सार्वजनिक कुंजी का उपयोग करके एसएसएच के माध्यम से नेटवर्क उपकरणों पर प्रमाणीकरण

• सार्वजनिक कुंजी कहां से प्राप्त करें और इसका उपयोग कैसे करें?
• ?
• ?

• RSA-
  
  
  • RSA- SecureCRT
  • RSA- PuTTYgen
  • RSA- Putty Private Key (PuTTY) OpenSSH (SecureCRT)
  • RSA- VanDyke Private Key (SecureCRT) Putty Private Key (PuTTY)
  • MAC OS X
• 
  
  • Cisco IOS XE, Catalyst ( 15.1 ), IOS
  • Cisco ASA
  • Huawei
  • Huawei USG (6000)
  • Cisco Nexus 9.3
• SSH
  
  
  • SecureCRT
  • PuTTY
  • MAC OS X
  • SSH MAC OS X:

• OpenSSH के बीच मुख्य रूपांतरण <==> SecureCRT <==> PuTTY।
• विभिन्न उपकरणों के लिए सार्वजनिक कुंजी के विभिन्न जोड़े का उपयोग करना। एक कुंजी अच्छी है, लेकिन वास्तविकता में लागू नहीं है। विभिन्न ग्राहकों या उपकरणों को सार्वजनिक कुंजी के विभिन्न जोड़े की आवश्यकता होती है (कुछ पासवर्ड के साथ, अन्य बिना)।
• सार्वजनिक कुंजी के साथ काम करने के लिए देशी (देशी) मैक ओएस एक्स का उपयोग करना।
• मार्गदर्शक को नेटवर्क उपकरण के साथ Ansible का उपयोग करने में भी मदद करनी चाहिए, क्योंकि Ansible डिफ़ॉल्ट रूप से सार्वजनिक कुंजी प्रमाणीकरण के साथ OpenSSH का उपयोग करता है।

परिचय

• RSA कुंजी की एक जोड़ी बनाना।
• उपकरणों पर सार्वजनिक कुंजी स्थापित करना।
• RSA कुंजी का उपयोग करके उपकरण और प्रमाणीकरण से कनेक्ट करना।

सुरक्षित शेल कॉन्फ़िगरेशन गाइड, सिस्को IOS रिलीज़ 15E
सुरक्षित शेल संस्करण के लिए प्रतिबंध 2 समर्थन
रिवरेस्ट, शमीर और Adleman (RSA) कुंजी पीढ़ी एक SSH सर्वर-साइड आवश्यकता है। SSH क्लाइंट के रूप में कार्य करने वाले डिवाइसों को RSA कुंजियाँ उत्पन्न करने की आवश्यकता नहीं है।

CSR-1(conf-ssh-pubkey-data)#exit
%SSH: Only ssh-rsa type is supported
CSR-1(conf-ssh-pubkey-user)#

सार्वजनिक RSA कुंजी बनाना

RSA जोड़ी पीढ़ी SecureCRT में

PuTTYgen में RSA जोड़ी पीढ़ी

RSSS कुंजी को पुट्टी प्राइवेट की (PuTTY) प्रारूप से OpenSSH (SecureCRT) प्रारूप में परिवर्तित करना

1. PuTTYgen लॉन्च करें।
2. हम पोट्टी प्राइवेट की फॉर्मेट (* .ppk) → "लोड" बटन में मौजूदा आरएसए कुंजी को लोड करते हैं।
3. सार्वजनिक कुंजी फ़ाइल सहेजें → "सार्वजनिक कुंजी सहेजें"।
4. हम OpenSSH प्रारूप में गुप्त कुंजी निर्यात करते हैं: मेनू PuTTYgen → "रूपांतरण" → "OpenSSH कुंजी निर्यात करें"।
5. हम OpenSSH फ़ाइलों को SecureCRT में उपयोग करते हैं। सार्वजनिक कुंजी वाली फ़ाइल में एक्सटेंशन है। Pub, निजी कुंजी वाली फ़ाइल का कोई एक्सटेंशन नहीं है।

