| SSH-KEYGEN(1) | FreeBSD General Commands Manual | SSH-KEYGEN(1) |
名称
ssh-keygen — 認証鍵の生成、管理と変換書式
| ssh-keygen | [ -q][ -b bits] -t type [ -N new_passphrase][ -C comment][ -f output_keyfile] |
| ssh-keygen | -p [ -P old_passphrase][ -N new_passphrase][ -f keyfile] |
| ssh-keygen | -i [ -m key_format][ -f input_keyfile] |
| ssh-keygen | -e [ -m key_format][ -f input_keyfile] |
| ssh-keygen | -y [ -f input_keyfile] |
| ssh-keygen | -c [ -P passphrase][ -C comment][ -f keyfile] |
| ssh-keygen | -l [ -f input_keyfile] |
| ssh-keygen | -B [ -f input_keyfile] |
| ssh-keygen | -D pkcs11 |
| ssh-keygen | -F hostname [ -f known_hosts_file][ -l] |
| ssh-keygen | -H [ -f known_hosts_file] |
| ssh-keygen | -R hostname [ -f known_hosts_file] |
| ssh-keygen | -r hostname [ -f input_keyfile][ -g] |
| ssh-keygen | -G output_file [ -v][ -b bits][ -M memory][ -S start_point] |
| ssh-keygen | -T output_file -f input_file [ -v][ -a num_trials][ -J num_lines][ -j start_line][ -K checkpt][ -W generator] |
| ssh-keygen | -s ca_key -I certificate_identity [ -h][ -n principals][ -O option][ -V validity_interval][ -z serial_number] file ... |
| ssh-keygen | -L [ -f input_keyfile] |
| ssh-keygen | -A |
| ssh-keygen | -k -f krl_file [ -u][ -s ca_public][ -z version_number] file ... |
| ssh-keygen | -Q -f krl_file file ... |
解説
ssh-keygen は、 ssh(1) のための認証鍵を生成し、管理し、そして変換します。 ssh-keygen は、SSH プロトコルバージョン 1 によって使用される RSA 鍵と、 SSH プロトコルバージョン 2 によって使用される DSA 鍵、ECDSA 鍵、または RSA 鍵を生成できます。生成される鍵のタイプは、 -t オプションで指定されます。何も引数なしで呼び出されるなら、 ssh-keygen は、SSH プロトコルバージョン 2 接続で使用される RSA 鍵を生成します。また、 ssh-keygen は、Diffie-Hellman 群交換 (DH-GEX) で使用される群 (group) を生成するために使用されます。詳細については、 係数 (modulus) の生成 セクションを参照してください。
最後に、与えられた鍵が取り消されたたかどうかテストするために、 ssh-keygen を鍵取り消しリストを生成し更新するために使用することができます。詳細については、 鍵取り消しリスト セクションを参照してください。
通常、公開鍵の認証で SSH を使いたいユーザは、一度このプログラムを実行すれば ~/.ssh/identity, ~/.ssh/id_ecdsa, ~/.ssh/id_dsa または ~/.ssh/id_rsa に鍵 (identity ファイル) を作ることができます。また /etc/rc などで見られるように、システム管理者がホスト鍵を生成するためにこのプログラムを使うこともできます。
