יצירת מפתחות SSH

במאמר הזה מתואר איך ליצור זוג מפתחות SSH למכונות וירטואליות (VM) של Compute Engine כדי להתחבר אליהן בצורה מאובטחת.

לפני שמתחילים

  • אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

    צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS

    gcloud

    1. התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

      gcloud init
  • הגדרת אזור ותחום כברירת מחדל

    • REST

    כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

      התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם.

    מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .

יצירת זוג מפתחות SSH

אם מתחברים למכונות וירטואליות באמצעות מסוף Cloud de Confiance או Google Cloud CLI, מערכת Compute Engine יוצרת מפתחות SSH בשבילכם. מידע נוסף על האופן שבו Compute Engine מגדיר ומאחסן מפתחות זמין במאמר מידע על חיבורי SSH.

אם אתם מתחברים למכונות וירטואליות באמצעות כלים של צד שלישי או OpenSSH, אתם צריכים להוסיף מפתח למכונה הווירטואלית לפני שתוכלו להתחבר. אם אין לכם מפתח SSH, אתם צריכים ליצור אותו. המכונות הווירטואליות מקבלות את פורמטי המפתחות שמפורטים בקובץ sshd_config.

‫Linux ו-macOS

בתחנות עבודה של Linux ו-macOS, משתמשים בכלי ssh-keygen כדי ליצור זוג מפתחות SSH חדש. בדוגמה הבאה נוצר זוג מפתחות RSA.

פותחים טרמינל ומשתמשים בפקודה ssh-keygen עם הדגל -C כדי ליצור צמד מפתחות SSH חדש.

ssh-keygen -t rsa -f ~/.ssh/KEY_FILENAME -C USERNAME

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_FILENAME: השם של קובץ מפתח ה-SSH.

    לדוגמה, שם הקובץ my-ssh-key יוצר קובץ מפתח פרטי בשם my-ssh-key וקובץ מפתח ציבורי בשם my-ssh-key.pub.

  • USERNAME: שם המשתמש שלכם במכונה הווירטואלית. לדוגמה, cloudysanfrancisco או cloudysanfrancisco_gmail_com.

    במכונות וירטואליות של Linux, אי אפשר להשתמש ב-USERNAME בתור root, אלא אם מגדירים את המכונה הווירטואלית כך שתאפשר התחברות של משתמש ה-Root. מידע נוסף זמין במאמר איך מתחברים למכונות וירטואליות כמשתמש Root.

    במכונות וירטואליות של Windows שמשתמשות ב-Active Directory ‏ (AD), צריך להוסיף לפני שם המשתמש את הדומיין של AD, בפורמט DOMAIN\. לדוגמה, למשתמש cloudysanfrancisco ב-AD‏ ad.example.com יש USERNAME עם הערך example\cloudysanfrancisco.

ssh-keygen שומר את קובץ המפתח הפרטי ב-~/.ssh/KEY_FILENAME ואת קובץ המפתח הציבורי ב-~/.ssh/KEY_FILENAME.pub.

מפתח ציבורי של משתמש cloudysanfrancisco נראה בערך כך:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF... cloudysanfrancisco

‫Windows 10 ואילך

בתחנות עבודה עם Windows גרסה 10 ואילך, משתמשים בכלי ssh-keygen כדי ליצור זוג חדש של מפתחות SSH. בדוגמה הבאה נוצר זוג מפתחות RSA.

פותחים את שורת הפקודה ומשתמשים בפקודה ssh-keygen עם הדגל -C כדי ליצור צמד מפתחות SSH חדש.

ssh-keygen -t rsa -f C:\Users\WINDOWS_USER\.ssh\KEY_FILENAME -C USERNAME

מחליפים את מה שכתוב בשדות הבאים:

  • WINDOWS_USER: שם המשתמש שלכם במכונת Windows.

  • KEY_FILENAME: השם של קובץ מפתח ה-SSH.

    לדוגמה, שם הקובץ my-ssh-key יוצר קובץ מפתח פרטי בשם my-ssh-key וקובץ מפתח ציבורי בשם my-ssh-key.pub.

  • USERNAME: שם המשתמש שלכם במכונה הווירטואלית. לדוגמה, cloudysanfrancisco או cloudysanfrancisco_gmail_com.