VanDyke Private Key (SecureCRT) फॉर्म से RSA कुंजी को Putty Private Key (PuTTY) प्रारूप में परिवर्तित करना

1. SecureCRT लॉन्च करें।
2. मेनू "उपकरण" → "OpenSSH प्रारूप में निजी कुंजी बदलें ..."
3. VanDyke निजी कुंजी कुंजियों के साथ स्रोत फ़ाइल का चयन करें।
4. हम OpenSSH कुंजियों को एक नए नाम से सहेजते हैं।
5. PuTTYgen लॉन्च करें।
6. हम ओपनएसएसएच प्रारूप (*।) में मौजूदा आरएसए-कुंजी को लोड करते हैं: पुट्टीजेन मेनू → "रूपांतरण" → "आयात कुंजी"।
7. फ़ाइल को पुट्टी प्रारूप में सहेजें: "निजी कुंजी सहेजें"।

मैक ओएस एक्स पर ऑपरेटिंग सिस्टम का उपयोग करके सार्वजनिक कुंजी उत्पन्न करना

ssh-keygen -b 2048 -t rsa -c "Lab router R4" -f /Users/ArtemiySP/Documents/python/r4

artemiy-2:Downloads ArtemiySP$ ssh-keygen -b 2048 -t rsa -C "Lab router R4" -f /Users/ArtemiySP/Documents/python/r4
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /Users/ArtemiySP/Documents/python/r4.
Your public key has been saved in /Users/ArtemiySP/Documents/python/r4.pub.
The key fingerprint is:
SHA256:WdT47SFvgGI7danxX94p8/cO3uyU12SB3ipkc7nHxzA Lab router R4
The key's randomart image is:
+---[RSA 2048]----+
|          .o     |
|         .. . .  |
|          .o + . |
|        oo+ B = .|
|       .S+ O OEoo|
|        o + + B*+|
|         . . =.*O|
|            .+o**|
|              =+O|
+----[SHA256]-----+
artemiy-2:Downloads ArtemiySP$

artemiy-2:Downloads ArtemiySP$ ssh-keygen -b 4096 -t rsa -C "Lab router R5" -N "cisco" -f /Users/ArtemiySP/Documents/python/r5
Generating public/private rsa key pair.
Your identification has been saved in /Users/ArtemiySP/Documents/python/r5.
Your public key has been saved in /Users/ArtemiySP/Documents/python/r5.pub.
The key fingerprint is:
SHA256:NraLRMqB4qmA8qNjKdpBBt1JBw8Osf/3GfuB2k1R+zY Lab router R5
The key's randomart image is:
+---[RSA 4096]----+
|  o.+..          |
| . * =           |
|. o + .       .  |
| . o         . . |
|. + o . S   . .  |
|o+.. = o o . . . |
|+oo o o o o o  Eo|
|*=.. . o = * . ..|
|Boo.  . o =.o    |
+----[SHA256]-----+
artemiy-2:Downloads ArtemiySP$

artemiy-2:Downloads ArtemiySP$ ssh-keygen -b 1024 -t rsa -C "Lab router R6" -N "" -f /Users/ArtemiySP/Documents/python/r6
Generating public/private rsa key pair.
Your identification has been saved in /Users/ArtemiySP/Documents/python/r6.
Your public key has been saved in /Users/ArtemiySP/Documents/python/r6.pub.
The key fingerprint is:
SHA256:LEcfgN+58TYMDv4MpBA2FGCWc2aFiY+SxWBf7pRViWs Lab router R6
The key's randomart image is:
+---[RSA 1024]----+
|.++=o*.o+..      |
|.oB % +. o       |
| o X * .o...     |
|o . =  E+.=.     |
| .   oo+So.*     |
|      .oo o =    |
|         + . .   |
|          o      |
|                 |
+----[SHA256]-----+
artemiy-2:Downloads ArtemiySP$

https://serverfault.com/questions/706336/how-to-get-a-pem-file-from-ssh-key-pair
ssh-keygen -f ~/Documents/python/r4.pub -e -m RFC4716
ssh-keygen -f ~/Documents/python/r5.pub -e -m RFC4716
ssh-keygen -f ~/.ssh/id_rsa.pub -e -m RFC4716

