概述

在Windows 环境中的大多数身份验证都基于用户名-密码对完成的，很容易受到暴力攻击入侵。相对于Linux 环境通常使用公钥/私钥对来驱动身份验证，这不要求使用可推测的密码。“私钥”文件和“公钥”文件采用非对称加密算法生成，私钥文件等效于密码，用于解密由公钥加密的数据。

基于密钥的身份验证的工具的具体实现逻辑是：

客户端：ssh-keygen：生成安全的密钥，公钥和私钥；

客户端：ssh-agent 和 ssh-add：安全地存储私钥，加载私钥后，客户端本地系统可删除私钥文件；

客户端：scp 和 sftp：客户端把公钥上传到SSH服务端。

那么，Windows10系统该如何实现基于密钥的身份验证呢？本期文章予以揭晓。

生成安全的密钥文件

客户端系统生成私钥和公钥文件。

打开系统命令提示符，输入命令“ssh-keygen -t ed25519”；

按 Enter 来接受默认值，或指定要在其中生成密钥的路径和/或文件名，然后，系统会提示你使用密码来加密你的私钥文件；

直接按 Enter默认不设置密码，建议使用密码加密私钥文件，从而实现基于密码与密钥文件的双因子身份验证。

如下图所示：

未设置密码加密私钥文件；

生成的私钥文件保存的位置：C:\Users\Administrator/.ssh/Tid_ed25519；

生成的公钥文件保存的位置：C:\Users\Administrator/.ssh/Tid_ed25519.pub；

启动ssh-agent服务并加载私钥

客户端系统启动ssh-agent服务并加载私钥。

打开命令提示符【CMD】，输入命令services.msc打开服务，如下图所示；

定位到OpenSSH Authentication Agent并启动该服务。

以管理员权限打开命令提示符【CMD】，输入命令ssh-add C:\Users\Administrator\.ssh\Tid_ed25519加载私钥，如下图所示；

将私钥加载到客户端上的 ssh-agent 后，ssh-agent 会自动检索本地私钥并将其传递给 SSH 客户端。

Tips：

建议将私钥备份到一个安全位置，待ssh-agent将其加载后，即可把它从本地系统中删除。此外，使用强算法Ed25519是无法从代理中检索私钥。

把公钥上传到SSH服务端

客户端系统把生成的公钥文件上传到SSH服务端系统。

对于SSH服务端系统的管理员账户，将公钥(Tid_ed25519.pub)的内容需放置在SSH服务端系统上的一个名为 administrators_authorized_key的文本文件中，该文件位于 C:\ProgramData\ssh\，如下图所示；

关键命令释义：

#定义变量authorizedKey，把公钥文件赋值给它

$authorizedKey = Get-Content -Path C:\Users\Administrator\.ssh\Tid_ed25519.pub

#定义变量remotePowershell，并调用变量authorizedKey

$remotePowershell = "powershell Add-Content -Force -Path $env:ProgramData\ssh\administrators_authorized_keys -Value '$authorizedKey';icacls.exe ""$env:ProgramData\ssh\administrators_authorized_keys"" /inheritance:r /grant ""Administrators:F"" /grant ""SYSTEM:F"""

#登录SSH服务端系统并调用变量remotePowershell

ssh administrator@192.168.1.10 $remotePowershell

测试验证

打开命令提示符【CMD】，输入命令“ssh 192.168.1.10”，即可登录SSH服务端系统，如下图所示；

总结

以上分享，希望各位小伙伴有所收获，欢迎各位点赞、收藏和指正。