你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速步骤:创建和使用适用于 Azure 中 Linux VM 的 SSH 公钥-私钥对

适用于:✔️ Linux VM ✔️ 灵活规模集

使用安全外壳 (SSH) 密钥对,可以创建使用 SSH 密钥进行身份验证的 Azure 虚拟机 (VM)。 本文介绍如何快速生成和使用适用于 Linux VM 的 SSH 公钥-私钥文件对。 可以使用 Azure Cloud Shell、macOS 或 Linux 主机完成这些步骤。

有关排查 SSH 问题的帮助,请参阅排查与 Azure Linux VM 的 SSH 连接失败、出错或被拒绝的问题

注意

使用 SSH 密钥创建的 VM 默认配置为禁用密码,这极大地增加了暴力破解猜测攻击的难度。

有关详细背景和示例,请参阅创建 SSH 密钥对的详细步骤

有关在 Windows 计算机上生成和使用 SSH 密钥的其他方式,请参阅如何在 Azure 上将 SSH 密钥与 Windows 配合使用

受支持的 SSH 密钥格式

Azure 目前支持以下密钥类型:

  • SSH 协议 2 (SSH-2) RSA(Rivest、Shamir、Adleman),最小长度为 2048 位
  • ED25519 密钥,固定长度为 256 位

目前不支持其他密钥格式,例如 Elliptic-curve Diffie–Hellman (ECDH) 和椭圆曲线数字签名算法 (ECDSA)。

创建 SSH 密钥对

使用 ssh-keygen 命令生成 SSH 公钥和私钥文件。 默认情况下,这些文件在 ~/.ssh 目录中创建。 可以指定不同的位置,并指定可选的密码(通行短语)用于访问私钥文件。 如果给定位置存在具有相同名称的 SSH 密钥对,则这些文件将被覆盖。

以下命令使用 RSA 加密和 4096 位长度创建 SSH 密钥对:

ssh-keygen -m PEM -t rsa -b 4096 -f ~/.ssh/id_rsa.pem

以下命令使用 ED25519 加密和 256 位固定长度创建 SSH 密钥对:

ssh-keygen -m PEM -t ed25519 -f ~/.ssh/id_ed25519.pem

注意

还可使用 Azure CLI 通过 az sshkey create 命令创建密钥对,如生成和存储 SSH 密钥所述。

如果通过 Azure CLI 使用 az vm create 命令创建 VM,可以使用 --generate-ssh-keys 选项生成 SSH 公钥和私钥文件。 除非使用 --ssh-dest-key-path 选项另行指定,否则将在 ~/.ssh 目录中存储密钥文件。 如果已存在 ssh 密钥对且使用的是 --generate-ssh-keys 选项,则不会生成新的密钥对,而是会使用现有的密钥对。 在以下命令中,将 VMname、RGname 和 UbuntuLTS 替换为你自己的值:

az vm create --name VMname --resource-group RGname --image Ubuntu2204 --generate-ssh-keys

注意

az sshkey create 命令默认使用 RSA 加密,不能用于生成 ED25519 密钥对,但可以按照上述说明使用 ssh-keygen 创建 ED25519 密钥对,然后使用该公钥创建 VM。

部署 VM 时提供 SSH 公钥

若要创建使用 SSH 密钥进行身份验证的 Linux VM,请在使用 Azure 门户、Azure CLI、Azure 资源管理器模板或其他方法创建 VM 时指定 SSH 公钥:

如果你不熟悉 SSH 公钥的格式,可使用以下 cat 命令显示公钥(请根据需要,将 ~/.ssh/id_rsa.pub 替换为自己的公钥文件的路径和文件名):

RSA 密钥对

cat ~/.ssh/id_rsa.pub

典型的 RSA 公钥值如以下示例所示:

ssh-rsa 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 username@domainname

ED25519 密钥对

cat ~/.ssh/id_ed25519.pub

典型的 ED25519 公钥值如以下示例所示:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILRjWGWLeiUQ3U9fNnCsNpXIyACpD/Jbm09OZGsz3DIM username@domainname

如果复制并粘贴要在 Azure 门户或资源管理器模板中使用的公钥文件的内容,请务必不要复制任何尾部空格。 若要在 macOS 中复制公钥,可以通过管道将公钥文件传递给 pbcopy。 类似地,在 Linux 中,可以通过管道将公钥文件传递给 xclip 等程序。

放置在 Azure 中 Linux VM 上的公钥默认存储在 ~/.ssh/ 目录下,除非在创建密钥对时指定了其他位置。 若要借助现有公钥使用 Azure CLI 2.0 创建 VM,请结合 --ssh-key-values 选项使用 az vm create 命令,来指定此公钥的值和(可选的)位置。 在下面的命令中,将 myVM、myResourceGroup、UbuntuLTS、azureuser 和 mysshkey.pub 替换为自己的值 :

az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image Ubuntu2204 \
  --admin-username azureuser \
  --ssh-key-values mysshkey.pub

如果想要将多个 SSH 密钥用于 VM,可以使用以逗号分隔的列表形式输入这些密钥,例如 --ssh-key-values sshkey-desktop.pub, sshkey-laptop.pub

通过 SSH 连接到 VM

凭借部署在 Azure VM 上的公钥和本地系统上的私钥,使用 VM 的 IP 地址或 DNS 名称通过 SSH 连接到 VM。 在以下命令中,将 azureuser 和 myvm.westus.cloudapp.azure.com 替换为管理员用户名和完全限定的域名(或 IP 地址) :

ssh azureuser@myvm.westus.cloudapp.azure.com

如果是首次连接到此 VM,则要求验证主机的指纹。 接受呈现的指纹很容易,但这种方法会将你暴露,使你遭受可能的中间人攻击。 应始终验证主机的指纹。 只需在首次从客户端连接时执行此操作。 若要通过门户获取主机指纹,请使用“运行命令”功能来执行命令 ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub | awk '{print $2}'

显示使用“运行命令”功能验证主机指纹的屏幕截图。

若要使用 CLI 运行命令,请使用 az vm run-command invoke

如果创建密钥对时指定了密码,则在登录过程中遇到提示时,请输入该密码。 VM 将添加到 ~/.ssh/known_hosts 文件。系统不会要求再次进行连接,除非更改了 Azure VM 上的公钥,或者从 ~/.ssh/known_hosts 中删除了服务器名称。

如果 VM 使用的是实时访问策略,则需要先请求访问权限,然后才能连接到 VM。 有关实时策略的详细信息,请参阅使用实时策略管理虚拟机访问

后续步骤