उपकरणों पर सार्वजनिक कुंजी का उपयोग करना

सिस्को IOS XE, उत्प्रेरक (संस्करण 15.1 और उच्चतर से), IOS

1. डिवाइस पर पहले से ही एक उपयोगकर्ता है।
2. उपयोगकर्ता (उपयोगकर्ता नाम सिस्को) के लिए SSH सेटिंग्स (आईपी ssh pubkey- चेन) में, सार्वजनिक कुंजी (कुंजी-स्ट्रिंग) निर्दिष्ट करें:
   

   CSR-1#conf t
   Enter configuration commands, one per line.  End with CNTL/Z.
   CSR-1(config)#ip ssh pubkey-chain 
   CSR-1(conf-ssh-pubkey)#username ssh-putty
   CSR-1(conf-ssh-pubkey-user)#key-string 
   CSR-1(conf-ssh-pubkey-data)#$QAAAQEAnPbynT1+2rjlyqP4viSPdTVDFLSHzWjJnAwy     
   CSR-1(conf-ssh-pubkey-data)#$NCfaqvMTPruCgG5096q8lO0ntURmNgmfMEQPOgb8weF     
   CSR-1(conf-ssh-pubkey-data)#$AtMQYk7WFM+5iBnOQ32UAHNavCUA7YFEpAdOQO4W/qB     
   CSR-1(conf-ssh-pubkey-data)#$SlOLy+PQ47jDUINBnuUeHd8ZXyzXxWglzSvqtwMEXBW     
   CSR-1(conf-ssh-pubkey-data)#$VoUTBYbJ45DmFa93P50qf494ujaAsTbYyJ/GBzJUTK/     
   CSR-1(conf-ssh-pubkey-data)#$UADAkNGxQARfOfHZWiIYb3rif6h6hfwwVUZS/Tw==       
   CSR-1(conf-ssh-pubkey-data)#exit
   CSR-1(conf-ssh-pubkey-user)#exit
   CSR-1(conf-ssh-pubkey)#exit
   CSR-1(config)#exit
   CSR-1#exit
   
   CSR-1#show running-config | inc ssh
   username ssh-public-key secret 5 $1$ebjc$EYgwMFQXPPiywFVn6rl7t.
   username ssh-putty privilege 15 secret 5 $1$vIhh$nM8iCeBKmLyVK4hA6./h4.
   ip ssh pubkey-chain
      key-hash ssh-rsa D4E9AD62F7F6265EAAB3FB8778477612
     username ssh-public-key
      key-hash ssh-rsa C331DEE821A84681A4A7B1862C100D16
     username ssh-putty
      key-hash ssh-rsa F32BEB60290EA75D151447C0D42D2A99
      key-hash ssh-rsa 5432C275B363B646E02D3BA7E8D865B7
   CSR-1#
   

सिस्को एएसए

LAB-ASA5516-X-01/pri/act# conf t
LAB-ASA5516-X-01/pri/act(config)# username artemiy password artemiy privilege $
LAB-ASA5516-X-01/pri/act(config)# username artemiy attributes 
LAB-ASA5516-X-01/pri/act(config-username)# ssh authentication publickey ?

username mode commands/options:
  WORD  Raw SSH-RSA public key
LAB-ASA5516-X-01/pri/act(config-username)# ssh authentication publickey AAAAB3$