通常、このプログラムは、鍵を生成したあと、その鍵 (identity) をどのファイルに格納すればよいのか尋ねます。公開鍵は、秘密鍵を含む identity ファイルの名前に“.pub”をつけた名前のファイルとして格納されます。またこのプログラムは、パスフレーズも尋ねてきます。任意の長さの文字列をパスフレーズとして使用することができます。パスフレーズをつけないときには、これは、空でもかまいません (ホスト鍵のパスフレーズは、必ず空でなければいけません)。パスフレーズは、パスワードに似ていますが、パスワードとは違って単語の列や句読点、数値、空白など、好きな文字を含めることができます。よいパスフレーズとは、10〜30 文字程度の長さで、簡単な文章や容易に推測できるものではないことです (英語の散文では、1 文字あたりのエントロピは、わずか 1〜2 ビットしかなく、パスフレーズとしては、非常に望ましくありません)。また大文字と小文字が混じっているものがよいでしょう。パスフレーズは、 -p オプションによって、後から変更することもできます。
失われてしまったパスフレーズをもとに戻すことはできません。パスフレーズが失われるかまたは忘れられるなら、新しい鍵は、生成され、対応する公開鍵を他のマシンにコピーしなければなりません。
RSA1 鍵 (訳注: SSH1 で使う鍵) の場合、鍵のファイルには、コメントフィールドがあります。これは、ユーザが鍵を区別するためだけに便宜的に用意されているものです (訳注: SSH2 の鍵には、コメントはありません)。コメントには、鍵の用途やその他有用な情報を書いておくことができます。最初に鍵が作られるとき、コメントは、“user@host”の形に初期化されますが、 -c オプションを使えば変更することができます。
鍵を生成したあと、それを使用可能にするためにどこに置けばよいかは、後で説明しています。
オプションは、次の通りです:
- -A
- ホスト鍵が存在しない鍵のタイプ (rsa1、rsa、dsa と ecdsa) の各々について、デフォルト鍵のファイルパスがあるホスト鍵、空のパスフレーズ、鍵のタイプのためのデフォルトのビットとデフォルトのコメントを生成します。これは、新しいホスト鍵を生成するために /etc/rc によって使用されます。
- -a trials
- -T コマンドを使うときに、DH-GEX 群の候補をスクリーニングするために何回の素数判定テストをおこなうかを指定します。
- -B
- 指定された秘密鍵あるいは公開鍵ファイルの bubblebabble ダイジェストを表示します。
- -b bits
- 生成する鍵のビット数を指定します。 RSA 鍵の場合、最小のサイズは、 768 ビットであり、デフォルトは、2048 ビットです。ふつうは、2048 ビットの鍵で充分だと考えられており、 DSA 鍵の場合、FIPS 186-2 の規定により正確に 1024 ビットでなければなりません。 ECDSA 鍵について、 -b フラグは、次の 3 つの楕円曲線のサイズのうちの 1 つを選択することによって、それらの鍵の長さを決定します: 256, 384 または 521 ビット。 ECDSA 鍵に対して、これらの 3 つの値以外のビット長を使用することを試みると失敗します。
- -C comment
- 新しいコメントを追加します。
- -c
- 秘密鍵ファイルおよび公開鍵ファイルのコメントを変更します。このオプションは、プロトコルバージョン 1 における RSA 鍵に対してのみ有効です。まず秘密鍵の入っているファイル名を訊かれ、パスフレーズがあればそれを入力したあとに新しいコメントを入力します。
- -D pkcs11
- PKCS#11 共有ライブラリ pkcs11 によって提供された RSA 公開鍵をダウンロードします。 -s と組み合わせて使用されるとき、このオプションは、CA 鍵が PKCS#11 トークン (詳細については、 証明書 のセクションを参照) に存在していることを示します。
- -e
- このオプションは、秘密鍵または公開 OpenSSH 鍵ファイルを読み込んで、 -m オプションによって指定された形式の 1 つで標準出力 (stdout) に鍵を印刷 (表示) します。デフォルトのエクスポート形式は、“RFC4716”です。このオプションによって、いくつかの商用 SSH の実装を含む、他のプログラムによって使用されている OpenSSH 鍵をエクスポートできます。
- -F hostname
- 指定された hostname (ホスト名) を known_hosts ファイルの中から探し、見つかったものを一覧表示します。このオプションは、ハッシュされたホスト名あるいは IP アドレスを見つけるのに有用です。また、 -H オプションと組み合わせてハッシュされた形式の公開鍵を表示するのにも使えます。
