文档首页/ 数据加密服务 DEW/ 快速入门/ 绑定密钥对并使用私钥登录弹性云服务器
更新时间:2025-07-17 GMT+08:00
分享

绑定密钥对并使用私钥登录弹性云服务器

密钥对是通过加密算法生成的一对密钥,包含一个公钥和一个私钥,公钥自动保存在KPS中,私钥由用户保存在本地。如果用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,提高登录安全性。

本章节介绍如何绑定密钥对并使用私钥登录弹性云服务器。

操作流程

本章节以“SSH_RSA_2048”密钥对为示例介绍创建密钥对并登录弹性云服务器,流程如图 创建密钥对并登录弹性云服务器所示。

图1 创建密钥对并登录弹性云服务器

操作步骤

说明

准备工作

注册华为账号、开通华为云,为账户充值、赋予KPS权限。

步骤一:创建密钥对

创建密钥对,选择密钥对类型等。

步骤二:为弹性云服务器绑定密钥对

为弹性云服务器绑定密钥对。

步骤三:使用私钥登录弹性云服务器

绑定密钥对后,通过私钥登录该弹性云服务器。

准备工作

  1. 在创建密钥对之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 已完成弹性云服务器创建,具体操作请参见创建ECS弹性云服务器

    弹性云服务器安全组SSH端口(默认22)需对网段100.125.0.0/16提前放通。具体端口及网段放通操作请参见Linux云服务器SSH登录的安全加固

  3. 请确保已为账号拥有KPS权限。具体操作请参见创建用户组并授权使用DEW
    表1 KPS系统策略

    系统角色/策略名称

    描述

    类别

    依赖关系

    DEW KeypairFullAccess

    数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。

    系统策略

    DEW KeypairReadOnlyAccess

    数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。

    系统策略

步骤一:创建密钥对

  1. 登录DEW服务控制台
  2. 在左侧导航栏选择“密钥对管理”
  3. 选择“私有密钥对”页签,单击“创建密钥对”,配置如图2所示,必要参数说明如表2所示。
    图2 创建私有密钥对
    表2 创建私有密钥对参数说明

    参数

    示例

    说明

    密钥对类型

    SSH_RSA_2048

    SSH密钥对签名算法,支持RSA、ECDSA、EdDSA算法。

    KMS加密

    说明:

    勾选“我同意将密钥对私钥托管”后,需要选择加密密钥。

    列表选择 > kps/default

    支持以下两种KMS加密方式:
    • “列表选择”:适用于使用本账号的密钥或共享密钥的场景。可选择默认密钥“kps/default”或用户在KMS已创建的自定义密钥
    • “手工输入”:输入授权密钥的ID。适用于使用授权的密钥场景,仅支持对称算法密钥ID,请勿输入非对称算法密钥ID。
  4. 勾选“我已阅读并同意《密钥对管理服务免责声明》”后,单击“确定”,浏览器自动执行下载任务,下载私钥文件,并弹出页面提示,用户自行保存私钥文件。

步骤二:为弹性云服务器绑定密钥对

为弹性云服务器绑定密钥对后,支持通过私钥登录弹性云服务器。

  1. 在左侧导航栏选择“密钥对管理”,选择“云服务器列表”页签。
  2. 在目标ECS实例(处于关机状态)所在行的“操作”列,单击“绑定”
  3. “绑定密钥对”页面,选择“密钥对”,勾选“关闭密码登录方式”“我已阅读并同意《密钥对管理服务免责声明》”
    图3 绑定密钥对(关机状态)
  4. 单击“确定”,完成密钥对绑定操作。
  1. 在左侧导航栏选择“密钥对管理”,选择“云服务器列表”页签。
  2. 在目标ECS实例(处于运行中状态)所在行的“操作”列,单击“绑定”
  3. “绑定密钥对”页面,配置如图4所示。
    • 选择“密钥对”“root密码”
    • “端口”默认为“22”
    • 勾选“关闭密码登录方式”“我已阅读并同意《密钥对管理服务免责声明》”
    图4 绑定密钥对


  4. 单击“确定”,完成密钥对绑定操作。

步骤三:使用私钥登录弹性云服务器

  1. 判断私钥文件是否是.ppk格式。
    • 是,直接登录ECS服务器。
    • 否,执行以下操作转换私钥文件格式后,执行登录ECS服务器。

      打开第三方PuTTY工具,将.pem格式私钥文件导入后,导出转换后的.ppk格式私钥文件。

      图5 私钥文件格式转换
  2. 打开PuTTY工具,登录ECS服务器。
    • 输入弹性云服务器IP地址,默认使用22端口。
      图6 弹性云服务器IP地址
    • 输入弹性云服务器镜像的用户名。
      图7 镜像用户名
    • 上传.ppk格式私钥文件。
      图8 上传私钥文件
    • 单击“Open”,完成云服务器登录操作。

相关文档