Huawei राउटर और स्विच

[R1]rsa peer-public-key test-key1 encoding-type pem 
Enter "RSA public key" view, return system view with "peer-public-key end".
NOTE: The number of the bits of public key must be between 769 and 2048.
[R1-rsa-public-key]public-key-code begin 
Enter "RSA key code" view, return last view with "public-key-code end".
[R1-rsa-key-code]---- BEGIN SSH2 PUBLIC KEY ----
[R1-rsa-key-code]Subject: Subject
[R1-rsa-key-code]Comment: " Subject@Subject.local"
[R1-rsa-key-code]ModBitSize: 2048
[R1-rsa-key-code]AAAAB3NzaC1yc2EAAAADAQABAAABAQC4YLFhPqfsz4a6PUpZOtvm6zGn5TWOVMnx
[R1-rsa-key-code]lTH5hr/u+aYnoM2XnDTu4Ul1iB8MMPLVKXzV4LgYhaFcU1rz2/yYhTKIwbiQTHof
[R1-rsa-key-code]63fJjyWwkvyBuVZTSKh4b2pfoF2mXgdJzzRmUaiRrZZUVJWsX+CbgtKQuktG7sTK
[R1-rsa-key-code]2eguHwdfhilbOAsUaL0/q39Y0aTAMnLMtn0m5r6MD/UopQPI3Fxm1L9azJ7zYIZa
[R1-rsa-key-code]yI43Solg0AOupPl8FHFI9Cxq81/uZRACx5lAyuObaQ4/t1Rdh3CAJj1qwfZjZFTP
[R1-rsa-key-code]VdJxwTDxwfkpOzMD193M0ThOSrgfWe336Q9F3jbSWrEYUQDX8ew7
[R1-rsa-key-code]---- END SSH2 PUBLIC KEY ----
[R1-rsa-key-code]public-key-code end
[R1-rsa-public-key]peer-public-key end 
[R1]display rsa peer-public-key 

=====================================
    Key name: test-key1
=====================================
Key Code:
---- BEGIN SSH2 PUBLIC KEY ----
AAAAB3NzaC1yc2EAAAADAQABAAABAQC4YLFhPqfsz4a6PUpZOtvm6zGn5TWOVMnx
lTH5hr/u+aYnoM2XnDTu4Ul1iB8MMPLVKXzV4LgYhaFcU1rz2/yYhTKIwbiQTHof
63fJjyWwkvyBuVZTSKh4b2pfoF2mXgdJzzRmUaiRrZZUVJWsX+CbgtKQuktG7sTK
2eguHwdfhilbOAsUaL0/q39Y0aTAMnLMtn0m5r6MD/UopQPI3Fxm1L9azJ7zYIZa
yI43Solg0AOupPl8FHFI9Cxq81/uZRACx5lAyuObaQ4/t1Rdh3CAJj1qwfZjZFTP
VdJxwTDxwfkpOzMD193M0ThOSrgfWe336Q9F3jbSWrEYUQDX8ew7
---- END SSH2 PUBLIC KEY ----
aaa
local-user jet privilege level 15
 local-user jet service-type telnet terminal ssh http
ssh user jet assign rsa-key test-key1

rsa peer-public-key test-key1 encoding-type pem

rsa peer-public-key test-key1 encoding-type openssh

rsa peer-public-key test-key1 encoding-type der

rsa peer-public-key test-key1

ssh user user-name assign { rsa-key | dsa-key | ecc-key } key-name

[R1]ssh user jet authentication-type ?
  all           All authentication, password,RSA or ECC
  ecc           ECC authentication
  password      Password authentication
  password-ecc  Both password and ECC
  password-rsa  Both password and RSA
  rsa           RSA authentication
[R1]

हुआवेई यूएसजी (6000)

user-interface vty 0 4 
user privilege level 15
user-interface vty 16 20:
user privilege level 15

