So nutzen Sie SSH-Keys für Ihre Netzwerkverbindung

Mithilfe des Netzwerkprotokolls SSH können Sie eine sichere und verschlüsselte Netzwerkverbindung zu einem entfernten Gerät wie z. B. einem Server herstellen. Mit einer solchen SSH-Verbindung warten Sie den Server von Ihrem lokalen Computer aus oder bedienen ihn per Kommandozeile. Abhängig von der genutzten Version des Protokolls kommen dabei verschiedene Verschlüsselungsalgorithmen zum Einsatz – SSH-2 greift beispielsweise standardmäßig auf AES zurück. Der Verschlüsselung der Verbindung muss allerdings zunächst eine erfolgreiche Authentifizierung vorausgehen. Während der Server sich gegenüber dem Client mit einem Sicherheitszertifikat identifiziert, gibt es verschiedene Varianten zur Anmeldung des Clients auf dem Server. Neben der bekannten klassischen Variante mit Benutzername und Passwort können Sie unter anderem auch Schlüsselpaare nutzen, die aus einem privaten und einem öffentlichen SSH-Schlüssel bestehen.

Um die Vorteile von SSH-Verbindungen zu nutzen, benötigen Sie eines der verfügbaren SSH-Pakete wie OpenSSH für Unix-, WinSCP für Windows- oder PuTTY für Unix- und Windows-Betriebssysteme. Neben dem SSH-Protokoll implementieren die Pakete u. a. Anwendungen, mit deren Hilfe Sie SSH-Schlüssel generieren können. In den folgenden Anleitungen erklären wir Schritt für Schritt, wie Sie die Verwendung der Schlüsselpaare mit OpenSSH und PuTTY einrichten können.

SSH-Schlüssel mit OpenSSH konfigurieren

1. Zu Beginn gilt es, die SSH-Schlüssel zu generieren, wozu Sie folgenden Befehl benötigen:
   
   ssh-keygen -t rsa -b 4096
   
   Durch die optionalen Parameter bestimmen Sie die Verschlüsselungsart (-t), in diesem Fall RSA, und die Bit-Schlüssellänge (-b), wobei 4096 den Maximalwert darstellt. Nutzen Sie diese Spezifizierung nicht, werden die Standardeinstellungen für die Generierung verwendet.
    
2. Im folgenden Dialog können Sie das Verzeichnis sehen bzw. verändern, in das die SSH-Keys hinterlegt werden sollen („Enter file in which to save the key“), und haben zudem die Option, eine Passphrase für den privaten Key zu definieren („Enter passphrase“). Möchten Sie das Standardverzeichnis verwenden und keine Kennung für Ihren Schlüssel einrichten, können Sie die Felder freilassen und mit der Eingabetaste überspringen.
    
3. Beide SSH-Schlüssel sind nun im zuvor genannten bzw. gewählten Verzeichnis in unterschiedlichen Dateien gespeichert. Die Datei id_rsa.pub enthält den öffentlichen Schlüssel, der nun im Unterordner .ssh in der Datei authorized_keys auf dem Server hinterlegt werden muss. Dazu kopieren Sie zunächst den Key in das Home-Verzeichnis des jeweiligen Users auf dem Server:
   
    scp ~/.ssh/id_rsa.pub USER@HOST.de
    
4. Loggen Sie sich auf dem Server ein und kopieren Sie den öffentlichen SSH-Key in den richtigen Ordner:
   
   ssh USER@HOST.de
   
   cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
    
5. Nun sollten die Schlüsselpaare sowie, falls definiert, deren Passphrase beim Aufbau der SSH-Verbindung automatisch verwendet werden. Wenn nicht, überprüfen Sie, ob die Rechte des Ordners .ssh und der Datei authorized_keys richtig gesetzt sind.
    
6. Da die Public-Key-Authentifizierung die normale Passwort-Authentifizierung ersetzt, können Sie das Standardverfahren in der SSH-Konfigurationsdatei /etc/ssh/sshd_config (oder auch direkt unter /etc/, z. B. in Cygwin) ausschalten, indem Sie die Zeile „PasswordAuthentication yes“ in „PasswordAuthentication no“ umändern und den Server anschließend neustarten.

SSH-Schlüssel generieren mit dem PuTTY Key Generator

1. Wenn Sie PuTTY nutzen, um eine SSH-Verbindung aufzubauen, haben Sie mit PuTTYgen auch standardmäßig das passende Werkzeug parat, um Schlüsselpaare zu generieren. Sie finden den PuTTY Key Generator im gleichen Verzeichnis, in das Sie PuTTY installiert bzw. entpackt haben. Fehlt das Tool, laden Sie es einfach auf der PuTTY Download Page herunter.
    
2. Nach dem Start wählen Sie unter „Parameters“ den Verschlüsselungstyp – für SSH-2 können Sie sich zwischen RSA und DAS entscheiden. Unter „Number of bits in a generated key“ definieren Sie die gewünschte Schlüssellänge.
    
3. Klicken Sie anschließend auf „Generate“ und bewegen die Maus im freien Bereich des Dialogfensters hin und her, um die Individualität des Codes zu gewährleisten.
    
4. Ist die Generierung abgeschlossen, versehen Sie das erzeugte Schlüsselpaar optional mit einem Kommentar und einer Passphrase.
    
5. Über „Save private key“ und „Save public key“ speichern Sie die beiden SSH-Keys.
    
6. Um den öffentlichen Key nun auf den Server zu übertragen, verbinden Sie sich über PuTTY mit diesem und kopieren anschließend den Code aus der Zwischenablage („Public key for pasting into OpenSSH authorized_keys file“) in die authorized_keys-Datei.
    
7. Im letzten Schritt tragen Sie im PuTTY-Client den privaten SSH-Schlüssel ein. Dazu öffnen Sie das Konfigurationsmenü und wählen dort unter „Category“ > „Connection“ > „SSH“ > „Auth“ > „Private key file for authentication“ die Datei des privaten Keys aus.