窓辺の小石 第186回 Secure Shell Explorers

現在のWindows 11には、他のマシンにSSHでログインするための「OpenSSHクライアント」（ssh.exe）が標準で搭載されている。他のマシンからのログインを可能にする「OpenSSHサーバー」は、Windowsのオプション機能として有効化できる。また、公開鍵によるログインを行うためのSSH-Agentサービスも搭載されているが、標準状態では停止状態である。

他のマシンにSSHで接続するためには、該当のマシンの証明と認証で使う「暗号化キー」を作る必要がある。それには、PowerShellから以下のコマンドを使って「Ed25519」形式の公開鍵暗号キーを作る。

ssh-keygen.exe -t ed25519

ed25519とは奇妙な名前だが、「2^255-19」（2の『255』乗マイナス『19』）という素数にちなんで付けられたもの。SSHの古いドキュメントなどを見るとssh-keygenをデフォルトで使うとか、-tオプションでrsaを指定するなどの記述があるが、これから使うのであればed25519を使うべきである。

ssh-keygen.exeコマンド実行すると、ファイルパスを聞いてくるがこれは、何も指定せずエンターキーで先に進める。デフォルト値は、ユーザーフォルダ下の.sshフォルダである。コマンドでは、最後にパスフレーズを聞いてくる。これは、長めのパスワードだと思い意味のある文を入れる。確認のため同じものをもう一回入れる。パスフレーズはこのあと、ssh-addコマンドに入力したら、秘密鍵の再設定以外にはもう使う機会はない。

標準では、ユーザーフォルダの下にある.sshフォルダ（$env:Userprofile\.ssh）に公開鍵（id_ed25519.pub）と秘密鍵（id_ed25519）が作られる。まずは、この2つのファイルをUSBメモリなど安全な場所にバックアップしておくことをお勧めする。作業としては、公開鍵の内容をSSHサーバー側にコピー（次回解説）し、秘密鍵をssh-addコマンドでssh-agentに登録する。以後の作業は、カレントディレクトリがここになっていると想定する。

秘密鍵を管理させるためには、以下のコマンドを使ってssh-agentサービスを起動させる必要がある（要管理者権限）。GUIの「サービス」アプリケーションを使うこともできる。

Set-Service -StartupType AutomaticDelayedStart ssh-agent
Start-Service ssh-agent