SSHキー・ペアのしくみ

キー認証を使用するには、まず、キー・ペア(公開キーおよび対応する秘密キー)が必要になります。既存のキー・ペアを使用するか新しいキー・ペアを生成することができます。通常、SSHキー・ペアの生成は1回のみであり、変更するのは、そのキー・ペアが漏えいした可能性がある場合や、暗号化基準が異なるシステムにキーを使用してアクセスする場合のみです。すべてのキー・ペアにOpenSSHとの互換性があるわけではなく、必要に応じてキーを変換する必要があります。たとえば、PuTTY sshクライアント・ソフトウェアを使用して生成されたキーは、OpenSSHと直接の互換性がないため、使用前に変換する必要があることがあります。キー形式がわからない場合は、クライアント・ソフトウェアのドキュメントを参照してください。

キー・ペアを取得した後、接続する必要があるサーバーにその公開キーをコピーします。その後そのサーバーに接続するには、対応する秘密キーを指定します。秘密キーは、そのサーバーへのアクセスに使用する単一のクライアントに格納できます。安全のため、秘密キーを複数の場所にコピーすることは回避してください。

キー・ペアを生成するときに、パスワードありでもなしでもそれらを構成できます。パスフレーズがないキー・ペアは、リモート・システムに即座にアクセスできるため、接続するたびにパスフレーズを入力する必要がなく、繰返し操作を省くための自動化に役立ちます。ただし、パスフレーズのないキーを使用すると、セキュリティが低下する可能性があります。かわりに、SSHエージェントを使用してログイン・セッション全体のキー・パスフレーズを記憶できます。

信頼できるシステムから信頼できるシステムに接続するにはSSHエージェント転送の使用を検討してください。または、信頼できないか共有度の高い要塞ホストを介して別のシステムに接続する必要がある場合にはProxyJumpコマンド・オプションの使用を検討してください。