- -f filename
- 鍵を格納するファイル名を指定します。
- -G output_file
- DH-GEX のための素数候補を生成します。これらの素数は、安全性のため ( -T オプションを使って) 実際の使用前にスクリーニングする必要があります。
- -g
- -r コマンドを使って指紋のレコードを表示するさいに、 Generic DNS 形式を使用します。
- -H
- known_hosts ファイルをハッシュし、その結果を標準出力に表示します。これは、すべてのホスト名および IP アドレスをハッシュされた表現で置き換え、そのファイルを更新します。古いファイルは、サフィックス .old がついた名前で保存されます。 ssh と sshd は、これらのハッシュ表現を普通に扱うことができますが、これによって、たとえファイルの内容が見えても識別可能な情報が明らかになることはありません。このオプションは、すでに存在するハッシュされたホスト名を修正することはしないため、ハッシュされた表現とハッシュされていない表現が混在したファイルに対してこのオプションを適用しても安全です。
- -h
- 鍵に署名するとき、ユーザ証明書の代わりにホスト証明書を作成します。詳細については、 証明書 セクションを参照してください。
- -I certificate_identity
- 公開鍵に署名するとき、鍵の identity を指定します。詳細については、 証明書 セクションを参照してください。
- -i
- このオプションは、 -m オプションによって指定された形式で暗号化されていない秘密鍵 (または公開鍵) ファイルを読み込んで、OpenSSH 互換の秘密鍵 (または公開鍵) を標準出力に印刷 (表示) します。
- -J num_lines
- -T オプションを使用して、DH 候補審査 (screening) を行なう間に、指定された行の数を審査した後に終了します。
- -j start_line
- -T オプションを使用して、DH 候補震災を行なう間に、指定された行番号で審査を開始します。
- -K checkpt
- -T オプションを使用して、DH 候補審査を行なう間に、ファイル checkpt に処理された最後の行を書き込みます。これは、ジョブが再開されるなら、既に処理された入力ファイルの行をスキップするために使用されます。このオプションによって、いくつかの商用 SSH の実装を含む、他のソフトウェアから鍵をインポートできます。デフォルトのインポート形式は、“RFC4716”です。
- -k
- KRL ファイルを生成します。このモードで、 ssh-keygen は、コマンド行に存在するすべての鍵または証明書を取り消す、 -f フラグによって指定された位置で KRL ファイルを生成します。取り消される鍵/証明書は、公開鍵ファイルによって指定されるか、または 鍵取り消しリスト セクションに記述される形式使用して指定されます。
- -L
- 証明書の内容を印刷 (表示) します。
- -l
- 指定された秘密鍵ファイルあるいは公開鍵ファイルの指紋 (fingerprint) を表示します。プロトコルバージョン 1 における RSA 鍵 (RSA1) もサポートされています。プロトコルバージョン 2 の RSA および DSA 鍵の場合、 ssh-keygen は、それに該当する公開鍵ファイルを探し出してその指紋を表示します。 -v と組み合わされるなら、鍵の ASCII art 表現は、指紋に供給されます。
- -M memory
- DH-GEX のモジュロとなる素数候補を生成するさいのメモリ消費量を (メガバイト単位で) 指定します。
- -m key_format
- -i (インポート) または -e (エクスポート) 変換オプションのための鍵の形式を指定します。サポートされている鍵の形式は、次の通りです: “RFC4716” (RFC 4716/SSH2 秘密鍵または秘密鍵)、“PKCS8” (PEM PKCS8 公開鍵)、または“PEM” (PEM 公開鍵)。デフォルトの変換形式は、“RFC4716”です。
- -N new_passphrase
- 新しいパスフレーズを与えます。
- -n principals
- 鍵に署名するとき、証明書に含まれる 1 つ以上のプリンシパル (ユーザまたはホスト名) を指定します。複数のプリンシパルは、コンマによって区切られて指定されます。詳細については、 証明書 セクションを参照してください。
