什么是SSH密鑰對

SSH密鑰對是通過SSH連接實例的一種憑證。一對SSH密鑰對由公鑰和私鑰兩部分組成，公鑰可以公開，存儲在實例內，私鑰需保密并由您自行保管。密鑰對必須成對使用，公鑰負責加密數據，私鑰負責解密數據，由公鑰加密的數據僅能通過私鑰解密。

使用SSH密鑰對認證的優勢

• 安全可靠

  SSH密鑰對安全強度遠高于常規用戶密碼，且從公鑰逆向推出私鑰的難度極高，可以杜絕暴力破解威脅。

• 便捷

  • 通過使用SSH密鑰對，可以實現免密登錄，直接使用私鑰通過SSH命令或相關工具登錄目標實例。

  • 支持登錄多臺Linux實例，更加方便地管理您的實例。如果您需要批量維護多臺Linux實例，推薦使用這種方式登錄。

SSH密鑰對如何工作

簡化后的SSH密鑰對認證流程如圖所示。在客戶端發起登錄請求后，服務端會通過公鑰加密一個隨機字符串，客戶端通過私鑰解密該字符串返回給服務端，通過對比兩個字符串是否一致來認證身份。

進入密鑰對管理頁（查看所有密鑰對）

• 通過控制臺

  如圖所示，密鑰對的管理操作集中在密鑰對的管理頁面，您可以通過以下步驟進入密鑰對的管理頁。在該頁面，你可以看到當前地域下所有的密鑰對的信息并對密鑰對進行管理操作。

  登錄ECS管理控制臺。 在左側導航欄，選擇網絡與安全 > 密鑰對。 在頁面左側頂部，選擇目標資源所在的資源組和地域。

• 相關API

  您可以調用DescribeKeyPairs接口查詢指定地域下所有的密鑰對，相關API說明，請參見DescribeKeyPairs - 查詢一個或多個密鑰對。

創建密鑰對

• 在控制臺創建密鑰對

  重要

  • 創建密鑰對后，系統將自動下載私鑰，請您妥善保管。阿里云僅會保存您的公鑰，不會保存您的私鑰。使用密鑰對綁定ECS實例后，如果沒有私鑰，您將無法登錄該ECS實例。

  • 您在一個地域最多可以擁有500個密鑰對。

  您可以在阿里云控制臺，自動創建密鑰對，具體操作步驟如下。

  在密鑰對管理頁，單擊創建密鑰對。 在創建密鑰對對話框中，完成配置，配置項說明如下。 密鑰對名稱：長度為2～128個字符，不能以特殊字符及數字開頭，只可包含特殊字符中的點號（.）、下劃線（_）、連字符（-）和半角冒號（:）。 創建類型：選擇自動新建密鑰對，選擇該選項后，系統會為您自動創建密鑰對。創建完成后將自動下載私鑰，您只有這一次下載私鑰的機會，因此請妥善保存私鑰文件。 資源組：您可以為密鑰對指定一個資源組，實現對資源的分組管理，詳情請參見資源組。 標簽：您可以為密鑰對綁定一個或多個標簽，便于搜索和資源聚合，詳情請參見標簽。 完成配置后，單擊確定。 密鑰對創建成功后，瀏覽器自動下載私鑰文件（密鑰對名稱.pem）到本地電腦。

• 相關API

  您可以調用CreateKeyPair接口創建密鑰對，相關API說明，請參見CreateKeyPair - 創建一對SSH密鑰對。

查看公鑰信息

如果您需要查看創建公鑰的信息，您可以參考以下方式，通過私鑰獲取公鑰。

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABA****+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCxxxxxx

導入密鑰對（公鑰）

• 待導入密鑰對支持的加密方式

  導入阿里云的公鑰必須使用Base64編碼，且必須支持下列加密方式中的一種：

  rsa dsa ssh-rsa ssh-dss ecdsa

  ssh-rsa-cert-v00@openssh.com ssh-dss-cert-v00@openssh.com ssh-rsa-cert-v01@openssh.com ssh-dss-cert-v01@openssh.com

  ecdsa-sha2-nistp256-cert-v01@openssh.com ecdsa-sha2-nistp384-cert-v01@openssh.com ecdsa-sha2-nistp521-cert-v01@openssh.com

