如何在 macOS Sierra (10.12) 和 High Sierra (10.13) 系统上生成 SSH Keys

这个指南将会向你展示如何在 macOS Sierra (10.12) 和 High Sierra (10.13) 上生成和保护 SSH keys。SSH keys 允许不需要密码就登录你的服务器。它们既可以增加便利性，也能增加安全性，可以有效的抵御暴力攻击。

SSH (Secure Shell)是一个协议，经常用于远程远离和远程文件传输（SFTP）。当访问远程服务器例如 Vultr VPS，我们推荐使用 SSH 配合 PKE（Public Key Exchange），这种方式，公钥提供给服务器，私钥存储在本地机器。

在安装期间，通过在 Vultr 控制面板，添加公钥后，公钥会被自动添加到服务器。你可以在这个页面管理你的 SSH keys。有一点非常重要，请记住，这些仅仅是你的公钥（通常以.pub结尾）你永远都不要暴露你的私钥。

一、Key 类型

有几种不同的 key 类型可以被选择。在生成秘钥的时候，使用-t参数，例如ssh-keygen -t ed25519。这个 ED25519 key 可 类型，使用椭圆曲线前面，比 DSA 或者 ECDSA 更安全，有更好的性能。大部分现代的 SSH 软件（例如 OpenSSH，从版本 6.5 开始）支持 ED25519 key 类型，但是你仍然会发现有软件不兼容这个类型，因此默认的 key 类型是 RSA。

默认的 key 类型是 2048 位 RSA，它能提供一个好的安全性和兼容性。想要更安全，你可以使用-b参数选择一个更大 key 大小，来生成 key，例如ssh-keygen -b 4096来创建一个 4096 位的 RSA 密钥。

二、生成 Key

想要生成一个 SSH key，你将需要打开终端应用，在『应用->工具->终端』。

想要创建一个 4096 位的 RSA key，输入：

ssh-keygen -b 4096

然后你会看到：

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa):

按回车键将会保存你的新 key 到默认的位置，这是推荐设置。然后你将会选择输入密码，它可以加密你的 key，没有授权不允许使用 key。推荐使用一个密码：

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.
Your public key has been saved in id_rsa.pub.
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ username@Your-Mac.local
The key's randomart image is:
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

此时，你的 key 就被生成，并且被存储在 ~/.ssh/id_rsa。想要让 key 在系统上可用，并且将密码存储在系统钥匙串访问应用中，我们将会需要完成一些额外的步骤。注意，这仅仅是因为你不想每次使用密钥的时候都被提示输入密码。

三、添加新的 key 到 SSH agent

输入ssh-add -K ~/.ssh/id_rsa。你将会被提示输入密码，然后你会看见下面的内容:

Identity added: id_rsa (username@Your-Mac.local)

如果你想使用这个 SSH key 去登录一个已经创建的服务器，你可以使用ssh-copy-id工具将你的公钥存储在你想访问的服务器中。

四、将新 key 添加到远程服务器

使用ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa root@192.0.2.1

这个终端将会要求你输入登录密码，因为远程服务器还不知道你的 key。你可以看见下面的内容：

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh 'root@192.0.2.1'"
and check to make sure that only the key(s) you wanted were added.

现在你可以通过ssh root@192.0.2.1尝试登录远程服务器，并且你将不需要密码就可以连接上了。