- -O option
-
鍵に署名するとき、証明書オプションを指定します。このオプションを複数回指定することができます。詳細については、
証明書 セクションを参照してください。ユーザ証明書のために有効なオプションは、次の通りです:
- clear
- すべての有効にされた許可をクリアします。これは、許可のデフォルトセットをクリアするために役立つので、許可は、個別に追加されます。
- force-command= command
- 証明書が認証のために使用されるとき、ユーザによって指定されたシェルまたはコマンドの代わりに command を強制的に実行します。
- no-agent-forwarding
- ssh-agent(1) 転送を無効にする (デフォルトで許可されます)。
- no-port-forwarding
- ポート転送を無効にします (デフォルトで許可されます)。
- no-pty
- PTY 割り付けを無効にします (デフォルトで許可されます)。
- no-user-rc
- sshd(8) によって ~/.ssh/rc の実行を無効にします (デフォルトで許可されます)。
- no-x11-forwarding
- X11 転送を無効にします (デフォルトで許可されます)。
- permit-agent-forwarding
- ssh-agent(1) 転送を可能にします。
- permit-port-forwarding
- ポート転送を可能にします。
- permit-pty
- PTY 割り付けを可能にします。
- permit-user-rc
- sshd(8) によって ~/.ssh/rc の実行を可能にします。
- permit-x11-forwarding
- X11 転送を可能にします。
- source-address= address_list
- 証明書が有効であると見なされる発信元アドレスを制限します。 address_list は、CIDR 形式の 1 つ以上のアドレス/ネットマスクの組のコンマで区切られたリストです。
現在のところ、ホスト鍵に対してどんなオプションも有効ではありません。
- -P passphrase
- (古い) パスフレーズを指定します。
- -p
- 新しく秘密鍵をつくるのではなく、すでにある秘密鍵ファイルのパスフレーズを変更します。まず秘密鍵の入っているファイルを訊かれ、古いパスフレーズを入力したあと、新しいパスワードを 2 回入力します。
- -Q
- 鍵が KRL で取り消されたかどうかテストします。
- -q
- 静かな ssh-keygen。
- -R hostname
- known_hosts ファイルから、指定された hostname (ホスト名) に属する鍵をすべてとり除きます。このオプションは、ハッシュされたホスト (上記の -H オプションを参照) をファイルからとり除くのに有用です。
- -r hostname
- 指定された公開鍵に対する hostname (ホスト名) の SSHFP fingerprint 資源レコードを表示します。
- -S start
- DH-GEX のモジュロとなる素数候補を生成する際の開始点を (16 進で) 指定します。
- -s ca_key
-
指定された CA 鍵を使用して、公開鍵を承認します (署名します)。詳細については、
証明書 セクションを参照してください。
KRL を生成するとき、 -s は、鍵の ID またはシリアル番号によって証明書を直接取り消すために使用される CA 公開鍵ファイルへのパスを指定します。詳細については、 鍵取り消しリスト セクションを参照してください。
- -T output_file
- ( -G オプションで生成された) DH 群交換のための素数候補に対して、安全性の試験をおこないます。
- -t type
- 生成する鍵の種類を指定します。とりうる値として、プロトコルバージョン 1 で使う“rsa1”、およびプロトコルバージョン 2 で使う“dsa”, “ecdsa”または“rsa”があります。
- -u
- KRL を更新します。 -k で指定されたとき、コマンド行によってリストされた鍵は、作成されている新しい KRL ではなく既存の KRL に追加されます。
- -V validity_interval
-
証明書に署名するとき、正当性の間隔 (validity interval) を指定します。正当性の間隔は、証明書が、有効に現在始まって、その時間に期限が切れるか、または明白な時間の間隔を示すためにコロンによって区切られた 2 つの時間から成ることを示す、単一の時間から成ります。開始時刻は、YYYYMMDD 形式の日付、YYYYMMDDHHMMSS 形式の時刻、または
