如何生成和添加 GitLab SSH Key – wiki基地

精通 GitLab SSH Key：从生成到添加的终极指南

在现代软件开发工作流中，版本控制系统（VCS）如 Git 扮演着核心角色，而 GitLab 作为一款强大且流行的 Git 仓库管理平台，为团队协作和 DevOps 实践提供了全面的解决方案。与 GitLab 进行安全、高效交互的关键之一便是使用 SSH 密钥。相比传统的 HTTPS 协议需要频繁输入用户名和密码，SSH Key 提供了更安全、更便捷的认证方式。

本文将深入探讨 SSH Key 的概念、重要性，并提供一份详尽的分步指南，涵盖如何在不同操作系统（Windows, macOS, Linux）上生成 SSH Key，以及如何将其添加到您的 GitLab 账户中，最后还会涉及一些常见问题的排查和最佳实践。本文旨在成为您掌握 GitLab SSH Key 操作的终极资源，无论您是初学者还是有一定经验的开发者，都能从中获益。

第一部分：理解 SSH 与 SSH Key

在我们深入实践之前，有必要先理解一些基本概念。

什么是 SSH？
SSH（Secure Shell 或 Secure Socket Shell）是一种网络协议，用于在不安全的网络上安全地运行网络服务。它最常见的应用是远程登录到计算机系统以及执行命令，但它也支持隧道、转发 TCP 端口和 X11 连接，并且可以通过 SFTP 或 SCP 协议安全地传输文件。SSH 通过强大的加密技术保护连接过程中的数据，防止窃听、连接劫持等攻击。
什么是 SSH Key？
SSH Key（SSH 密钥对）是 SSH 协议用于身份验证的一种方式。它基于非对称加密（也称为公钥加密）原理。一个 SSH 密钥对包含两个文件：
- 私钥 (Private Key)：这个文件必须被严格保密，绝不能分享给任何人或上传到任何地方。它通常存储在您本地计算机的特定目录下（如 ~/.ssh/id_ed25519 或 ~/.ssh/id_rsa）。私钥用于解密由对应公钥加密的数据，以及生成数字签名以证明您的身份。
- 公钥 (Public Key)：这个文件可以安全地分享给其他人或系统（如 GitLab 服务器）。它通常以 .pub 扩展名结尾（如 ~/.ssh/id_ed25519.pub 或 ~/.ssh/id_rsa.pub）。公钥用于加密只有对应私钥才能解密的数据，以及验证由私钥生成的数字签名。
为什么在 GitLab 中使用 SSH Key？
- 安全性：SSH Key 使用强大的加密算法，比密码认证更难被暴力破解。私钥存储在本地，不会在网络上传输，大大降低了凭证泄露的风险。
- 便捷性：一旦设置好 SSH Key，您在执行 git push, git pull, git clone 等需要与 GitLab 服务器交互的操作时，通常不再需要输入用户名和密码（除非您的私钥设置了密码保护）。这极大地提高了开发效率，尤其是在频繁操作时。
- 自动化友好：对于 CI/CD 流水线、部署脚本等自动化场景，使用 SSH Key 进行认证是标准做法，避免了在脚本中硬编码密码的风险。

第二部分：检查现有 SSH Key

在生成新的 SSH Key 之前，最好先检查一下您的系统上是否已经存在可用的密钥对。这可以避免创建不必要的密钥，或覆盖重要的现有密钥。

打开您的终端（Terminal on macOS/Linux, Git Bash or WSL Terminal on Windows）：

Linux / macOS / Windows (Git Bash/WSL):
bash ls -al ~/.ssh

这个命令会列出 ~/.ssh 目录下的所有文件（~ 代表您的用户主目录）。留意是否存在以下文件名的文件：
* id_rsa 和 id_rsa.pub
* id_ecdsa 和 id_ecdsa.pub
* id_ed25519 和 id_ed25519.pub

