首页 > 文章 > linux

Linux如何生成SSH密钥对_Linux SSH密钥对生成实战

时间：2026-05-02 21:30:49 485浏览收藏

哈喽！今天心血来潮给大家带来了《Linux如何生成SSH密钥对_Linux SSH密钥对生成实战》，想必大家应该对文章都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习文章，千万别错过这篇文章~希望能帮助到你！

ssh-keygen 默认生成的密钥不推荐使用，因其采用已禁用的 ssh-rsa/SHA-1 算法、2048 位 RSA 密钥强度不足，且 OpenSSH 8.8+ 默认拒绝该算法；应显式指定 ed25519 或 rsa -b 4096。

直接用 ssh-keygen 生成即可，但默认参数在现代环境里不够安全，容易被爆破或不被新版本 OpenSSH 接受。

OpenSSH 8.8+ 默认禁用了 ssh-rsa 签名算法（即传统 RSA 密钥配合 SHA-1），而老版本 ssh-keygen 不加参数时仍会生成这种密钥。你可能遇到：

sign_and_send_pubkey: no mutual signature algorithm —— 客户端连不上新服务端
Unable to negotiate with ... no matching key exchange method found —— 实际是密钥签名算法不匹配导致协商失败
密钥长度仍为 2048 位（ssh-keygen -t rsa 默认），已低于当前 NIST 建议的最低安全强度

所以别依赖默认，显式指定算法和长度。

优先选 ed25519（速度快、密钥短、抗侧信道、OpenSSH 6.5+ 原生支持）；若需兼容极老客户端（如某些嵌入式设备），再选 rsa 并强制 4096 位。

生成 Ed25519 密钥（含注释，保存到默认位置）：

ssh-keygen -t ed25519 -C "your_email@example.com"

生成 RSA-4096 密钥（明确指定长度）：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

关键点：

别只看文件是否存在，得确认类型、长度和签名能力：

查公钥内容及算法：ssh-keygen -l -f ~/.ssh/id_ed25519.pub → 应显示 256 ED25519
查私钥格式和是否加密：ssh-keygen -l -f ~/.ssh/id_ed25519（私钥也能读，会提示输入密码）
测试能否被 ssh-agent 正确加载：ssh-add -l（空输出说明没加载，可用 ssh-add ~/.ssh/id_ed25519 加载）
检查服务端是否接受该密钥类型：在目标服务器上运行 sshd -T | grep pubkeyacceptedalgorithms（OpenSSH 9.0+）或 sshd -T | grep -i rsa（旧版），确认列表中包含 sk-ssh-ed25519@openssh.com 或 ssh-ed25519

生成完不等于能用，很多人卡在这几步：

把 .pub 文件内容（整行，从 ssh-ed25519 开始到邮箱结束）复制进远程服务器的 ~/.ssh/authorized_keys，**不能复制私钥，也不能漏掉末尾注释**
远程 ~/.ssh 目录权限必须是 700，authorized_keys 必须是 600，否则 sshd 拒绝读取
服务端 /etc/ssh/sshd_config 中确保有 PubkeyAuthentication yes 且未被注释
改完配置要重启服务：sudo systemctl restart sshd（注意不是 ssh，很多系统用 sshd）
Windows 用户用 PuTTY 或旧版 Git Bash，可能不支持 Ed25519，此时需换用 rsa -b 4096 或升级客户端

Ed25519 私钥无法转成 PEM 格式供某些工具（如旧版 Jenkins SSH Credentials）使用，需要时得重生成 RSA 密钥——这点容易等到部署阶段才暴露。

今天关于《Linux如何生成SSH密钥对_Linux SSH密钥对生成实战》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！

资料下载