    במכונות וירטואליות של Linux, אי אפשר להשתמש ב-USERNAME בתור root, אלא אם מגדירים את המכונה הווירטואלית כך שתאפשר התחברות של משתמש ה-Root. מידע נוסף זמין במאמר איך מתחברים למכונות וירטואליות כמשתמש Root.

    במכונות וירטואליות של Windows שמשתמשות ב-Active Directory ‏ (AD), צריך להוסיף לפני שם המשתמש את הדומיין של AD, בפורמט DOMAIN\. לדוגמה, למשתמש cloudysanfrancisco ב-AD‏ ad.example.com יש USERNAME עם הערך example\cloudysanfrancisco.

ssh-keygen שומר את קובץ המפתח הפרטי ב-C:\Users\WINDOWS_USER\.ssh\KEY_FILENAME ואת קובץ המפתח הציבורי ב-C:\Users\WINDOWS_USER\.ssh\KEY_FILENAME.pub.

מפתח ציבורי של משתמש cloudysanfrancisco נראה בערך כך:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF... cloudysanfrancisco

‫Windows 8 או גרסה מוקדמת יותר

בתחנות עבודה עם Windows גרסה 8 או גרסאות קודמות, משתמשים בכלי PuTTYgen כדי ליצור זוג חדש של מפתחות SSH. בדוגמה הבאה נוצר זוג מפתחות RSA.

  1. מורידים את puttygen.exe אם עדיין לא עשיתם את זה.

  2. פותחים את PuTTYgen.

  3. בקטע פרמטרים מציינים את הפרטים הבאים:

    • סוג המפתח ליצירה: RSA
    • מספר הביטים במפתח שנוצר: 2048 או יותר

  4. לוחצים על יצירה ופועלים לפי ההוראות במסך.

    הכלי מציג את הערך של המפתח הציבורי.

  5. בקטע Key comment, מחליפים את הטקסט שמופיע מראש בשם המשתמש שלכם. לדוגמה, cloudysanfrancisco או cloudysanfrancisco_gmail_com.

    במכונות וירטואליות של Linux, אי אפשר להשתמש בערך root בשדה הערה לגבי המפתח, אלא אם מגדירים את ה-VM כך שתתאפשר התחברות באמצעות משתמש ה-Root. מידע נוסף זמין במאמר איך מתחברים למכונות וירטואליות כמשתמש Root.

    במכונות וירטואליות של Windows שמשתמשות ב-Active Directory ‏ (AD), צריך להוסיף את דומיין ה-AD לפני הערה לגבי המפתח, בפורמט DOMAIN\. לדוגמה, למשתמש cloudysanfrancisco ב-ad.example.com AD יש הערה מרכזית של example\cloudysanfrancisco.

  6. אופציונלי: מזינים סיסמה למפתח כדי להגן על המפתח באמצעות סיסמה.

  7. לוחצים על שמירת המפתח הפרטי כדי לבחור מיקום לשמירת המפתח הפרטי.

    הכלי PuTTYgen כותב את המפתח הפרטי לקובץ עם סיומת .ppk.

  8. לוחצים על שמירת המפתח הציבורי כדי לבחור מיקום לשמירת המפתח הציבורי. משאירים את החלון של PuTTYgen פתוח.

  9. מעתיקים את הטקסט מהשדה Public key for pasting into OpenSSH authorized_keys file.

  10. פותחים את קובץ המפתח הציבורי. המפתח הציבורי מופיע בפורמט דומה לזה:

    ---- BEGIN SSH2 PUBLIC KEY ----
Comment: "USERNAME"
KEY_VALUE
---- END SSH2 PUBLIC KEY ----

  11. מחליפים את כל התוכן של קובץ המפתח הציבורי בערך שהעתקתם מהשדה Public key for pasting into OpenSSH authorized_keys file (מפתח ציבורי להדבקה בקובץ authorized_keys של OpenSSH), כך שקובץ המפתח הציבורי יתאים לפורמט הבא:

    KEY_VALUE USERNAME

מפתח ציבורי של משתמש cloudysanfrancisco נראה בערך כך:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF... cloudysanfrancisco

מה השלב הבא?