目前网上很少关于 Windows 上使用 Yubikey 登录 SSH 的资料,而且绝大部分教程都是教你怎么使用 OpenPGP 模式,通过 gpg-agent 完成 SSH 认证。使用 gpg-agent 在 Windows 上的局限性是很大的,很多第三方 SSH 客户端( SecureCRT 之类的)并不能通过 gpg-agent 完成认证,使用起来非常不方便。
因此,我写了个工具(https://www.v2ex.com/t/565640
),简化了在 Windows 系统上使用 SSH 和 Yubikey 的流程。本篇教程基于这个工具,简要介绍在 Windows 上配置 Yubikey PIV 智能卡,以及登录 SSH 的流程。
打开 Yubikey Manager, 在Applications
中选择PIV
, 然后选择Configure Certificates
。在Authentication
槽位下选择Generate
生成证书。算法推荐选 RSA2048,兼容性和安全性都较好。生成好后就可以看到Authentication
槽位下有证书了:
打开 WinCrypt SSH Agent,在任务栏托盘的图标上右键,选择Show Public Keys
,就可以看到你刚刚生成的证书对应的 SSH 公钥了,将这个公钥添加到服务器~/.ssh/authorized_keys
中即可。
如果显示了多个公钥,这是应为你有多个数字证书,可以根据公钥结尾的名称区分对应的是哪个证书。
打开 WinCrypt SSH Agent,在任务栏托盘的图标上右键,选择你需要使用的 SSH 客户端类型,设置对应的环境变量即可。这里以 WSL 为例介绍:
WSL Help
如果想不用每次都设置环境变量,可以对环境变量做持久化,并把 WinCrypt SSH Agent 加入开机启动项。
WSL 和 Cygwin 可以在.bashrc 中设置
WinSSH 和 SecureCRT 可以在 Windows 的系统设置中配置
1
commoccoom 2019-10-25 07:55:44 +08:00
楼主,你好,我按照你的教程试了一下,用 yubikey 生成证书后,使用 Show Public Keys,但是没有任何公钥显示,这是因为什么?
|
2
commoccoom 2019-10-25 08:14:41 +08:00
重启一下电脑,之后就可以显示了😂
|
3
swchzq OP @commoccoom 重新插拔下 yubikey 应该就行, windows 是在智能卡插入的时候读取证书的
|
4
commoccoom 2019-10-25 19:16:16 +08:00
@swchzq Xshell 怎么设置,好像没有给出操作说明
|
5
swchzq OP @commoccoom Xshell 需要开启外部 ssh agent, 有个选项好像是叫启用 Pageant, 你可以找找看
|
6
commoccoom 2019-10-28 13:41:26 +08:00
@swchzq 好的,非常感谢!
|
7
sxul07 2019-11-23 13:36:48 +08:00
/w\ 话说大佬这个工具有没有能从 linux 机器把 gpg-agent 转到 windows 的操作啊 遇到这个问题了
|
8
swchzq OP @sxul07 我这个工具是处理 ssh agent 的, 没处理 gpg agent. linux 下的 gpg-agent 监听了个 unix socket 文件, 可以用 socat 转成 tcp socket 就可以让远程主机访问. 我没研究 windows 上的 gpg 是怎么和 agent 通信的, 应该有资料. 弄明白怎么通信的, 写个脚本把 tcp socket 转回对应的格式就能在 windows 上用了. 思路大致是这样, 你可以试试
|
9
yume233 2022-07-12 23:08:04 +08:00
楼主您好,我在删除 yubikey Authentication 槽位下的证书又重新生成了一个之后 Show Public Keys 会把旧的公钥和新的公钥同时显示出来,并且如果再次删除旧的生成新的,Show Public Keys 就不会再出现公钥了,请问有办法解决吗
|