<![CDATA[拍拍尘土]]>

<![CDATA[拍拍尘土]]> http://blog.xg98.com/ zh-cn LBS v2.0.313 Mon, 04 May 2026 19:34:52 +0800 60 <![CDATA[CentOS6和centos7系统中SSH使用证书登录]]> ]]> Mon, 15 Mar 2021 13:49:19 +0800 p.s.操作是比较简单，不过一旦开启证书登录必然会禁止密码登录。所以一定要保管好私钥证书，放U盘里面弄丢就傻了

1. 生成用于SSH的公钥和私钥（本例用户为sftpuser）

ssh-keygen -t rsa

会提示输入：密钥存放位置（直接回车，默认在/home/sftpuser/.ssh/）、密码短语、重复密码短语。

完成后在/home/sftpuser/.ssh/目录下生成了2个文件：id_rsa为私钥，id_rsa.pub为公钥。

2. 服务器端导入公钥
这里用追加不直接替换，如果不存在authorized_keys新建立一个，这里可以指定authorized_keys就是公钥的合集[code][/code]]]> <![CDATA[winscp使用普通用户连接centos的sftp问题，无权访问和时间戳问题分析]]> ]]> Sat, 13 Mar 2021 16:36:56 +0800

http://blog.xg98.com/attachments/202103/13_165652__20210313165625.png

错误代码：
英文： WinSCP:but error occurred while setting the permissions and/or timestamp
中文：无权访问，错误码3，文件xxx上传成功，但是在设置权限和/或时间戳时发生错误。

错误分析：
首先winscp下载正常，文件带时间戳也会自动下到本地，问题出在上传的时候，
出现这个提示的时候文件已经上传成功，但是在修改文件时间戳的某些时候出现了权限不足，结果测试发现
1、sftp用户上传新文件时，时间戳也上传成功
2、sftp用户覆盖自己上传的文件时，时间戳也上传成功
3、sftp用户覆盖其他用户的文件时出现了错误，时间戳无法保留原始文件的时间戳，只能更新为当前最新时间
]]> <![CDATA[win2003下安装freesshd,实现密钥证书安全登录 sftp和ssh，过程记录]]> ]]> Fri, 12 Mar 2021 13:37:01 +0800 一、安装freesshd
下载后直接安装，会自动增加一个freesshd的服务FreeSSHDService。win2003默认安装即可，服务也默认为本地系统账号运行。（win2008下可能需要管理员方式运行，未测试。）

二、配置freesshd

选择IP和端口，生成一个新的RSA私钥

http://blog.xg98.com/attachments/202103/12_140934_new1.jpg

建立一个登陆用户 sshuser2 ，登陆方式采用ssh证书登录

http://blog.xg98.com/attachments/202103/12_141627_new3.jpg

选择sftp登录后锁定的根目录

http://blog.xg98.com/attachments/202103/12_141638_new5.jpg

选择公钥证书所在目录，此公钥文件名必须和登录用户名完全一样 ]]> <![CDATA[证书相关：rsa、crt文件、key文件、csr文件]]> ]]> Fri, 12 Mar 2021 09:22:36 +0800 【关于加密解密的3种方式】
1、单向加密：也就是不可逆的加密，例如MD5,SHA,HMAC
2、对称加密：也就是加密方和解密方利用同一个秘钥对数据进行加密和解密，例如DES，PBE等等
3、非对称加密：非对称加密分为公钥和秘钥，二者是非对称的，例如用私钥加密的内容需要使用公钥来解密，使用公钥加密的内容需要用私钥来解密，DSA，RSA...

首先，几个概念：

（1）非对称加密：一个公钥、一个私钥，公钥加密的文件可以用私钥解密，反之也可以；RSA就是一种常见的非对称加密算法；

另外，私钥一般自己保存，只有自己知道；公钥则是公开的

（2）openssl：一个开源的组织、一个开源的软件代码库和密码库工具，囊括了主要的密码算法；

（1）OK，怎么生成一个RSA的公钥和密钥对，并进行解密和加密？？？？

openssl genpkey -algorithm rsa -out rsa_private.key

]]> <![CDATA[id_rsa 和 id_dsa 以及 .crt和.key和.ppk和.pem文件]]> ]]> Thu, 11 Mar 2021 17:06:50 +0800 p.s.不要通过文件后缀就判断文件内容，.key或者.cfg文件都有可能是私钥，你只有打开了才知道里面是什么，.pem也可能包括私钥/公钥/证书。最好使用前打开文件看看里面包含了哪些内容。

基本知识：
1、RSA和DSA都是非对称加密方法。
2、私钥加密内容，只能公钥解密，公钥加密内容，只能私钥解密。公钥加密的公钥不能解密的。
3、私钥一般保存在比较安全地方，其他用户接触不到
4、id_rsa和id_dsa为一种密钥对的私钥文件，目前认为id_dsa不够安全弃用，也可以加个.key后缀如id_rsa.key。
5、id_rsa.pub 是 id_rsa私钥所对应的公钥文件，win通过puttygen导入openssh私钥后直接在文本框获取到。centos下可直接生成密钥对id_rsa与id_rsa.pub

#ssh-keygen -t rsa

]]> <![CDATA[certificate – 什么是Pem文件,它与其他OpenSSL生成的密钥文件格式有何不同？]]> ]]> Thu, 11 Mar 2021 16:10:39 +0800 p.s. 复杂不统一的证书命名方式，很多时候都让人困惑。即便base64编码内容相同，正文前后的格式也可能不同，所以无法通用。

Openssl使用PEM(RFC 1421－1424)文档格式。PEM使用BASE64编码。BASE64不是加密算法，但也是SSL经常使用的一种算法，它是编码方式，用来把asc码和二进制码转来转去的。

一般.pem的格式如下所示：

----BEGIN CERTIFICATE----
block of base64 encoded data
----END CERTIFICATE----

举个具体例子

-----BEGIN DSA PRIVATE KEY-----
MIIBvAIBAAKBgQDkpLYWORME30eduO01gBMFeb72RNR6xUVcM7YKH427YTZVe8Rw

]]> <![CDATA[关于pem与ppk格式的密钥的相互转换]]> ]]> Thu, 11 Mar 2021 15:57:32 +0800
pem好像是Privacy Enhanced Mail的缩写，以前是利用公钥加密进行邮件安全的一个协议，

而现在PEM这个协议仅仅在使用的就是.pem这种文件格式

ppk文件是Putty的私钥。PuTTY Private Key 的缩写。

目前putty基于密钥登录，只能使用ppk格式，而其他ssh客户端，大多都只能使用通过的.pem格式

要实现.pem与.ppk格式的相互转换，目前主要都是使用puttygen这个小程序，具体方法如下：

Window系统下的操作：

.pem （id_rsa、id_dsa） ----转----> .ppk
]]>