如果看到这些 .pub 文件，说明您可能已经有了 SSH 密钥。您可以尝试复用现有的密钥（特别是 id_ed25519.pub 或 id_rsa.pub），直接跳到第四部分“获取公钥内容”。
Windows (Command Prompt / PowerShell – 如果未使用 Git Bash/WSL):
SSH 密钥通常存储在 %USERPROFILE%\.ssh 目录下（例如 C:\Users\YourUsername\.ssh）。
“`powershell
# 使用 PowerShell
Get-ChildItem $env:USERPROFILE.ssh

或者使用 Command Prompt

dir “%USERPROFILE%.ssh”
`` 同样，检查是否存在id_*.pub` 文件。

如果您没有找到 ~/.ssh 目录，或者该目录下没有上述密钥文件，那么您需要生成一个新的 SSH 密钥对。

第三部分：生成新的 SSH Key

生成 SSH Key 的过程非常简单，主要使用 ssh-keygen 命令。推荐使用较新的 ED25519 算法，它比传统的 RSA 更安全、性能更好。

步骤：

打开终端：
- Linux / macOS: 打开“终端”应用程序。
- Windows: 打开 Git Bash (推荐，随 Git for Windows 安装) 或 Windows Subsystem for Linux (WSL) 终端。如果您必须使用原生 Windows 工具，确保 OpenSSH 客户端已安装并添加到 PATH（Windows 10/11 通常自带）。
执行 ssh-keygen 命令：

推荐使用 ED25519 算法：
bash ssh-keygen -t ed25519 -C "[email protected]"
* -t ed25519: 指定密钥类型为 ED25519。
* -C "[email protected]": 添加一个注释。通常使用您的邮箱地址作为注释，方便识别这个密钥属于谁或用于什么目的。请将 "[email protected]" 替换为您在 GitLab 上注册的邮箱地址或任何便于您识别的标签。

如果需要兼容旧系统，可以使用 RSA 算法（建议至少 4096 位）：
bash ssh-keygen -t rsa -b 4096 -C "[email protected]"
* -t rsa: 指定密钥类型为 RSA。
* -b 4096: 指定密钥长度为 4096 位（强度较高）。
响应提示：
- Enter file in which to save the key (/home/user/.ssh/id_ed25519):
  这里会提示您保存密钥文件的路径和名称。通常直接按 Enter 键接受默认路径即可（例如 ~/.ssh/id_ed25519 或 ~/.ssh/id_rsa）。如果您需要管理多个密钥，可以指定一个不同的名称，例如 ~/.ssh/gitlab_key。
  - 注意: 如果该文件已存在，系统会询问是否覆盖。如果您不确定，可以选择 n (no)，然后重新运行 ssh-keygen 命令并指定一个不同的文件名。
- Enter passphrase (empty for no passphrase):
  这里要求您为私钥设置一个密码（passphrase）。这是一个非常重要的安全措施！
  - 强烈建议设置一个强密码！ 这个密码不是您的 GitLab 登录密码，而是用来保护您的私钥文件本身。即使有人获取了您的私钥文件，没有这个密码也无法使用它。
  - 输入密码时，屏幕上不会显示任何字符（包括星号），这是正常的安全行为。
  - 输入密码后按 Enter。
- Enter same passphrase again:
  再次输入您刚刚设置的密码进行确认，然后按 Enter。
- 如果不想设置密码（不推荐，会降低安全性），可以在两次提示时都直接按 Enter 键。
生成完成：
如果一切顺利，您会看到类似以下的输出：
Generating public/private ed25519 key pair. Enter file in which to save the key (/home/user/.ssh/id_ed25519): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user/.ssh/id_ed25519 Your public key has been saved in /home/user/.ssh/id_ed25519.pub The key fingerprint is: SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [email protected] The key's randomart image is: +--[ED25519 256]--+ | .. | | o . | | . .. o | | . . =+ . | | . * So.* . | | . = O=o= . | | o.*+*+.. | | .o+Eo= . | | .o+=o . | +----[SHA256]-----+
这表示您的 SSH 密钥对已经成功生成！
- 私钥保存在 /home/user/.ssh/id_ed25519 （或您指定的文件）。
- 公钥保存在 /home/user/.ssh/id_ed25519.pub （或您指定的文件名 + .pub）。

