Zo gebruik je SSH-keys voor je netwerkverbinding

Server aanbieding
  1. Home
  2. Server
  3. Wat is SSH?
Wat is SSH

Wat is SSH? En hoe kun je een SSH-key genereren?

Met behulp van het netwerkprotocol SSH kun je een veilige en versleutelde netwerkverbinding met een extern apparaat, bijvoorbeeld een server, tot stand brengen. Met zo’n SSH-verbinding kun je de server vanaf je lokale pc onderhouden of deze door middel van de opdrachtregel bedienen. Afhankelijk van de gebruikte versie van het protocol worden daarbij verschillende versleutelingsalgoritmes gebruikt. SSH-2 grijpt bijvoorbeeld standaard terug op AES. Aan de versleuteling van de verbinding moet echter eerst een succesvolle verificatie voorafgaan. Terwijl de client de identiteit van de server vaststelt door middel van een veiligheidscertificaat, zijn er verschillende manieren om de client op de server aan te melden. Naast de bekende klassieke variant met gebruikersnaam en wachtwoord kun je bijvoorbeeld ook sleutelparen gebruiken, die uit een persoonlijke en een openbare SSH-sleutel bestaan.

Public Key-verificatie

Public Key-verificatie

De verificatiemethode met SSH-keys wordt Public Key Authentication genoemd en biedt een aantal voordelen ten opzichte van aanmelding met een wachtwoord. Zo wordt bijvoorbeeld niet het gebruikte wachtwoord of diens hashwaarde op de server opgeslagen, maar alleen de openbare sleutel. De persoonlijke SSH-key blijft op de eigen computer en dus geheim. Daarnaast kun je hem met een code versleutelen. De openbare sleutel kan handtekeningen verifiëren die door de persoonlijke SSH-sleutel zijn gegenereerd. Daardoor is automatische aanmelding op de server mogelijk. Ook als onbevoegden bij de openbare key komen, is het voor hen vrijwel onmogelijk de bijbehorende persoonlijke key te berekenen. Als je voor je SSH-verbinding dus sleutelparen in plaats van een simpel wachtwoord gebruikt, bespaar je je de aanmeldingsdialoog en zorg je tegelijkertijd voor een grotere veiligheid door bijvoorbeeld een verminderd risisco op malware.

Omschakelen op SSH-keys

Omschakelen op SSH-keys: zo doe je dat

DOm van de voordelen van SSH-verbindingen te profiteren, heb je een van de beschikbare SSH-pakketten nodig, bijvoorbeeld OpenSSH voor Unix-, WinSCP voor Windows- of PuTTY voor Unix- en Windows-besturingssystemen. Naast het SSH-protocol bevatten de pakketten o.a. toepassingen waarmee je SSH-keys kunt genereren. In onderstaande handleiding leggen wij stap voor stap uit hoe je het gebruik van sleutelparen met OpenSSH en PuTTY kunt configureren.

SSH-keys configureren met OpenSSH

  1. MOm te beginnen moet je SSH-sleutels genereren. Dat doe je met de volgende opdracht:
    ssh-keygen -t rsa -b 4096 Met de optionele parameters bepaal je het versleutelingstype (-t), in dit geval RSA, en de sleutellengte in bit (-b), waarbij 4096 de maximumwaarde is. Als je deze specificatie niet gebruikt, worden de standaardinstellingen voor de generatie gebruikt.
  2. In de volgende dialoog kun je de map wijzigen waarin de SSH-keys moeten worden opgeslagen (‘Enter file in which to save the key’). Bovendien heb je de optie een wachtwoordzin voor de persoonlijke key in te stellen (‘Enter passphrase’). Als je de standaardmap wilt gebruiken en geen code voor je sleutels instelt, kun je de velden leeg laten en de dialoog met ‘Enter’ sluiten.
  3. Beide SSH-sleutels zijn nu opgeslagen in verschillende bestanden in de geselecteerde map. Het bestand id_rsa.pub bevat de openbare sleutel. Deze moet nu in de submap .ssh in het bestand authorized_keys op de server worden opgeslagen. Daarvoor kopieer je de sleutel eerst in de basismap van de desbetreffende gebruiker op de server: scp ~/.ssh/id_rsa.pub USER@HOST.nl
  4. Meld je aan op de server en kopieer de openbare SSH-key in de juiste map: ssh USER@HOST.nl cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
  5. Nu worden de sleutelparen en, indien ingesteld, hun wachtwoordzin bij het opbouwen van de SSH-verbinding automatisch gebruikt. Als dit niet het geval is, dien je te controleren of de rechten van de map .ssh en het bestand authorized_keys correct zijn ingesteld.
  6. Omdat de Public Key-verificatie de normale verificatie d.m.v. een wachtwoord vervangt, kun je de standaardprocedure uitschakelen in het SSH-configuratiebestand /etc/ssh/sshd_config (of, bijvoorbeeld in Cygwin, direct onder /etc/), door de regel “PasswordAuthentication yes” te wijzigen in “PasswordAuthentication no” en vervolgens de server opnieuw op te starten.

SSH-keys genereren met de PuTTY Key Generator


  1. Als je PuTTY gebruikt om een SSH-verbinding op te bouwen, is PuTTYgen het geschikte hulpmiddel om sleutelparen te genereren. De PuTTY Key Generator vind je in de map waarin je PuTTY hebt geïnstalleerd of uitgepakt. Als het hulpprogramma ontbreekt, kun je het op de PuTTY download page downloaden.
  2. Nadat je het programma hebt gestart, selecteer je onder ‘Parameters’ het versleutelingstype – voor SSH-2 kun je kiezen uit RSA en DAS. Onder ‘Number of bits in a generated key’ bepaal je de gewenste sleutellengte.
  3. BKlik vervolgens op ‘Generate’ en beweeg de muis in het vrije gedeelte van het dialoogvenster heen en weer om de individualiteit van de codes te garanderen.
  4. Als de generatie is voltooid, kun je het gegenereerde sleutelpaar van een commentaar en een wachtwoordzin voorzien.
  5. Via ‘Save private key’ en ‘Save public key’ kun je beide SSH-keys opslaan.
  6. Om de openbare key nu op de server te kopiëren, verbind je je via PuTTY met de server en kopieer je de code van het klembord (“Public key for pasting into OpenSSH authorized_keys file”) in het bestand authorized_keys.
  7. Tot slot voer je de persoonlijke SSH-sleutel in de PuTTY-client in. Daarvoor open je het configuratiemenu en selecteer je onder ‘Category’ > ‘Connection’ > ‘SSH’ > ‘Auth’ > ‘Private key file for authentication’ het bestand met de persoonlijke sleutel.