建立金鑰組 - Simple Application Server

阿里雲SSH金鑰組是一種安全便捷的登入認證方式，用於在SSH協議中進行身分識別驗證和加密通訊。由公開金鑰和私密金鑰組成，僅支援Linux執行個體，滿足您對更高安全性、便利性的業務需求。本文為您介紹如何在控制台建立金鑰組、匯入金鑰組、綁定金鑰組、解除綁定金鑰組、刪除金鑰組。

功能優勢

相較於使用者名稱和密碼認證方式，使用SSH金鑰組認證方式有以下優勢：

安全性：使用SSH金鑰組登入認證更為安全可靠。
- SSH金鑰組安全強度遠高於常規使用者口令，可以杜絕暴力破解威脅。
- 無法通過公開金鑰推匯出私密金鑰。
便捷性：
- 如果您將公開金鑰配置在Linux執行個體中，那麼，在本地或者另外一台執行個體中，您可以無需輸入密碼，直接使用私密金鑰通過SSH命令或相關工具登入目標執行個體。
- 支援遠程登入大量Linux執行個體，更加方便地管理您的執行個體。如果您需要批量維護多台Linux執行個體，推薦使用這種方式登入。

使用限制

僅支援Linux系統的Simple Application Server設定金鑰組登入的方式。
一個阿里雲帳號在一個地區下最多可以建立10個金鑰組。
控制台僅支援建立RSA 2048位金鑰組。

建立或匯入金鑰組

您可以通過控制台建立金鑰組，或者匯入已有金鑰組，便於您後期綁定Simple Application Server執行個體，使用金鑰組登入。

登入Simple Application Server管理主控台。
在左側導覽列，單擊金鑰組。
在金鑰組頁面，單擊建立金鑰組。

在建立金鑰組對話方塊中，根據介面提示配置參數後，單擊確定。

自動建立金鑰組

參數說明如下表所示。

參數	說明
金鑰組名稱	輸入您自訂的密鑰名稱。名稱必須以大小寫字母或中文開頭，可包含數字、英文冒號（:）底線（_）、短劃線（-）等特殊符號，長度必須為2~64個字元。
建立類型	選中自動建立金鑰組。

重要

系統將自動下載密鑰資訊（檔案尾碼名為.pem）至本地主機，密鑰僅有這一次下載機會，請您妥善保管。
如果未出現下載彈窗，請在瀏覽器的下載頁面查看是否有攔截。

匯入已有金鑰組

如果您已有金鑰組，可以將已有金鑰組匯入控制台，便於使用已有金鑰組登入Simple Application Server。但已有金鑰組必須為支援的加密方式，具體說明請參見Q2：匯入已有金鑰組支援哪些加密方式？。

參數說明如下表所示。

參數	說明
金鑰組名稱	輸入您自訂的密鑰名稱。名稱必須以大小寫字母或中文開頭，可包含數字、英文冒號（:）底線（_）、短劃線（-）等特殊符號，長度必須為2~64個字元。
建立類型	選中匯入已有金鑰組。
公開金鑰內容	將已有金鑰組的公開金鑰拷貝到此處。具體格式可將滑鼠懸浮在Base64查看範例。擷取待匯入金鑰組的公開金鑰資訊的具體操作，請參見Q3：如何查看公開金鑰資訊？。

在彈出的建立金鑰組對話方塊中，可以根據需求選擇是否立即綁定執行個體。
您也可以在建立金鑰組後，綁定金鑰組。具體操作，請參見綁定金鑰組。

綁定金鑰組

待綁定的Simple Application Server為運行中或已停止狀態。

重要

一台Simple Application Server只支援在控制台綁定一個金鑰組。若您選擇的Simple Application Server已經綁定過其他金鑰組，新綁定的金鑰組將會覆蓋已綁定的金鑰組。
如果您需要使用多個金鑰組登入執行個體，則可以在執行個體內部手動修改~/.ssh/authorized_keys檔案，添加多個金鑰組。具體操作，請參見Q1：如何使用多個金鑰組登入Simple Application Server執行個體？。

登入Simple Application Server管理主控台。
在左側導覽列，單擊金鑰組。
在金鑰組頁面，在目標金鑰組的操作列，單擊綁定執行個體。
在彈出的綁定執行個體對話方塊中，選擇一台或多台LinuxSimple Application Server，然後單擊表徵圖。
單擊確定。
在彈出的綁定執行個體對話方塊中，根據業務需求選擇是否立即重啟伺服器。
- 立即重啟伺服器：單擊立即重啟執行個體，重啟伺服器後金鑰組生效。
  警告
  重啟執行個體會造成您的執行個體停止工作，可能導致業務中斷，建議您在非業務高峰期時執行該操作。
- 稍後自行重啟伺服器：單擊暫不重啟，然後在您的業務低峰時間段自行重啟伺服器，以使金鑰組生效。

金鑰組生效後，您可以通過金鑰組登入Simple Application Server執行個體。具體操作，請參見通過金鑰組遠端連線Linux伺服器。

解除綁定金鑰組

如果您需要更換金鑰組或者某個使用者不再需要訪問特定執行個體，您可以解除綁定SSH金鑰組，以提高執行個體的安全性或限制存取權限。

重要

為Simple Application Server建立密鑰且重啟伺服器使密鑰生效後，伺服器會自動禁止使用root使用者及密碼登入。如果您需要重新啟用密碼登入方式，需要修改伺服器內的設定檔。具體操作，請參見重新啟用密碼登入方式。

登入Simple Application Server管理主控台。
在左側導覽列，單擊金鑰組。
在金鑰組頁面，在目標金鑰組的操作列，單擊解除綁定執行個體。
在彈出的解除綁定執行個體對話方塊中，選擇一台或多台LinuxSimple Application Server，然後單擊表徵圖。
單擊確定。
在彈出的解除綁定執行個體對話方塊中，根據業務需求選擇是否立即重啟伺服器。
- 立即重啟伺服器：單擊重啟已解除綁定執行個體，重啟伺服器後金鑰組解除綁定生效。
  警告
  重啟執行個體會造成您的執行個體停止工作，可能導致業務中斷，建議您在非業務高峰期時執行該操作。
- 稍後自行重啟伺服器：單擊暫不重啟，然後在您的業務低峰時間段自行重啟伺服器，使金鑰組解除綁定生效。

刪除金鑰組

如果金鑰組不再使用，您需要先解除綁定金鑰組，然後再刪除。

登入Simple Application Server管理主控台。
在左側導覽列，單擊金鑰組。
在金鑰組頁面，在目標金鑰組的操作列，單擊刪除。
在彈出的刪除金鑰組對話方塊中，單擊確定。

常見問題

Q1：如何使用多個金鑰組登入Simple Application Server執行個體？

A1：如果您需要使用多個金鑰組登入執行個體，則可以在執行個體內部手動修改~/.ssh/authorized_keys檔案，添加多個金鑰組。具體操作如下：

使用已有的SSH金鑰組串連Linux執行個體。具體操作，請參見通過金鑰組遠端連線Linux伺服器。
運行以下命令，編輯.ssh/authorized_keys檔案。
```
sudo vim .ssh/authorized_keys
```

按i鍵進入編輯模式，添加或替換公開金鑰資訊。

添加公開金鑰資訊：在現有的公開金鑰資訊下方添加新的公開金鑰資訊，並儲存。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCys3aOkFm1Xh8iN0lijeQF5mz9Iw/FV/bUUduZjauiJa1KQJSF4+czKtqMAv38QEspiWStkSfpTn1g9qeUhfxxxxxxxxxx+XjPsf22fRem+v7MHMa7KnZWiHJxO62D4Ihvv2hKfskz8K44xxxxxxxxxx+u17IaL2l2ri8q9YdvVHt0Mw5TpCkERWGoBPE1Y8vxFb97TaE5+zc+2+eff6xxxxxxxxxx/feMeCxpx6Lhc2NEpHIPxMpjOv1IytKiDfWcezA2xxxxxxxxxx/YudCmJ8HTCnLId5LpirbNE4X08Bk7tXZAxxxxxxxxxx/FKB1Cxw1TbGMTfWxxxxxxxxxx imported-openssh-key
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvxxxxxxxxxx/9H9mPCO1Xt2fxxxxxxxxBtmR imported-openssh-key

說明

如果公開金鑰檔案中有多個公開金鑰資訊，則使用其對應的多個私密金鑰均能登入Linux執行個體。

替換公開金鑰資訊：刪除現有的公開金鑰資訊，替換為新的公開金鑰資訊，並儲存。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIP6t0Mk5aPkK/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcV14uAy0yV6/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjGACGcXclex+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvVlnI0E3Deb/9H9mPCO1Xt2fxxxxxxxxBtmR imported-openssh-key

添加或替換公開金鑰資訊完成後，按Esc鍵退出編輯模式，輸入:wq儲存退出。
使用新的SSH金鑰組串連Linux執行個體。具體操作，請參見通過密鑰認證登入Linux執行個體。
如果能夠使用新的私密金鑰登入Linux執行個體，則表示添加或替換金鑰組成功。

Q2：匯入已有金鑰組支援哪些加密方式？

A2：匯入的金鑰組必須支援以下任意一種加密方式：

rsa
dsa
ssh-rsa
ssh-dss
ecdsa
ssh-rsa-cert-v00@openssh.com
ssh-dss-cert-v00@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Q3：如何查看公開金鑰資訊？

A3：查看公開金鑰資訊的具體操作如下：

本地為Windows作業系統

完成以下操作，查看公開金鑰資訊：

啟動PuTTYgen。
單擊Load。
選擇.ppk或.pem檔案。
PuTTYgen會顯示公開金鑰資訊。

本地為Linux或Mac系統

運行ssh-keygen命令，並指定.pem檔案的路徑。

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

返回公開金鑰資訊，類似如下所示：

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABA****+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCxxxxxx

在執行個體內部查看公開金鑰資訊

遠端連線Linux執行個體。具體操作，請參見通過金鑰組遠端連線Linux伺服器。
執行以下命令，查看SSH金鑰組的公開金鑰資訊。
```
sudo cat ~/.ssh/authorized_keys
```
說明
公開金鑰內容放在~/.ssh/authorized_keys檔案內。在執行個體內開啟該檔案，會返回公開金鑰資訊。

Simple Application Server：管理金鑰組（Linux）