• 在控制臺導入密鑰對

  您可以在阿里云控制臺，自動創建密鑰對，具體操作步驟如下。

  在密鑰對管理頁，單擊創建密鑰對。 如圖所示，在創建密鑰對對話框中，完成配置，配置項說明如下。 密鑰對名稱：長度為2～128個字符，不能以特殊字符及數字開頭，只可包含特殊字符中的點號（.）、下劃線（_）、連字符（-）和半角冒號（:）。 創建類型：選擇導入已有密鑰對，選擇該選項后，您需要提供您的公鑰文件。 公鑰內容：輸入需要導入的公鑰文件的內容。 資源組：您可以為密鑰對指定一個資源組，實現對資源的分組管理，詳情請參見資源組。 標簽：您可以為密鑰對綁定一個或多個標簽，便于搜索和資源聚合，詳情請參見標簽。 完成配置后，單擊確定完成導入密鑰對的操作。

• 相關API

  您可以調用ImportKeyPair接口，導入已有密鑰對（公鑰），相關API說明，請參見ImportKeyPair - 導入RSA密鑰對公鑰。

綁定密鑰對

您可以在創建實例時指定SSH密鑰對，也可以在創建實例后綁定SSH密鑰對，以滿足您安全地進行遠程服務器訪問、多用戶訪問管理以及自動化和批量操作等需求。

• 注意事項

  • 只能為初始用戶綁定：在為ECS實例綁定密鑰對時，僅支持綁定實例的初始登錄用戶的密鑰對，實例初始登錄用戶是您在創建實例時選擇的登錄用戶，如需為其他用戶綁定密鑰對，請參見手動綁定密鑰對實現SSH免密登錄。

  • 綁定后需重啟實例：通過該方式綁定密鑰對后，需要重啟ECS實例才能生效，如果重啟實例會對您現有實例造成影響，可以手動綁定密鑰對，具體操作，請參見手動綁定密鑰對實現SSH免密登錄。

  • 在控制臺操作時，一臺ECS實例只能綁定一個SSH密鑰對，但是同一個密鑰對可用于多臺ECS實例。如果ECS實例已經綁定了SSH密鑰對，綁定新密鑰對后，新密鑰會自動替換原有的密鑰。

  • 會切換登錄方式，如果ECS實例原先使用密碼認證，綁定密鑰對后，會關閉SSH的密碼登錄功能。

• 在控制臺綁定密鑰對

  在阿里云控制臺為實例綁定密鑰對的方式如下。

  在密鑰對管理頁，找到需要操作的密鑰對，在操作列中，單擊綁定密鑰對。 在選擇ECS實例欄中，選中需要綁定該密鑰對的ECS實例名稱，單擊>圖標，將其移入已選擇欄中。單擊下一步。 說明 SSH密鑰對僅支持Linux實例，如果是Windows實例，此處無法選中。 根據界面提示，選擇重啟實例的方式，或者等待合適的時機重啟實例，重啟實例后，新的密鑰對可以生效。

• 相關API

  您可以調用AttachKeyPair接口，為Linux實例綁定密鑰對，相關API說明，請參見AttachKeyPair - 綁定SSH密鑰對到Linux實例。

解綁密鑰對

如果您不再需要已綁定的密鑰對，例如使用了多個過期或不再需要的SSH密鑰對、定期進行密鑰輪換或某個用戶不再需要訪問特定實例，您可以解綁SSH密鑰對，以提高實例的安全性或限制訪問權限。

• 控制臺操作

  在阿里云控制臺為實例綁定密鑰對的方式如下。

  在密鑰對管理頁，找到需要操作的密鑰對，在操作列中，單擊解綁密鑰對。 在選擇ECS實例欄中，選中需要解綁該密鑰對的ECS實例名稱，單擊>圖標，將其移入已選擇欄中。單擊下一步。 根據界面提示，選擇重啟實例的方式，或者等待合適的時機重啟實例，重啟實例后密鑰對與實例解除綁定。

• 相關API

  您可以調用DetachKeyPair接口，為Linux實例解綁密鑰對，相關API說明，請參見DetachKeyPair - 為Linux實例解綁 SSH 密鑰對。

刪除密鑰對

• 控制臺

  在阿里云控制臺刪除密鑰對的步驟如下。

  在密鑰對管理頁，找到需要操作的密鑰對，在操作列中，單擊刪除。 根據界面提示完成刪除操作。

• 相關API

  您可以調用DeleteKeyPairs接口，刪除密鑰對，相關API說明，請參見DeleteKeyPairs - 刪除一對或者多對SSH密鑰對。