Procedura dettagliata: Creare e gestire chiavi SSH per l'autenticazione in una VM Linux di AzureDetailed steps: Create and manage SSH keys for authentication to a Linux VM in Azure

Con una coppia di chiavi SSH (Secure Shell) è possibile creare una macchina virtuale Linux in Azure che per impostazione predefinita usa le chiavi SSH per l'autenticazione, eliminando la necessità di password per l'accesso.With a secure shell (SSH) key pair, you can create a Linux virtual machine on Azure that defaults to using SSH keys for authentication, eliminating the need for passwords to log in. Le VM create con il portale di Azure, l'interfaccia della riga di comando di Azure, i modelli di Resource Manager o altri strumenti possono includere la chiave pubblica SSH come parte della distribuzione, configurando in questo modo l'autenticazione con chiave SSH per le connessioni SSH.VMs created with the Azure portal, Azure CLI, Resource Manager templates, or other tools can include your SSH public key as part of the deployment, which sets up SSH key authentication for SSH connections.

Questo articolo riporta informazioni e procedure dettagliate per creare e gestire una coppia di file della chiave pubblica e privata RSA SSH per le connessioni client SSH.This article provides detailed background and steps to create and manage an SSH RSA public-private key file pair for SSH client connections. Per i comandi rapidi, vedere Come creare e usare una coppia di chiavi SSH pubblica e privata per le macchine virtuali Linux in Azure.If you want quick commands, see How to create an SSH public-private key pair for Linux VMs in Azure.

Per altri modi in cui generare e usare le chiavi SSH in un computer Windows, vedere Come usare le chiavi SSH con Windows in Azure.For additional ways to generate and use SSH keys on a Windows computer, see How to use SSH keys with Windows on Azure.

Panoramica di SSH e delle chiaviOverview of SSH and keys

SSH è un protocollo per connessioni crittografate che consente accessi protetti su connessioni non sicure.SSH is an encrypted connection protocol that allows secure sign-ins over unsecured connections. È il protocollo di connessione predefinito per le VM Linux ospitate in Azure.It is the default connection protocol for Linux VMs hosted in Azure. Sebbene SSH stessa fornisca una connessione crittografata, se si usano password con le connessioni SSH la VM rimane vulnerabile agli attacchi di forza bruta o di individuazione password.Although SSH itself provides an encrypted connection, using passwords with SSH connections still leaves the VM vulnerable to brute-force attacks or guessing of passwords. Un metodo più sicuro e preferito per la connessione a una VM mediante SSH è tramite una coppia di chiavi pubblica e privata, dette anche chiavi SSH.A more secure and preferred method of connecting to a VM using SSH is by using a public-private key pair, also known as SSH keys.

  • La chiave pubblica si trova nella VM Linux o in qualsiasi altro servizio che si desidera usare con la crittografia a chiave pubblica.The public key is placed on your Linux VM, or any other service that you wish to use with public-key cryptography.

  • La chiave privata è quella che si presenta alla VM Linux quando ci si connette a SSH, per verificare la propria identità.The private key is what you present to your Linux VM when you make an SSH connection, to verify your identity. Sulla chiave privata è necessario mantenere la massima riservatezza,Protect this private key. evitando di condividerla.Do not share it.

A seconda dei criteri di sicurezza dell'organizzazione, è possibile riutilizzare una singola coppia di chiavi pubblica e privata per accedere a più VM e servizi di Azure.Depending on your organization's security policies, you can reuse a single public-private key pair to access multiple Azure VMs and services. Non è necessaria una coppia di chiavi separata per ogni VM o servizio a cui si desidera accedere.You do not need a separate pair of keys for each VM or service you wish to access.

La chiave pubblica può essere condivisa con chiunque, ma la chiave privata appartiene solo all'utente o all'infrastruttura di sicurezza locale.Your public key can be shared with anyone; but only you (or your local security infrastructure) possess your private key.

Passphrase della chiave privataPrivate key passphrase

La chiave privata SSH deve essere protetta da una passphrase molto sicura.The SSH private key should have a very secure passphrase to safeguard it. Questa passphrase serve solo per accedere al file della chiave SSH privata e non è la password dell'account utente.This passphrase is just to access the private SSH key file and is not the user account password. Quando si aggiunge una passphrase alla chiave SSH, la chiave privata viene crittografata con AES a 128 bit, in modo che sia inutilizzabile senza la passphrase per decrittografarla.When you add a passphrase to your SSH key, it encrypts the private key using 128-bit AES, so that the private key is useless without the passphrase to decrypt it. Se un utente malintenzionato ruba una chiave privata priva di passphrase, può usarla per accedere ai server che hanno la chiave pubblica corrispondente.If an attacker stole your private key and that key did not have a passphrase, they would be able to use that private key to log in to any servers that have the corresponding public key. Se una chiave privata è protetta da passphrase, non può essere usata da utenti malintenzionati e rappresenta un livello di sicurezza aggiuntivo per l'infrastruttura in Azure.If a private key is protected by a passphrase, it cannot be used by that attacker, providing an additional layer of security for your infrastructure on Azure.

Formati di chiave SSH supportatiSupported SSH key formats

Attualmente Azure supporta il protocollo SSH 2 (SSH-2) e le coppie di chiavi pubblica e privata basate su RSA con una lunghezza minima di 2.048 bit.Azure currently supports SSH protocol 2 (SSH-2) RSA public-private key pairs with a minimum length of 2048 bits. Altri formati di chiave, ad esempio ED25519 ed ECDSA, non sono supportati.Other key formats such as ED25519 and ECDSA are not supported.

Uso e vantaggi delle chiavi SSHSSH keys use and benefits

Quando si crea una VM di Azure specificando la chiave pubblica, Azure copia la chiave pubblica (nel formato .pub) nella cartella ~/.ssh/authorized_keys nella VM.When you create an Azure VM by specifying the public key, Azure copies the public key (in the .pub format) to the ~/.ssh/authorized_keys folder on the VM. Le chiavi SSH in ~/.ssh/authorized_keys vengono usate per fare in modo che il client trovi la chiave privata corrispondente in una connessione di accesso SSH.SSH keys in ~/.ssh/authorized_keys are used to challenge the client to match the corresponding private key on an SSH login connection. In una VM Linux di Azure che usa chiavi SSH per l'autenticazione, Azure configura il server SSHD per non consentire l'accesso con password, ma solo con le chiavi SSH.In an Azure Linux VM that uses SSH keys for authentication, Azure configures the SSHD server to not allow password logins, only SSH keys. La creazione di una VM Linux in Azure con chiavi SSH consente di proteggere la distribuzione della VM e di evitare il passaggio tipico di post-distribuzione di disabilitare le password nel file sshd_config.Therefore, by creating an Azure Linux VM with SSH keys, you can help secure the VM deployment and save yourself the typical post-deployment configuration step of disabling passwords in the sshd_config file.

Se non si vogliono usare chiavi SSH, è possibile configurare la VM Linux in modo che usi l'autenticazione mediante password.If you do not wish to use SSH keys, you can set up your Linux VM to use password authentication. Se la VM non è connessa a Internet, l'utilizzo di password può essere sufficiente.If your VM is not exposed to the Internet, using passwords may be sufficient. È comunque necessario gestire le password per ogni VM Linux e mantenere criteri e prassi di integrità per le password stesse, quali una lunghezza minima e l'aggiornamento periodico.However, you still need to manage your passwords for each Linux VM and maintain healthy password policies and practices, such as minimum password length and regular updates. L'uso delle chiavi SSH riduce la complessità di gestione delle credenziali individuali tra più VM.Using SSH keys reduces the complexity of managing individual credentials across multiple VMs.

Generare chiavi con ssh-keygenGenerate keys with ssh-keygen

Per creare le chiavi, un comando preferito è ssh-keygen, disponibile con le utilità OpenSSH in Azure Cloud Shell, un host macOS o Linux, il sottosistema Windows per Linux e altri strumenti.To create the keys, a preferred command is ssh-keygen, which is available with OpenSSH utilities in the Azure Cloud Shell, a macOS or Linux host, the Windows Subsystem for Linux, and other tools. ssh-keygen presenta una serie di domande e quindi scrive una chiave privata e una chiave pubblica corrispondente.ssh-keygen asks a series of questions and then writes a private key and a matching public key.

Per impostazione predefinita, le chiavi SSH vengono conservate nella directory ~/.ssh.SSH keys are by default kept in the ~/.ssh directory. Se non si dispone di una directory ~/.ssh, questa viene creata automaticamente dal comando ssh-keygen con le autorizzazioni corrette.If you do not have a ~/.ssh directory, the ssh-keygen command creates it for you with the correct permissions.

Esempio di baseBasic example

Il seguente comando ssh-keygen genera i file della chiave pubblica e privata SSH RSA a 2048 bit nella directory ~/.ssh per impostazione predefinita.The following ssh-keygen command generates 2048-bit SSH RSA public and private key files by default in the ~/.ssh directory. Se nel percorso corrente è presente una coppia di chiavi SSH, questi file vengono sovrascritti.If an SSH key pair exists in the current location, those files are overwritten.

ssh-keygen -t rsa -b 2048

Esempio dettagliatoDetailed example

L'esempio seguente mostra opzioni di comando aggiuntive per creare una coppia di chiavi SSH RSA.The following example shows additional command options to create an SSH RSA key pair. Se nel percorso corrente è presente una coppia di chiavi SSH, questi file vengono sovrascritti.If an SSH key pair exists in the current location, those files are overwritten.

ssh-keygen \
    -t rsa \
    -b 4096 \
    -C "azureuser@myserver" \
    -f ~/.ssh/mykeys/myprivatekey \
    -N mypassphrase

Descrizione del comandoCommand explained

ssh-keygen: programma usato per creare le chiavi.ssh-keygen = the program used to create the keys

-t rsa = tipo di chiave da creare, in questo caso nel formato RSA-t rsa = type of key to create, in this case in the RSA format

-b 4096 = numero di bit nella chiave, in questo caso 4096-b 4096 = the number of bits in the key, in this case 4096

-C "azureuser@myserver": commento aggiunto alla fine del file della chiave pubblica per identificarla facilmente.-C "azureuser@myserver" = a comment appended to the end of the public key file to easily identify it. Come commento viene usato in genere un indirizzo di posta elettronica, ma è possibile usare qualsiasi elemento, in base alle esigenze dell'infrastruttura.Normally an email address is used as the comment, but use whatever works best for your infrastructure.

-f ~/.ssh/mykeys/myprivatekey = il nome del file della chiave privata, se si sceglie di non usare il nome predefinito.-f ~/.ssh/mykeys/myprivatekey = the filename of the private key file, if you choose not to use the default name. Un file di chiave pubblica corrispondente con finale .pub viene generato nella stessa directory.A corresponding public key file appended with .pub is generated in the same directory. La directory deve esistere.The directory must exist.

-N mypassphrase = una passphrase aggiuntiva necessaria per accedere al file della chiave privata.-N mypassphrase = an additional passphrase used to access the private key file.

Esempio di ssh-keygenExample of ssh-keygen

ssh-keygen -t rsa -b 2048 -C "azureuser@myserver"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/azureuser/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/azureuser/.ssh/id_rsa.
Your public key has been saved in /home/azureuser/.ssh/id_rsa.pub.
The key fingerprint is:
14:a3:cb:3e:78:ad:25:cc:55:e9:0c:08:e5:d1:a9:08 azureuser@myserver
The keys randomart image is:
+--[ RSA 2048]----+
|        o o. .   |
|      E. = .o    |
|      ..o...     |
|     . o....     |
|      o S =      |
|     . + O       |
|      + = =      |
|       o +       |
|        .        |
+-----------------+

I file delle chiavi salvatiSaved key files

Enter file in which to save the key (/home/azureuser/.ssh/id_rsa): ~/.ssh/id_rsa

Nome della coppia di chiavi per questo articolo.The key pair name for this article. Per impostazione predefinita viene creata una coppia di chiavi denominata id_rsa; alcuni strumenti potrebbero aspettarsi un file della chiave privata con il nome id_rsa, quindi è utile averlo.Having a key pair named id_rsa is the default; some tools might expect the id_rsa private key file name, so having one is a good idea. La directory ~/.ssh/ è la posizione predefinita per le coppie di chiavi SSH e il file config SSH.The directory ~/.ssh/ is the default location for SSH key pairs and the SSH config file. Se non viene specificato con un percorso completo, ssh-keygen crea le chiavi nella directory di lavoro corrente, non nel percorso ~/.ssh predefinito.If not specified with a full path, ssh-keygen creates the keys in the current working directory, not the default ~/.ssh.

Elenco della directory ~/.sshList of the ~/.ssh directory

ls -al ~/.ssh
-rw------- 1 azureuser staff  1675 Aug 25 18:04 id_rsa
-rw-r--r-- 1 azureuser staff   410 Aug 25 18:04 id_rsa.pub

Passphrase della chiaveKey passphrase

Enter passphrase (empty for no passphrase):

È vivamente consigliabile aggiungere una passphrase alla chiave privata.It is strongly recommended to add a passphrase to your private key. Senza una passphrase che protegge il file della chiave, chiunque abbia il file può usarlo per accedere a qualsiasi server che ha la chiave pubblica corrispondente.Without a passphrase to protect the key file, anyone with the file can use it to log in to any server that has the corresponding public key. L'aggiunta di una passphrase offre protezione nel caso in cui qualcuno riesca ad accedere al file della chiave privata, lasciando all'utente il tempo necessario per cambiare le chiavi.Adding a passphrase offers more protection in case someone is able to gain access to your private key file, giving you time to change the keys.

Generare chiavi automaticamente durante la distribuzioneGenerate keys automatically during deployment

Se si usa l'interfaccia della riga di comando di Azure 2.0 per creare la VM, facoltativamente è possibile creare i file della chiave SSH pubblica e privata eseguendo il comando az vm create con l'opzione --generate-ssh-keys.If you use the Azure CLI 2.0 to create your VM, you can optionally generate SSH public and private key files by running the az vm create command with the --generate-ssh-keys option. Le chiavi vengono archiviate nella directory ~/.ssh.The keys are stored in the ~/.ssh directory. Si noti che questa opzione di comando non implica la sovrascrittura delle chiavi se sono già presenti in tale percorso.Note that this command option does not overwrite keys if they already exist in that location.

Fornire la chiave SSH pubblica quando si distribuisce una VMProvide SSH public key when deploying a VM

Per creare una VM Linux che usa le chiavi SSH per l'autenticazione, fornire la chiave SSH pubblica quando si crea la VM tramite il portale di Azure, l'interfaccia della riga di comando, i modelli di Resource Manager o altri metodi.To create a Linux VM that uses SSH keys for authentication, provide your SSH public key when creating the VM using the Azure portal, CLI, Resource Manager templates, or other methods. Quando si usa il portale, immettere la chiave pubblica stessa.When using the portal, you enter the public key itself. Se si usa l'interfaccia della riga di comando di Azure 2.0 per creare la macchina virtuale con una chiave pubblica esistente, specificare il valore o il percorso della chiave pubblica eseguendo il comando az vm create con l'opzione --ssh-key-value.If you use the Azure CLI 2.0 to create your VM with an existing public key, specify the value or location of this public key by running the az vm create command with the --ssh-key-value option.

Se non si ha familiarità con il formato della chiave SSH pubblica, è possibile visualizzare la chiave pubblica eseguendo cat come segue, sostituendo ~/.ssh/id_rsa.pub con il proprio percorso del file della chiave pubblica:If you're not familiar with the format of an SSH public key, you can see your public key by running cat as follows, replacing ~/.ssh/id_rsa.pub with your own public key file location:

cat ~/.ssh/id_rsa.pub

L'output è simile al seguente (con alcune modifiche):Output is similar to the following (here redacted):

ssh-rsa XXXXXXXXXXc2EAAAADAXABAAABAXC5Am7+fGZ+5zXBGgXS6GUvmsXCLGc7tX7/rViXk3+eShZzaXnt75gUmT1I2f75zFn2hlAIDGKWf4g12KWcZxy81TniUOTjUsVlwPymXUXxESL/UfJKfbdstBhTOdy5EG9rYWA0K43SJmwPhH28BpoLfXXXXXG+/ilsXXXXXKgRLiJ2W19MzXHp8z3Lxw7r9wx3HaVlP4XiFv9U4hGcp8RMI1MP1nNesFlOBpG4pV2bJRBTXNXeY4l6F8WZ3C4kuf8XxOo08mXaTpvZ3T1841altmNTZCcPkXuMrBjYSJbA8npoXAXNwiivyoe3X2KMXXXXXdXXXXXXXXXXCXXXXX/ azureuser@myserver

Se si copiano e si incollano i contenuti del file della chiave pubblica nel portale di Azure o in un modello di Resource Manager, verificare di non introdurre spazi o interruzioni di riga aggiuntive.If you copy and paste the contents of the public key file into the Azure portal or a Resource Manager template, make sure you don't copy any additional whitespace or introduce additional linebreaks. Ad esempio, se si usa macOS, è possibile eseguire il pipe del file della chiave pubblica, che per impostazione predefinita è ~/.ssh/id_rsa.pub, a pbcopy per copiare i contenuti. Anche altri programmi Linux eseguono questa operazione, ad esempio xclip.For example, if you use macOS, you can pipe the public key file (by default, ~/.ssh/id_rsa.pub) to pbcopy to copy the contents (there are other Linux programs that do the same thing, such as xclip).

Se si preferisce usare una chiave pubblica in un formato a più righe, è possibile generare una chiave RFC4716 formattata in un contenitore con estensione pem dalla chiave pubblica creata in precedenza.If you prefer to use a public key that is in a multiline format, you can generate an RFC4716 formatted key in a pem container from the public key you previously created.

Per creare una chiave in formato RFC4716 da una chiave pubblica SSH esistente:To create a RFC4716 formatted key from an existing SSH public key:

ssh-keygen \
-f ~/.ssh/id_rsa.pub \
-e \
-m RFC4716 > ~/.ssh/id_ssh2.pem

Connessione SSH alla VM con un client SSHSSH to your VM with an SSH client

Con la chiave pubblica distribuita nella VM di Azure e la chiave privata nel sistema locale, stabilire una connessione SSH alla VM usando l'indirizzo IP o il nome DNS della VM.With the public key deployed on your Azure VM, and the private key on your local system, SSH to your VM using the IP address or DNS name of your VM. Sostituire azureuser e myvm.westus.cloudapp.azure.com nel comando seguente con il nome utente dell'amministratore e il nome di dominio completo (o indirizzo IP):Replace azureuser and myvm.westus.cloudapp.azure.com in the following command with the administrator user name and the fully qualified domain name (or IP address):

ssh azureuser@myvm.westus.cloudapp.azure.com

Se è stata specificata una passphrase durante la creazione della coppia di chiavi, immettere la passphrase quando viene richiesta durante il processo di accesso.If you provided a passphrase when you created your key pair, enter the passphrase when prompted during the login process. Il server viene aggiunto alla cartella ~/.ssh/known_hosts e non verrà chiesto di connettersi di nuovo finché la chiave pubblica nella VM di Azure non viene modificata o il nome server viene rimosso da ~/.ssh/known_hosts.(The server is added to your ~/.ssh/known_hosts folder, and you won't be asked to connect again until the public key on your Azure VM changes or the server name is removed from ~/.ssh/known_hosts.)

Usare ssh-agent per archiviare la passphrase della chiave privataUse ssh-agent to store your private key passphrase

Per evitare di digitare la passphrase del file della chiave privata a ogni accesso SSH, è possibile usare ssh-agent per memorizzare nella cache la passphrase del file della chiave privata.To avoid typing your private key file passphrase with every SSH login, you can use ssh-agent to cache your private key file passphrase. Se si usa un Mac, il portachiavi macOS archivia in modo sicuro le passphrase delle chiavi private quando si chiama ssh-agent.If you are using a Mac, the macOS Keychain securely stores the private key passphrase when you invoke ssh-agent.

Verificare e usare ssh-agent e ssh-add per fornire informazioni al sistema SSH sui file delle chiavi, in maniera che non sia necessario usare la passphrase in modo interattivo.Verify and use ssh-agent and ssh-add to inform the SSH system about the key files so that you do not need to use the passphrase interactively.

eval "$(ssh-agent -s)"

Ora aggiungere la chiave privata a ssh-agent usando il comando ssh-add.Now add the private key to ssh-agent using the command ssh-add.

ssh-add ~/.ssh/id_rsa

La passphrase della chiave privata è ora archiviata in ssh-agent.The private key passphrase is now stored in ssh-agent.

Uso di ssh-copy-id per copiare la chiave in una VM esistenteUse ssh-copy-id to copy the key to an existing VM

Se è già stata creata una VM, è possibile installare la nuova chiave SSH pubblica nella VM Linux con un comando simile al seguente:If you have already created a VM, you can install the new SSH public key to your Linux VM with a command similar to the following:

ssh-copy-id -i ~/.ssh/id_rsa.pub azureuser@myserver

Creare e configurare un file config SSHCreate and configure an SSH config file

Si può creare e configurare un file di configurazione SSH (~/.ssh/config) per velocizzare gli accessi e ottimizzare il comportamento del client SSH.You can create and configure an SSH config file (~/.ssh/config) to speed up log-ins and to optimize your SSH client behavior.

L'esempio seguente mostra una semplice configurazione che è possibile usare per accedere rapidamente come utente a una VM specifica usando la chiave privata SSH predefinita.The following example shows a simple configuration that you can use to quickly log in as a user to a specific VM using the default SSH private key.

Creare il fileCreate the file

touch ~/.ssh/config

Modificare il file per aggiungere la nuova configurazione SSHEdit the file to add the new SSH configuration

vim ~/.ssh/config

Configurazione di esempioExample configuration

Aggiungere le impostazioni di configurazione appropriate per la VM host.Add configuration settings appropriate for your host VM.

# Azure Keys
Host myvm
  Hostname 102.160.203.241
  User azureuser
# ./Azure Keys

È possibile aggiungere configurazioni per host aggiuntivi per consentire a ciascuno di usare la propria coppia di chiavi dedicata.You can add configurations for additional hosts to enable each to use its own dedicated key pair. Per altre opzioni di configurazione avanzate, vedere File di configurazione SSH.See SSH config file for more advanced configuration options.

Con una coppia di chiavi SSH e un file config SSH configurato è ora possibile accedere alla VM Linux in modo rapido e sicuro.Now that you have an SSH key pair and a configured SSH config file, you are able to log in to your Linux VM quickly and securely. Quando si esegue il comando seguente, SSH individua e carica tutte le impostazioni dal blocco Host myvm nel file di configurazione SSH.When you run the following command, SSH locates and loads any settings from the Host myvm block in the SSH config file.

ssh myvm

La prima volta che si accede a un server usando una chiave SSH, il comando richiede la passphrase per il file della chiave.The first time you log in to a server using an SSH key, the command prompts you for the passphrase for that key file.

Passaggi successiviNext steps

Il prossimo passaggio consiste nel creare VM Linux di Azure usando la nuova chiave pubblica SSH.Next up is to create Azure Linux VMs using the new SSH public key. Le VM di Azure create con una chiave pubblica SSH come account di accesso sono più protette rispetto alle VM create con il metodo di accesso predefinito basato su password.Azure VMs that are created with an SSH public key as the login are better secured than VMs created with the default login method, passwords.