sshd_config(5) の「時間の形式」セクションに記述された形式で相対的な時間が続く (現在の時刻までの) マイナス記号から成る相対的な時刻として指定されます。終了時刻は、YYYYMMDD の日付、YYYYMMDDHHMMSS 時刻またはプラス文字で始まる相対的な時間として指定されます。
例えば: “+52w1d” (現在から 52 週間と現在から 1 日まで有効)、“-4w:+4w” (4 週間前からと現在から 4 週間まで有効)、“20100101123000:20110101123000” (2010 年 1 月 1 日午後 12 時 30 分から 2010 年 1 月 1 日午後 12 時 30 分まで有効)、“-1d:20110101” (昨日から 2011 年 1 月 1 日の真夜中まで有効)。
- -v
- 冗長表示モード。 ssh-keygen が進行中のデバッグメッセージを表示するようにします。これは、モジュロ生成のデバッグ時に役立ちます。複数の -v オプションをつけると出力が増えます。最大は、3 個です。
- -W generator
- DH-GEX 用の素数候補を検査するときのジェネレータを指定します。
- -y
- このオプションは、OpenSSH 形式の秘密鍵ファイルを読み、 OpenSSH 形式の公開鍵を標準出力に表示します。
- -z serial_number
-
同じ CA からと他のものからと、この証明書を区別するために証明書に埋め込まれるシリアル番号を指定します。デフォルトのシリアル番号は、0 です。
KRL を生成するとき、 -z フラグは、KRL バージョン番号を指定するために使用されます。
係数 (modulus) の生成
ssh-keygen は、Diffie-Hellman 群交換 (Diffie-Hellman Group Exchange, DH-GEX) のための群を生成するのにも使うことができます。この群を生成するには、 2 つの段階をふむ必要があります: まず、素数の候補が生成されます。これは、高速ですが、メモリを消費します。つぎにこれらの候補が適切かどうか検査されます (このときは、CPU 時間を消費します)。この素数の生成は、 -G オプションによっておこなえます。必要な素数の長さは、 -b オプションで指定することができます。たとえば:
# ssh-keygen -G moduli-2048.candidates -b 2048
デフォルトでは、素数の検索は、指定された長さの区間でランダムに選ばれた位置から開始されます。この開始位置は、 -S オプションによって変更することができます。
いったん候補の集合が生成されると、それらは、適切かどうかを検査されなければなりません。これは、 -T オプションをつかっておこなえます。この場合、 ssh-keygen は、標準入力 (あるいは -f オプションで指定したファイル) から候補を読み込みます。たとえば:
# ssh-keygen -T moduli-2048 -f moduli-2048.candidates
デフォルトでは、候補となる各素数は、100 回の素数判定テストにかけられます。この回数は、 -a オプションによって変更することができます。 DH ジェネレータの値は、検索中の素数のために自動的に選ばれます。特定のジェネレータが必要な場合は、 -W オプションによって指定することができます。許されるジェネレータの値は、2、3 あるいは 5 です。
最終的にスクリーニングされた DH 群は、 /etc/moduli にインストールすることができます。注意: このファイルは、ある範囲のビット長の係数 (modulus) を格納しており、この数は、2 つの通信端点間で同じものである必要があります。
証明書
ssh-keygen は、ユーザまたはホスト認証のために使用される証明書を作成するために鍵の署名をサポートします。証明書は、公開鍵、いくつかの identity 情報、0 以上のプリンシパル (ユーザまたはホスト) 名、と認証局 (CA) 鍵によって署名される 1 組のオプションから成ります。次に、クライアントまたはサーバは、多くのユーザ/ホスト鍵を信じるよりむしろ CA 鍵だけを信じて、証明書の署名を検証します。 OpenSSH 証明書は、 ssl(8) で使用される X.509 証明書と異なって、より簡潔な形式であることに注意してください。ssh-keygen は、2 つのタイプの証明書をサポートしています: ユーザとホストです。ユーザ証明書は、サーバへのユーザを認証しますが、ホスト証明書は、ユーザへのサーバのホストを認証します。ユーザ証明書を生成するために:
$ ssh-keygen -s /path/to/ca_key -I key_id /path/to/user_key.pub
結果の証明書は、 /path/to/user_key-cert.pub に置かれます。ホスト証明書は、 -h オプションを必要とします:
$ ssh-keygen -s /path/to/ca_key -I key_id -h /path/to/host_key.pub
ホスト証明書は、 /path/to/host_key-cert.pub への出力となります。
-D を使用してトークンライブラリを提供することによって PKCS#11 トークンに格納された CA 鍵を使用し、引数として公開の半分を -s に提供することによって CA 鍵を識別して署名することは可能です:
$ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id host_key.pub
すべての場合に、 key_id は、証明書が認証に使用されるとき、サーバによってログ記録される "key identifier" (鍵識別子) です。
証明書は、1 組のプリンシパル (ユーザ/ホスト) 名のために有効となるように制限されます。デフォルトで、生成された証明書は、すべてのユーザまたはホストに有効です。指定されたプリンシパルのセットのための証明書を生成するために:
$ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
$ ssh-keygen -s ca_key -I key_id -h -n host.domain user_key.pub
ユーザ証明書の正当性と使用の追加制限は、証明書のオプションを通して指定されます。証明書オプションは、SSH セッションの機能を無効にするか、特定の発信元アドレスから提示される場合にだけ有効となるか、または特定のコマンドの使用を強制します。有効な証明書オプションのリストについては、上記の -O オプションのための文書を参照してください。
最終に、証明書は、正当性の存続期間に定義されます。 -V オプションによって、証明書の仕様の始めと終わりの時刻を可能にします。この範囲の外に同時に提示される証明書は、有効であると見なされません。デフォルトで、証明書は、 UNIX 基準時点 (Epoch) から遠い将来まで有効です。
ユーザまたはホスト認証に使用される証明書について、CA 公開鍵は、 sshd(8) または ssh(1) によって信頼されなければなりません。詳細については、それらのマニュアルページを参照してください。
鍵取り消しリスト
ssh-keygen は、OpenSSH 形式鍵取り消しリスト (OpenSSH format Key Revocation Lists, KRL) を管理することができます。これらのバイナリファイルは、それらがシリアル番号によって取り消しされているなら、証明書ごとに 1 ビットとして取り、コンパクトな形式を使用して取り消される鍵または証明書を指定します。KRL は、 -k フラグを使用して生成されます。このオプションは、コマンド行から 1 つ以上のファイルを読み込み、新しい KRL を生成します。ファイルは、1 行ごとに 1 つをリストされる、KRL 仕様 (以下を参照) または公開鍵を含んでいます。平易な公開鍵は、それらのハッシュまたは KRL と (シリアルが、0 か、または利用可能でないなら) シリアル番号または鍵 ID によって取り消された証明書のないようをリストすることによって取り消されます。
KRL 仕様を使用して、鍵を取り消することは、鍵を取り消すために使用されるレコードのタイプに関する明白な制御を提供し、手元に完全なオリジナルの証明書を持たずに、シリアル番号または鍵 ID によって証明書を直接取り消すために使用されます。 KRL 仕様は、コロンといくつかのディレクティブ特有の情報が続く、次のディレクティブの 1 つを含んでいる行から成ります。
- serial: serial_number[ - serial_number]
- 指定されたシリアル番号がある証明書を取り消します。シリアル番号は、0 を含まない、64 ビットの値で、10 進数、16 進数または 8 進数で表現されます。ハイフンによって区切られる 2 つのシリアル番号が指定されるなら、範囲の間を含むシリアル番号は、取り消されます。 CA 鍵は、 -s オプションを使用して、 ssh-keygen コマンド行で指定されなければなりません。