[USG-a]rsa peer-public-key test-key1 encoding-type pem 
Enter "RSA public key" view, return system view with "peer-public-key end".
[USG-a-rsa-public-key]public-key-code begin
Enter "RSA key code" view, return last view with "public-key-code end".
[USG-a-rsa-key-code]---- BEGIN SSH2 PUBLIC KEY ----
[USG-a-rsa-key-code]Subject: subject
[USG-a-rsa-key-code]Comment: " subject@subject.local"
[USG-a-rsa-key-code]ModBitSize: 2048
[USG-a-rsa-key-code]AAAAB3NzaC1yc2EAAAADAQABAAABAQC4YLFhPqfsz4a6PUpZOtvm6zGn5TWOVMnx
[USG-a-rsa-key-code]lTH5hr/u+aYnoM2XnDTu4Ul1iB8MMPLVKXzV4LgYhaFcU1rz2/yYhTKIwbiQTHof
[USG-a-rsa-key-code]63fJjyWwkvyBuVZTSKh4b2pfoF2mXgdJzzRmUaiRrZZUVJWsX+CbgtKQuktG7sTK
[USG-a-rsa-key-code]2eguHwdfhilbOAsUaL0/q39Y0aTAMnLMtn0m5r6MD/UopQPI3Fxm1L9azJ7zYIZa
[USG-a-rsa-key-code]yI43Solg0AOupPl8FHFI9Cxq81/uZRACx5lAyuObaQ4/t1Rdh3CAJj1qwfZjZFTP
[USG-a-rsa-key-code]VdJxwTDxwfkpOzMD193M0ThOSrgfWe336Q9F3jbSWrEYUQDX8ew7
[USG-a-rsa-key-code]---- END SSH2 PUBLIC KEY ----
[USG-a-rsa-key-code]public-key-code end
[USG-a-rsa-public-key]peer-public-key end
[USG-a]
[USG-a]ssh user admin assign rsa-key test-key1
! Out-of-band management interface:
[USG-a-GigabitEthernet0/0/0]service-manage ssh permit
! Grant user level 15 privillege:
[USG-a]user-interface vty 0 4
[USG-a-ui-vty0-4]user privilege level 15

सिस्को नेक्सस 9.3

• डिवाइस के लिए सार्वजनिक कुंजी फ़ाइल की प्रतिलिपि बनाएँ।
• हम उपयोगकर्ता को सार्वजनिक कुंजी फ़ाइल का उपयोग करने का निर्देश देते हैं।

switch# copy tftp://10.10.1.1/secsh_file.pub bootflash:secsh_file.pub
username User1 sshkey file bootflash:secsh_file.pub

username User1 sshkey
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC4YLFhPqfsz4a6PUpZOtvm6zGn5TWOVMnxlTH5hr/u+aYnoM2XnDTu4Ul1iB8MMPLVKXzV4LgYhaFcU1rz2/yYhTKIwbiQTHof63fJjyWwkvyBuVZTSKh4b2pfoF2mXgdJzzRmUaiRrZZUVJWsX+CbgtKQuktG7sTK2eguHwdfhilbOAsUaL0/q39Y0aTAMnLMtn0m5r6MD/UopQPI3Fxm1L9azJ7zYIZayI43Solg0AOupPl8FHFI9Cxq81/uZRACx5lAyuObaQ4/t1Rdh3CAJj1qwfZjZFTPVdJxwTDxwfkpOzMD193M0ThOSrgfWe336Q9F3jbSWrEYUQDX8ew7

SSH कनेक्शन के लिए एक गुप्त कुंजी का उपयोग करना

SecureCRT

पुट्टी

मैक ओएस एक्स

• मैन्युअल रूप से निर्दिष्ट एक गैर-डिफ़ॉल्ट कुंजी के साथ कनेक्शन:
  
  

  artemiy-2:~ ArtemiySP$ ssh r4@10.31.73.29 -i ~/Documents/python/r4
  The authenticity of host '10.31.73.29 (10.31.73.29)' can't be established.
  RSA key fingerprint is SHA256:fxOLFKU6YGyIqisrIh2P0O52Rr6Wx/wsSAcHsTz8fo0.
  Are you sure you want to continue connecting (yes/no)? yes
  Warning: Permanently added '10.31.73.29' (RSA) to the list of known hosts.
  CSR-4#
  

• मैन्युअल रूप से निर्दिष्ट एक गैर-डिफ़ॉल्ट कुंजी के साथ कनेक्शन:
  
  

  artemiy-2:~ ArtemiySP$ ssh r5@10.31.73.30 -i ~/Documents/python/r5
  The authenticity of host '10.31.73.30 (10.31.73.30)' can't be established.
  RSA key fingerprint is SHA256:4l67C4Il4pTaqYT4vrtWr0aY7rPmNWKsjRv2zlYtQIU.
  Are you sure you want to continue connecting (yes/no)? yes
  Warning: Permanently added '10.31.73.30' (RSA) to the list of known hosts.
  MGTU#exit
  Connection to 10.31.73.30 closed.
  

