Befehlszeilen-Dienstprogramm "ssh-keygen"
ssh-keygen: Ermöglicht das Erstellen, Verwalten und Konvertieren von Schlüsseln für die Client- und Serverauthentifizierung.
Synopsis
ssh-keygen [-b bits] -t type [-N [passphrase]] [-C comment] [-f output_keyfile]
ssh-keygen -B [-f input_keyfile]
ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]
ssh-keygen -e [-f input_keyfile]
ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
ssh-keygen -i [-f input_keyfile]
ssh-keygen -y [-f input_keyfile]
ssh-keygen -l [-f input_keyfile]
Beschreibung
Mit dem Befehlszeilen-Dienstprogramm ssh-keygen können Sie RSA- und DSA-Schlüssel für die Authentifizierung mit öffentlichen Schlüsseln erstellen, Eigenschaften vorhandener Schlüssel bearbeiten und Dateiformate konvertieren. Wenn keine Optionen angegeben werden, generiert ssh-keygen standardmäßig ein RSA-Schlüsselpaar mit einer Schlüssellänge von 2048 Bit und fordert zur Eingabe eines Schlüsselnamens und einer Passphrase zum Schutz des privaten Schlüssels auf. Öffentliche Schlüssel werden mit demselben Basisnamen wie private Schlüssel angelegt und mit der Erweiterung .pub
versehen. Nach Abschluss der Schlüsselgenerierung wird der Speicherort für den Schlüssel angezeigt.
Optionen
-b bits
Gibt die Schlüssellänge an. Bis zu einem gewissen Grad kann die Sicherheit durch Verwendung eines längeren Schlüssels erhöht werden. Ein längerer Schlüssel verlangsamt den Verbindungsaufbau, hat jedoch keinerlei Auswirkungen auf die Geschwindigkeit der Ver- bzw. Entschlüsselung des Datenstroms, sobald die Verbindung hergestellt wurde. Die empfohlene Schlüssellänge hängt von zahlreichen Faktoren ab: Schlüsseltyp, Lebensdauer des Schlüssels, Wert der zu schützenden Daten, für einen potenziellen Angreifer verfügbare Ressourcen, Länge des symmetrischen Schlüssels, den Sie in Verbindung mit diesem asymmetrischen Schlüssel verwenden usw. Wir empfehlen Ihnen, mit dem für die Sicherheit verantwortlichen Mitarbeiter abzustimmen, welche Lösung für Ihr Unternehmen am besten geeignet ist. Der Standardwert ist 256 Bit für ECDSA-Schlüssel; 1024 Bit für DSA-Schlüssel und 2048 Bit für RSA.
-B
Zeigt den Fingerabdruck des angegebenen Schlüssels im "SHA-1 Bubble Babble"-Format an. Sie können die Schlüsseldatei mit -f festlegen. Wenn Sie keine Datei eingeben, fordert das System Sie dazu auf. Sie können den privaten oder öffentlichen Schlüsselnamen angeben. Auf jeden Fall muss der öffentliche Schlüssel verfügbar sein.
-C Kommentar
Legt die Information für das in der Schlüsseldatei enthaltene Kommentarfeld fest. Wenn die Zeichenfolge Leerzeichen enthält, muss sie in Anführungszeichen gesetzt werden. Wenn Sie bei der Schlüsselerstellung keinen Kommentar angeben, wird ein Standardkommentar angelegt, der Angaben zum Schlüsseltyp und Ersteller sowie zu Datum und Uhrzeit enthält.
-e
Generiert auf der Grundlage des angegebenen öffentlichen oder privaten OpenSSH-Schlüssels einen öffentlichen Schlüssel im Reflection-Format. Sie können die Schlüsseldatei mit -f festlegen. Wenn Sie keine Datei eingeben, fordert das System Sie dazu auf.
-f Dateiname
Gibt den Dateinamen für den generierten privaten Schlüssel an. (Darüber hinaus wird ein öffentlicher Schlüssel erstellt, dem der Name des privaten Schlüssels mit der zusätzlichen Dateierweiterung .pub
zugewiesen wird.) Diese Option kann auch zusammen mit -e, -i, -l, -p, -y und -B verwendet werden, um den Namen der Eingabedatei anzugeben.
-i
Wandelt den angegebenen öffentlichen Schlüssel des Client in das OpenSSH-Format um. Sie können die Schlüsseldatei mit -f festlegen. Wenn Sie keine Datei eingeben, fordert das System Sie dazu auf.
-h
Zeigt eine Zusammenfassung von Befehlszeilenoptionen an.
-l
Zeigt den Fingerabdruck der angegebenen Datei für öffentliche Schlüssel mit MD5-Hash an. Sie können die Schlüsseldatei mit -f festlegen. Wenn Sie keine Datei eingeben, fordert das System Sie dazu auf. Wenn Sie einen privaten Schlüssel angeben, versucht ssh-keygen die passende Datei für öffentliche Schlüssel zu finden und den Fingerabdruck zu drucken.
-N passphrase
Legt die Passphrase fest. So geben Sie z. B. die Passphrase für einen neuen Schlüssel an:
**ssh-keygen -N meine_passphrase -f schlüsseldatei
So erstellen Sie einen neuen Schlüssel, der nicht durch eine Passphrase geschützt ist:
ssh-keygen -N -f schlüsseldatei
Sie können auch -N zusammen mit -p und -P verwenden, um die Passphrase eines vorhandenen Schlüssels zu ändern.
-p
Mit dieser Option können Sie die Passphrase eines vorhandenen privaten Schlüssels ändern. Wenn Sie diese Option separat verwenden, werden Sie aufgefordert, die Datei mit dem privaten Schlüssel sowie einmal die alte Passphrase und zweimal die neue anzugeben. Wenn Sie die Passphrase nicht interaktiv ändern möchten, können Sie die Option zusammen mit -f, -P und -N verwenden, . Beispiel:
**ssh-keygen -p -f schlüsseldatei -P alte_passphrase -N neue_passphrase
-P passphrase
Enthält die (alte) Passphrase.
-q
Führt ssh-keygen im unbeaufsichtigten Modus aus.
-t type
Gibt den Algorithmus zum Generieren des Schlüssels an. Die möglichen Werte sind "rsa" und "dsa" für Protokollversion 2.
Mögliche Werte sind „ecdsa“, „rsa“ und „dsa“.
-y
Erstellt mithilfe des angegebenen privaten Schlüssels eine neue Kopie des öffentlichen Schlüssels. Sie können die Schlüsseldatei mit -f festlegen. Wenn Sie keine Datei eingeben, fordert das System Sie dazu auf.
Rückgabewerte
ssh-keygen gibt den Wert 0 (Null) zurück, wenn der Befehl erfolgreich durchgeführt wurde. Alle anderen Werte deuten auf einen Fehler hin.