительные усилия для подбора пароля. Установка пароля является необязательным шагом, но он существенно повысит безопасность.

                      Кроме того, ключи довольно просто использовать. SSH-ключ устанавливается (сохраняется) единоразово, его не нужно вводить каждый раз, как это было бы в случае пароля. Но нужно учитывать, что если вы запаролили доступ к SSH-ключу, то этот пароль придется вводить каждый раз.

                      Где хранить SSH-ключи

                      Итак, мы поняли, что стоит озаботиться правильным хранением закрытого SSH-ключа. Есть несколько вариантов.

                      • Можно хранить ключи на разного рода внешних накопителях — флешки, съемные SSD-диски и т.д. Естественно, они должны храниться в защищенном месте. Носить флешку с SSH-ключами в качестве брелка на ключах точно не стоит.
                      • Также можно хранить ключ на виртуальном диске. Нельзя назвать это полноценно безопасным вариантом, зато в случае утечки данных злоумышленникам еще нужно будет понять, куда можно применить SSH-ключ.
                      • Подойдут для этих целей и специальные менеджеры паролей, которые заточены на их хранение. Например, Bitwarden, Keeper, Passbolt и другие. К выбору ПО тоже стоит подойти ответственно.
                      • Если вы клиент Selectel, можете воспользоваться менеджером секретов. Сервис сейчас в бете, что влияет на его функциональность, однако хранить SSH-ключи в нем можно. На их защите — двухфакторная аутентификация панели управления my.selectel.

                      Как использовать SSH-ключ

                      Чтобы соединяться с сервером по SSH-ключу, его нужно сгенерировать. Как это сделать достаточно быстро, мы подробно описали в инструкции. В Selectel этот ключ можно указать сразу при заказе выделенного или облачного сервера.

                      Установить SSH-ключ на сервере можно и с помощью терминала (CLI). В каталоге, где располагается пара ключей, нужно скопировать сгенерированный публичный SSH-ключ и вставить в список авторизованных публичных ключей на сервере. В папку /home/username/.ssh/authorized_keys, где username – ваше имя пользователя.

                      Аутентификация с использованием SSH-ключа

                      Для проверки работы SSH-ключа рассмотрим процесс аутентификации более детально. Аутентифицироваться, или зайти на сервер, вам необходимо для его дальнейшего администрирования.

                      Подключиться к серверу при помощи SSH-ключа можно с помощью команды:

                      ~$ ssh -i username@server IP

                      Чтобы каждый раз не указывать путь, достаточно скопировать закрытый ключ в папку /home/имя пользователя/.ssh.

                      Если вы подключаетесь к серверу впервые, появится следующее сообщение:

                      Компьютер не узнает удаленный сервер. Это нормально для первого подключения. Необходимо в ответном сообщении ввести yes и продолжить, нажав кнопку Enter. Если ранее вы не указывали пароль для шифрования ключей, вы подключитесь и авторизуетесь на сервере автоматически.

                      Отключение аутентификации по паролю на сервере

                      Без отключения входа по логину и паролю использование SSH-ключей теряет большую часть преимуществ. Поэтому рекомендуем отключить аутентификацию по паролю.

                      Прежде чем переходить к отключению, обязательно проверьте, что SSH-ключ был успешно установлен. Для этого необходимо просто войти под своим пользователем, используя ключ.

                      Если ключ не будет установлен, а вы отключите аутентификацию по паролю, вы потеряете доступ к серверу. Восстановить его получится лишь из-под пользователя root или другого администратора с привилегиями sudo.

                      Итак, отключаем аутентификацию по паролю. Подключаемся к удаленному серверу по SSH-ключу. Открываем файл с SSH-конфигурацией, выполнив в терминале следующую команду:

                      sudo nano /etc/ssh/sshd_config

                      В файле будет находиться параметр PasswordAuthentication, отмечаемый во многих случаях как комментарий. Символ однострочного комментария (#), находящийся перед названием параметра, необходимо удалить. После – отключить действие параметра, поставив ему значение no.

                      Сохраните файл и перезапустите службу SSH, чтобы применить изменения.

                      В ОС Ubuntu или Debian необходимо выполнить данную команду:

                      sudo service ssh restart

                      В ОС CentOS/Fedora название службы SSH – sshd. Команда для выполнения перезапуска службы будет исполнятся в таком виде:

                      sudo service sshd restart

                      Проделав эти шаги, вы перенастроите службу SSH так, чтобы при аутентификации использовались только ключи.

                      Заключение

                      SSH-ключи — хороший способ обезопасить свой сервер от взлома злоумышленниками и разграничить уровни доступа к инфраструктуре среди пользователей. Их легко генерировать, легко хранить и использовать. Чтобы пользоваться всеми преимуществами ключей, рекомендуем оставить только этот способ получения доступа к серверу.

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *