Uso de claves SSH con Windows en Azure

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Conjuntos de escalado flexibles

Este artículo está destinado a los usuarios de Windows que desean crear y usar claves de shell seguro (SSH) para conectar con máquinas virtuales Linux en Azure. También puede generar y almacenar claves SSH en Azure Portal que se van a usar al crear máquinas virtuales en el portal.

Para usar las claves SSH desde un cliente Linux o macOS, consulte los pasos rápidos. Para más información sobre SSH, consulte Pasos detallados: crear y administrar claves SSH para la autenticación en una VM Linux en Azure.

Información general sobre SSH y sus claves

SSH es un protocolo de conexión cifrada que permite inicios de sesión seguros a través de conexiones no seguras. SSH es el protocolo de conexión predeterminado de las máquinas virtuales Linux hospedadas en Azure. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. Se recomienda conectarse a una máquina virtual a través de SSH mediante un par de claves pública y privada, también conocidas como claves SSH.

El par de claves pública y privada es como el bloqueo de la puerta principal. El bloqueo se expone al público, es decir, cualquiera que tenga la clave correcta puede abrir la puerta. La clave es privada y solo se proporciona a las personas en las que confía porque se puede usar para desbloquear la puerta.

  • El clave pública se coloca en la máquina virtual Linux al crear la máquina virtual.

  • La clave privada permanece en el sistema local. Esta clave se debe proteger, por lo que no se debe compartir.

Cuando se conecta a la máquina virtual Linux, la máquina virtual prueba el cliente SSH para asegurarse de tener la clave privada correcta. Si es el caso, se le concede acceso a la máquina virtual.

En función de las directivas de seguridad de la organización, puede volver a usar un par de claves único para obtener acceso a varias máquinas virtuales y servicios de Azure. No es necesario usar ningún par de claves independiente para cada máquina virtual.

La clave pública se puede compartir con cualquiera. Sin embargo, solo usted (o su infraestructura de seguridad local) debe tener acceso a la clave privada.

Formatos de clave SSH compatibles

Azure admite actualmente pares de claves públicas y privadas RSA del protocolo SSH 2 (SSH-2) con una longitud mínima de 2048 bits. No se admiten otros formatos de clave como ED25519 y ECDSA.

Clientes SSH

Las versiones más recientes de Windows 10 incluyen comandos del cliente OpenSSH para crear y administrar claves SSH y establecer conexiones SSH desde PowerShell o un símbolo del sistema. Esta es la manera más fácil de crear una conexión SSH a la máquina virtual Linux desde un equipo Windows.

También puede usar Bash en Azure Cloud Shell para conectarse a la máquina virtual. Puede usar Cloud Shell en un explorador web, desde Azure Portalo como un terminal en Visual Studio Code con la extensión de cuenta de Azure.

También puede instalar el Subsistema de Windows para Linux para conectarse a la máquina virtual a través de SSH y usar otras herramientas nativas de Linux en un shell de Bash.

Creación de un par de claves SSH

Cree un par de claves SSH con el comando ssh-keygen. Escriba un nombre de archivo o use el valor predeterminado que se muestra entre paréntesis (por ejemplo C:\Users\username/.ssh/id_rsa). Escriba una frase de contraseña para el archivo o deje la frase de contraseña en blanco si no desea usar una frase de contraseña.

ssh-keygen -m PEM -t rsa -b 4096

Creación de una máquina virtual con su propia clave

Para crear una máquina virtual Linux que use claves SSH para la autenticación, proporcione la clave pública SSH al crear la máquina virtual.

Con la CLI de Azure, especifique la ruta de acceso y el nombre de archivo de la clave pública con az vm create y el parámetro --ssh-key-value.

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image UbuntuLTS\
   --admin-username azureuser \
   --ssh-key-value ~/.ssh/id_rsa.pub

Con PowerShell, use New-AzVM y agregue la clave SSH a la configuración de máquina virtual mediante '. Para ver un ejemplo, consulte Inicio rápido: Creación de una máquina virtual Linux en Azure con PowerShell

Si realiza muchas implementaciones con el portal, es posible que quiera cargar la clave pública en Azure, donde se puede seleccionar fácilmente al crear una máquina virtual desde el portal. Para más información, consulte Carga de archivos en una cuenta de Media Services en Azure Portal.

Conexión a la máquina virtual

Con la clave pública implementada en la VM de Azure y la clave privada en su sistema local, aplique SSH en la VM con la dirección IP o nombre DNS de la VM. Reemplace azureuser y 10.111.12.123 en el siguiente comando con el nombre de usuario administrador, la dirección IP (o el nombre de dominio completo) y la ruta de acceso a la clave privada:

ssh -i ~/.ssh/id_rsa azureuser@10.111.12.123

Si nunca se ha conectado a esta máquina virtual, se le pedirá que verifique la huella digital de los hosts. Puede ser tentador aceptar simplemente la huella digital que se presenta, pero esto le expone a posibles ataques de intermediarios. Debe validar siempre la huella digital del host. Solo debe hacerlo la primera vez que se conecte desde un cliente. Para obtener la huella digital del host a través del portal, use "Ejecutar comando" con lo siguiente: ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub | awk '{print $2}'.

Captura de pantalla que muestra el uso de la característica "Ejecutar comando" para validar la huella digital del host.

Para ejecutar el comando mediante la CLI, use el comando az vm run-command invoke .

Si configuró una frase de contraseña cuando creó el par de claves, escríbala cuando se le solicite.

Si la máquina virtual está usando la directiva de acceso Just-In-Time, deberá solicitar acceso antes de poder conectarse a la máquina virtual. Para más información sobre la directiva Just-in-Time, vea Administración del acceso a máquina virtual mediante Just-In-Time.

Pasos siguientes