[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenSSH/OpenSSL



Marco Maske wrote:
> kanou schrieb:
[...]
>> Die Ports sind offen, ich habe neue Schlüssel erstellt, ssh auf die
>> neuste Version angehoben, aber es klappt einfach nicht.
>> Muß ich Schlüssel, die ich auf einem Server erstelle auch an den
>> Client schicken?
> 
> Aber stelbstversändlich :-)

Äh, die Frage ist, warum überhaupt etwas auf dem Server generiert
werden soll und was für Schlüssel auf dem Server generiert wurden.

Ein Schlüsselpaar _kann_ auf dem Server generiert werden und dann auf
den Client kopiert werden. Der Server benötigt zur Authentifizierung
aber lediglich den öffentlichen Schlüssel. Den privaten Schlüssel einem
zweiten Rechner zugänglich zu machen, ist nicht gut. Daher generiert
man Schlüsselpaare am besten immer auf dem Client und gibt den Servern
nur den öffentlichen Schlüsselteil.

> Kurzanleitung:
> 
> ssh-keygen -t dsa -b 2048
> # erstellt ein Schlüssel_paar_ auf dem Server.
> #SSH-Key id_dsa (Server-key) und id_dsa.pub (public- bzw. Client-key)

Den privaten Teil des Schlüsselpaares Server-Key zu nennen ist Quatsch
und irreführend. Es existiert ein "Hostkey", der am ehesten als
"Server-Key" durchgehen würde, aber warum sollte man sinnvolle,
bestehende Terminiologie ändern?

> scp ~/.ssh/id_dsa.pub
> #kopiert public key auf den Client
>
> cat ~/id_dsa.pub >> ~/.ssh/authorized_keys
> #fügt den public- bzw. Client-key dem authorized_keys file auf dem
> #Client hinzu. 
> # Die Datei ~/.ssh/authorized_keys enthält die öffentlichen Schlüssel,
> # deren Eigentümer sich per ssh-key anmelden dürfen.
> 
> Das wird auf jedem Rechner und für jeden User gemacht, der sich mit
> dem anderen Rechner verbinden soll.

Nene, Du bringst Server und Client durcheinandern. Dein Posting stimmt
beinahe, wenn man Server durch Client und vice versa ersetzt :-)

> Weil Du Dich jetzt wohl ausgesperrt hast, must Du per eMail (evtl.
> gpg verschl.) oder USB-Stick den id_dsa.pub auf den Client bringen
> und dem authorized_keys file zufügen.

Auch hier: andersrum.

Attachment: pgp8AWvJEp3Zl.pgp
Description: PGP signature


Reply to: