Möglich, E-Mail-Adresse im Schlüsselpaar zu ändern?

134

Ich habe ein RSA-Schlüsselpaar erstellt, das ich für SSH verwendet habe, und es enthält meine E-Mail-Adresse. (Am Ende des öffentlichen Schlüssels.)

Ich habe jetzt meine E-Mail-Adresse geändert.

Ist es möglich, die E-Mail-Adresse auf dem Schlüssel zu ändern, oder ist sie Teil des Schlüssels und ich müsste eine neue erstellen?

Ram Rachum
quelle

Antworten:

172

Ich habe ein RSA-Schlüsselpaar erstellt, das ich für SSH verwendet habe, und es enthält meine E-Mail-Adresse. (Am Ende des öffentlichen Schlüssels.)

Dieser Teil eines SSH-Schlüssels ist nur ein Kommentar. Sie können es jederzeit beliebig ändern. Es muss nicht einmal auf verschiedenen Servern gleich sein. Sie können es auch entfernen. Es ist nur da, um Ihnen oder jemand anderem zu helfen, herauszufinden, was Sie löschen müssen, wenn Sie viele Schlüssel in einer authorized_keys-Datei haben und Sie einen von ihnen widerrufen oder ändern müssen.

ssh-rsa AAAAB3N....NMqKM= this_is_a_comment

Wenn ich meine Schlüssel mit ssh-keygen erstelle, verwende ich normalerweise einen Befehl wie diesen, um einen anderen Kommentar zu setzen. Ich denke nicht, dass der Benutzername @ host sehr nützlich ist. Sie können sicher sagen, welcher Kommentar auch immer Ihnen und anderen Administratoren nützlich sein mag, um herauszufinden, wem der Schlüssel gehört.

ssh-keygen ... -C YYYYMMDD_surname_givenname
Zoredache
quelle
5
So glücklich, dass ich meine Schlüssel nicht ändern muss ...
Ram Rachum
Ich freue mich, dass ich meine E-Mail-Adresse nicht verwenden muss. Irgendeine Idee, warum Sie dem Schlüssel einen Kommentar hinzufügen möchten? Vielleicht könnte ich einfach mit der Site davonkommen, auf der sie verwendet wird, anstatt mit meiner E-Mail.
LeetNightshade
Nun, ich möchte (benötige) Kommentare zu meinen Systemen, da es 8 Netzwerktechniker und eine große Anzahl von Systemen gibt, die Schlüssel für automatisierte Aufgaben verwenden. Meine typische authorized_keys-Datei enthält 10-15 Schlüssel. Kommentare sind dazu da, um zu erkennen, wozu jeder Schlüssel gehört. In jedem Fall dienen die Kommentare dazu, die Verwaltung der Schlüssel zu vereinfachen. Sie können sie verwenden, wie Sie möchten.
Zoredache
2
Da Kommentare immer das letzte Element in einer authorized_keysDatei sind, sind Leerzeichen zulässig, sodass Sie keine Unterstriche verwenden müssen.
IQAndreas
@IQAndreas Sie haben natürlich Recht, aber ich verwende diesen Kommentar auch an einigen anderen Stellen, an denen es darauf ankommt. Zum Beispiel muss der Name meines Kommentars mit dem Dateinamen meines Schlüssels übereinstimmen, da er in meinem /.ssh-Verzeichnis gespeichert ist. Ich weiß, dass Leerzeichen auch in Dateien zulässig sind, aber wenn Sie sie nicht verwenden, ist es einfacher, auf meine Datei in der CLI zu verweisen.
Zoredache
18

Sie können den Kommentar für RSA1-Schlüssel mit ändern ssh-keygen -c.

von der ssh-keygen manpage:

 -c      Requests changing the comment in the private and public

Schlüsseldateien. Diese Operation wird nur für RSA1-Schlüssel unterstützt. Das Programm fordert zur Eingabe der Datei mit den privaten Schlüsseln, der Passphrase (falls vorhanden) und des neuen Kommentars auf.

~/.ssh/some_keyVerwenden Sie den folgenden Befehl , um den Kommentar eines Schlüssels zu ändern, der sich unter befindet :

ssh-keygen -c -f ~/.ssh/some_key -C "my new comment"

Auf die -fOption folgt die zu ändernde Taste und -Cder neue Kommentar.

dmourati
quelle
7
ssh-keygen -c -f id_fookehrt zurückComments are only supported for RSA1 keys.
Edward Falk
+1 , dies funktioniert auch mit OpenSSH ed25519-Schlüsseln. ed25519-Schlüssel sind vollständig Base64-codiert. Der Kommentar kann nicht mit einem Texteditor entfernt werden.
11

Ab OpenSSH 6.5 funktioniert dies mit allen Schlüsseltypen, nicht nur mit RSA1:

ssh-keygen -f ~/.ssh/keyfilename -o -c -C "here goes your comment"

Befehlsoptionen erklärt:

  • -f: private Schlüsseldatei
  • -o: konvertiert den privaten Schlüssel von PEM in das neue OpenSSH-Format
  • -c: Ändern Sie den Kommentar in den privaten und öffentlichen Schlüsseldateien
  • -C: Kommentartext

Siehe auch: ssh-keygen(1)Manpage (aktuell)

Kleine alte Forest Kami
quelle
Vielen Dank an @AntoineCotten - wird Ihre Bearbeitung als Referenz für zukünftige Antworten verwenden. :-)
Kleiner Urwald Kami