  
  
  उदाहरण त्रुटि

  — . MAC OS X — .
  
• डिफ़ॉल्ट कुंजी के साथ कनेक्शन (डिफ़ॉल्ट कुंजी - सिस्टम खुद ही डिफ़ॉल्ट सार्वजनिक कुंजी को ढूंढेगा और उपयोग करेगा):
  
  

  artemiy-2:~ ArtemiySP$ ssh r6@10.31.73.31
  The authenticity of host '10.31.73.31 (10.31.73.31)' can't be established.
  RSA key fingerprint is SHA256:2/ysACJQw48Q8S45ody4wna+6nJspcsEU558HiUN43Q.
  Are you sure you want to continue connecting (yes/no)? yes
  Warning: Permanently added '10.31.73.31' (RSA) to the list of known hosts.
  PR#exit
  Connection to 10.31.73.31 closed.
  artemiy-2:~ ArtemiySP$ 
  

मैक ओएस एक्स पर एसएसएच के साथ काम करना सरल कैसे करें:

• SSH उपनाम बनाएँ।
• SSH उपनाम में, हम तुरंत उपयोगकर्ताओं को सेट करते हैं।
• तुरंत कुंजियों के स्थान को पंजीकृत करें।

host r4
   Hostname 10.31.73.29
   Port 22
   User r4
   IdentityFile ~/Documents/python/r4

host r5
   Hostname 10.31.73.30
   Port 22
   User r5
   IdentityFile ~/Documents/python/r5

host r6
   Hostname 10.31.73.31
   Port 22
   User r6

artemiy-2:Documents ArtemiySP$ ssh r5
MGTU#exit
Connection to 10.31.73.30 closed by remote host.
Connection to 10.31.73.30 closed.
artemiy-2:Documents ArtemiySP$ ssh r4
CSR-4#exit
Connection to 10.31.73.29 closed by remote host.
Connection to 10.31.73.29 closed.
artemiy-2:Documents ArtemiySP$ ssh r6
PR#exit
Connection to 10.31.73.31 closed.
artemiy-2:Documents ArtemiySP$ ssh r6
PR#

निष्कर्ष

• यदि डोमेन प्रमाणीकरण कॉन्फ़िगर किया गया है, तो सार्वजनिक कुंजी प्रमाणीकरण संभव नहीं है (क्योंकि LDAP अनुरोध (kerberos) सर्वर के लिए प्रमाणीकरण के लिए अनुमानित हैं)।
• पुराने नेटवर्क उपकरणों पर सार्वजनिक कुंजी प्रमाणीकरण संभव नहीं है (उदाहरण: फर्मवेयर 12.2 के साथ सिस्को उत्प्रेरक 2960 पर कॉन्फ़िगर करने में विफल)।

[R1]rsa peer-public-key test-key2 encoding-type pem
Enter "RSA public key" view, return system view with "peer-public-key end".
NOTE: The number of the bits of public key must be between 769 and 2048.
[R1-rsa-public-key]

स्रोतों की सूची:

1. विकिपीडिया RSA
2. पुट्टी से सेक्यूरिटी के लिए पुटरी से रूपांतरण। कुंजियाँ, SecureCRT फोरम
3. सुरक्षित शेल कॉन्फ़िगरेशन गाइड, सिस्को IOS रिलीज़ 15 ई
4. PuTTYgen डाउनलोड करें
5. Huawei आधिकारिक दस्तावेज - एक Huawei राउटर के आयात के लिए विभिन्न प्रमुख स्वरूपों का विवरण
6. हुआवेई यूएसजी 6000, सार्वजनिक कुंजी प्रमाणीकरण (सीएलआई) का विन्यास : एसटीआईनेट (आरएसए प्रमाणीकरण) का उपयोग करके सीएलआई में प्रवेश करने के लिए उदाहरण
7. Nexus 9000 Configuration guide SSH public key
8. man ssh-keygen — mac os x.
9. SSH config file MAC OS X
10. SSH
11. SSH config
12. openssh public key RFC4716