当前位置: 首页 > 工具软件 > yubikey > 使用案例 >

将自己的SSH密钥对导入YubiKey 5的PIV和智能卡模块,配合Putty和XShell使用

郭凡
2023-12-01

前言

YubiKey是什么东西我就不多说,简单的说是一种用来保存私钥的硬件设备,私钥一旦写入就无法读出,比起保存在硬盘里的私钥文件,更安全。前段时间入手一个YubiKey 5 NFC,最近一直在研究怎么用来登录SSH。

需求

我手上已经有了一个SSH密钥对用来管理着几十台Linux服务器,,在Yubikey Mmanager -> PIV中只能重新生成密钥对,并且无法导出私钥,然而我不想更换的我的私钥,与我的需求不符。在入手后的10天的里,每天都在研究怎么搞定这个问题……google都快翻烂了。

解决

1.将PGP密钥写入SmartCard智能卡

我是先用GnuPG4win生成PGP密钥对,然后导入SSH私钥,替换掉PGP密钥Auth子密钥
具体过程就不细说了,可以参考下方的资料。
注意,操作前先备份好密钥,下面步骤会将私钥写入卡上,并且无法导出!!!
大概流程:

c:\>gpg -a --export-secret-keys [user-id] > [user-id].asc
c:\>gpg --edit-key [user-id]
gpg (GnuPG) 2.2.27; Copyright (C) 2021 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa2048/****************
     created: 2021-03-22  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  rsa2048/****************
     created: 2021-03-22  expires: never       usage: E
     card-no: 000615524
ssb  rsa2048/****************
     created: 2021-03-22  expires: never       usage: S
     card-no: 000615524
ssb  rsa2048/****************
     created: 2021-03-24  expires: never       usage: A
     card-no: 000615524
[ultimate] (1). sbdx <xxxx@google.com>
gpg>key 3  #选择A证书
gpg>keytocard #将证书转移到卡上,注意,密钥写入就无法读取了,所以提前备份
gpg>key 3 #取消选择,然后可以类似写入其他操作
...
gpg>save #保存退出

然后重新插拔YubiKey,编辑%appdata%\gnupg\gpg-agent.conf文件,向文件内添加以下内容

enable-ssh-support
enable-putty-support

然后就可以用PUTTY愉快的使用啦~~~
如果无法使用,可以重启gpg-agent

REM 重启gpg-agent
"C:\Program Files (x86)\GnuPG\bin\gpg-connect-agent.exe" killagent /bye
"C:\Program Files (x86)\GnuPG\bin\gpg-connect-agent.exe" /bye

2.生成并写入PIV证书

可以用ssh-keygen生成或从OpenGPG导出为private.key
大概格式内容为:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,1BB7EF1B1****

CBh06xO45wNsPr4El/gnGd0Bf+vU5gp+/ku80nF2
85g2sHowq1/LJwVb0VdSb9oRhg8uokVCZAy7LvCjCB5y7
TpkKvKN1VG44eEEbFBLU6pHSRmt1N9hbBO9HiPtdHUGcgBG031
...
...
...
-----END RSA PRIVATE KEY-----
# 生成的私钥要转换成PEM格式的文件,尽量不要设置密码
# 如果有密码,请在后面加上-p参数取消即可
ssh-keygen -p -f private.key -m pem

1) 使用私钥创建X.509证书请求

期间会让你输入一些证书信息,随便输入,SSH不认识这些东西…

openssl req -new -key private.key -out mykey.csr

2) 使用私钥自己签发证书请求

openssl x509 -req -days 3650 -in mykey.csr -signkey private.key -out mykey.crt

OK,证书创建成功,你会得到两个文件,私钥private.key和证书mykey.crt,请求文件mykey.csr可以删了!

写入Yubikey

#导入证书文件
C:\>yubico-piv-tool -s 9a -a import-certificate -i mykey.crt
Successfully imported a new certificate.
#导入密钥文件,触摸策略是每次都touch,可选never、cached
C:\>yubico-piv-tool -s 9a -a import-key --touch-policy=always -i private.key
Successfully imported a new private key. 

配合XShell使用

需要用到一款开源软件WinCryptSSHAgent,使用Pagent代理请求PIV证书,非常简单方便,在打开XShell前启动软件即可。经过测试,XShell5、XShell7可以正常使用。
设置方法:

  1. 会话连接属性->连接->用户身份验证->选择PublicKey并调整至第一个,用户密钥选择“无”。
  2. 会话连接属性->连接->SSH->勾选“v5:使用密码处理的Xagent(SSH代理)”/“v7:使用Xagent进行身份验证”

XShell官方的方法是使用PCKS#11验证,很麻烦,要装插件,具体可以参考下面的官方文档。

特别感谢

感谢WinCryptSSHAgent作者buptczq开发出这么棒的开源工具。
感谢WinCryptSSHAgent作者buptczq耐心与我线上沟通找出使用中的问题。

参考资料

 类似资料: