920      阿裏雲  技術社區[雲棲]

Ecs支持密鑰對登錄（基礎篇）

概述

隨著公有密鑰密碼術技術的不斷成熟與風靡，對比傳統的密碼登錄技術密鑰對技術不僅更加安全，而且可以避免每次登錄都輸入密碼，也更加方便快捷。阿裏雲Ecs已經正式支持密鑰對登錄，本文將介紹密鑰對的一些知識以及在阿裏雲Ecs使用密鑰對的正確姿勢。

一. 密鑰對技術

首先，我們需要了解一下公鑰加密技術，公鑰加密 (public-key cryptography)，或非對稱密鑰加密 (asymmetric key cryptography) 是一類廣泛使用的加密算法。

通俗來講，所謂"公鑰登錄"，原理很簡單，就是用戶將自己的公鑰儲存在遠程主機上。登錄的時候，遠程主機會向用戶發送一段隨機字符串，用戶用自己的私鑰加密後，再發回來。遠程主機用事先儲存的公鑰進行解密，如果成功，就證明用戶是可信的，直接允許登錄shell，不再要求輸入密碼。

公鑰加密對比密碼登錄優勢已經很明顯了：

• 安全，密碼不通過網絡傳輸，密鑰對使用非對稱加密算法（目前阿裏雲目前使用的是RSA生成的2048位密鑰）生成安全性極高
• 方便，一次配置可以免去每次登錄輸密碼的繁瑣

那麼問題來了，既然密鑰對這麼好使，是不是配置起來很麻煩？no，其實很簡單，你需要做的隻是以下2步：

1. 通過阿裏雲生成一個密鑰對或者導入您的密鑰對，您隻需要指定密鑰名稱即可
2. 將您的密鑰對綁定到您的實例上，您隻需要點一下鼠標

隻需要以上兩步，便可以輕鬆使用密鑰對，告別每次輸入密碼的繁瑣！而且重點是更安全！

下麵將介紹使用密鑰對的正確姿勢~

二. Ecs 密鑰對使用場景

場景一: 新購ecs指定密鑰對登錄

首先，需要創建一個密鑰對(阿裏雲提供了兩種方式，包括通過阿裏雲創建及導入已有密鑰對，後麵將詳述操作步驟)

然後，新購頁麵選擇剛創建的密鑰對(目前支持所有的IO優化非windows鏡像)

新購成功待實例啟動後，可以直接通過私鑰連接上去

場景二: 已有ecs綁定密鑰對

對於客戶已經運行中的ecs實例，可以通過綁定密鑰來實現公私鑰登錄。
如下圖，i-uf6eyy6tiyl12rnynalt創建的時候沒有綁定密鑰對，無法通過密鑰對登錄，

密鑰對管理界麵，選擇要綁定的密鑰對，執行綁定操作

綁定成功後可以通過私鑰直接登錄

三. 密鑰對管理的正確姿勢

通過阿裏雲創建密鑰對

創建成功後會自動下載名稱為yzq-key-pair-for-ops的pem格式的私鑰文件。關於密鑰對以下兩點需要明確：

• 阿裏雲不會保存用戶的私鑰，創建後一次性返回，如果不慎丟失是無法找回的，需要重新生成
• 密鑰對的生成使用安全性極高的算法生成同時符合標準openssh格式

導入自己生成的密鑰對

對於已有密鑰對或者想自己生成密鑰對的用戶，阿裏雲支持導入密鑰對，隻需要指定一個密鑰對名稱同時將您的公鑰上傳即可，見下圖

後續將不定時推出阿裏雲ecs平台密鑰對的進階使用及最近實踐，敬請期待...

最後更新：2017-04-26 15:41:50

  上一篇： 知識點

  下一篇： 網絡電話的前景