- id: key_id
- 指定された鍵 ID 文字列がある証明書を取り消します。 CA 鍵は、 -s オプションを使用して、 ssh-keygen コマンド行で指定されなければなりません。
- key: public_key
- 指定された鍵を取り消します。証明書がリストされるなら、それは、平易な公開鍵として取り消されます。
- sha1: public_key
- SHA1 ハッシュによって指定された鍵を取り消します。
KRL は、 -k に加えて -u フラグを使用して更新されます。このオプションが指定されるとき、コマンド行によってリストされた鍵は、それらを既にあるもにに追加して、KRL にマージされます。
また、それが特別の鍵 (または複数の鍵) を取り消すかどうかテストするために KRL を与えることは、可能です。 -Q フラグは、コマンド行で指定された各鍵をテストして、既存の KRL に問い合わせます。コマンド行でリストされたあらゆる鍵が取り消されている (または、エラーに遭遇する) なら、 ssh-keygen は、0 以外の終了ステータスで終了します。鍵が取り消された場合のみ、0 の終了ステータスが、返されます。
関連ファイル
- ~/.ssh/identity
-
そのユーザの、プロトコルバージョン 1 における RSA 認証用秘密鍵を格納します。このファイルは、そのユーザ以外の誰にも見せてはいけません。この鍵を生成するときにパスフレーズを指定することもできます。パスフレーズは、3DES を使ってファイル中の秘密鍵の部分を暗号化するのに用いられます。このファイルは、
ssh-keygen によって自動的にアクセスされるわけではありませんが、秘密鍵ファイルのデフォルトの名前としてこれが提案されます。
ssh(1) は、ログイン要求があった際にこのファイルを読み込みます。
- ~/.ssh/identity.pub
-
プロトコルバージョン 1 における RSA 認証用の公開鍵を格納します。そのユーザが RSA 認証でログインしたいすべてのマシンの
~/.ssh/authorized_keys にこのファイルの内容を追加しておいてください。このファイルの内容を秘密にしておく必要はありません。
- ~/.ssh/id_dsa
- ~/.ssh/id_ecdsa
- ~/.ssh/id_rsa
-
そのユーザの、プロトコルバージョン 2 における DSA、ECDSA または RSA 認証用秘密鍵を格納します。このファイルは、そのユーザ以外の誰にも見せてはいけません。この鍵を生成するときにパスフレーズを指定することもできます。パスフレーズは、128-ビット AES を使ってファイル中の秘密鍵の部分を暗号化するのに用いられます。このファイルは、
ssh-keygen によって自動的にアクセスされるわけではありませんが、秘密鍵ファイルのデフォルトの名前としてこれが提案されます。
ssh(1) は、ログイン要求があった際にこのファイルを読み込みます。
- ~/.ssh/id_dsa.pub
- ~/.ssh/id_ecdsa.pub
- ~/.ssh/id_rsa.pub
-
プロトコルバージョン 2 における DSA、ECDSA または RSA 認証用の公開鍵を格納します。そのユーザが RSA 認証でログインしたいすべてのマシンの
~/.ssh/authorized_keys にこのファイルの内容を追加しておいてください。このファイルの内容を秘密にしておく必要はありません。
- /etc/moduli
- DH-GEX で使われる Diffie-Hellman 群を格納します。このファイル形式については、 moduli(5) を参照してください。
関連項目
ssh(1), ssh-add(1), ssh-agent(1), moduli(5), sshd(8) The Secure Shell (SSH) Public Key File Format, RFC 4716, 2006.作者
OpenSSH は、Tatu Ylonen によってリリースされたオリジナルのフリーな ssh 1.2.12 の派生物です。 Aaron Campbell、Bob Beck、Markus Friedl、Niels Provos、 Theo de Raadt と Dug Song は、多くのバグを取り除き、新しい機能を再び追加し、OpenSSH を作成しました。 Markus Friedl は、SSH プロトコルバージョン 1.5 と 2.0 のためのサポートを寄贈しました。| June 27, 2013 | FreeBSD |