第四部分：获取公钥内容并添加到 GitLab

现在您需要将公钥的内容复制并添加到您的 GitLab 账户中。

步骤：

复制公钥内容：
您需要完整地复制公钥文件的内容。公钥是一个长字符串，通常以 ssh-ed25519 或 ssh-rsa 开头，以您的邮箱地址（或注释）结尾。
- Linux / macOS / Windows (Git Bash/WSL):
  使用 cat 命令显示公钥内容，然后手动复制。
  bash cat ~/.ssh/id_ed25519.pub # 或者，如果您使用了不同的文件名或 RSA 密钥： # cat ~/.ssh/your_key_name.pub # cat ~/.ssh/id_rsa.pub
  命令执行后，终端会显示公钥内容。请确保从头到尾完整复制，包括开头的 ssh-ed25519 或 ssh-rsa 以及结尾的注释（邮箱地址），不要添加任何额外的换行符或空格。
  
  便捷复制方法 (部分系统):
  * macOS: pbcopy < ~/.ssh/id_ed25519.pub (直接将内容复制到剪贴板)
  * Linux (需要 xclip): xclip -sel clip < ~/.ssh/id_ed25519.pub
  * Windows (Git Bash): cat ~/.ssh/id_ed25519.pub | clip
- Windows (Command Prompt / PowerShell):
  “`powershell
  # 使用 PowerShell
  Get-Content $env:USERPROFILE.ssh\id_ed25519.pub | Set-Clipboard
  
  或者使用 Command Prompt
  
  type “%USERPROFILE%.ssh\id_ed25519.pub” | clip
  `` 或者，您也可以直接用文本编辑器（如 Notepad++ 或 VS Code，**不要用 Word 或写字板**，它们可能改变格式）打开id_ed25519.pub` 文件，然后手动复制其全部内容。
登录 GitLab：
在浏览器中打开您的 GitLab 实例（例如 https://gitlab.com 或您的自托管 GitLab 地址），并登录您的账户。
导航到 SSH Keys 设置：
- 点击页面右上角的您的头像 (Avatar)。
- 在下拉菜单中选择 “Edit profile” 或 “Settings” (名称可能略有不同，取决于 GitLab 版本)。
- 在左侧导航菜单中，找到并点击 “SSH Keys”。
粘贴并添加公钥：
- 在 “Key” 文本框中，粘贴您刚刚复制的完整公钥内容。
- 在 “Title” 字段中，为这个密钥起一个描述性的名称，方便您以后识别。例如：”MacBook Pro Key”, “Work Laptop”, “Home Desktop ED25519″。
- “Usage type” (较新版本 GitLab 可能有此选项): 通常选择 “Authentication & Signing” 或仅 “Authentication”。保持默认即可，除非您有特殊需求。
- “Expires at” (可选): 您可以设置一个过期日期，到期后该密钥将自动失效。这是一种安全增强措施，但对于个人开发者可能不是必需的。留空表示永不过期。
- 检查无误后，点击 “Add key” 按钮。
(这是一个占位符，实际界面会显示 Key、Title 等输入框)
验证添加：
添加成功后，您应该能在页面下方的 “Your SSH keys” 列表中看到您刚刚添加的密钥及其标题和指纹。

第五部分：测试 SSH 连接

为了确保一切设置正确，您应该测试一下与 GitLab 服务器的 SSH 连接。

打开终端 (与生成密钥时使用的相同类型)。
执行测试命令：
bash ssh -T [email protected] # 如果您使用的是自托管的 GitLab 实例，请替换 gitlab.com 为您的实例域名： # ssh -T [email protected]
- -T: 表示不分配伪终端，仅用于测试连接。
- [email protected]: git 是 GitLab 服务器上用于处理 SSH 连接的特定用户，gitlab.com 是服务器地址。
首次连接确认：
如果是您第一次通过 SSH 连接到这个 GitLab 服务器，您可能会看到类似以下的提示：
The authenticity of host 'gitlab.com (172.65.251.78)' can't be established. ECDSA key fingerprint is SHA256:HbW3g8zUjNSksFbqTiUWPWg2Bq1x8xdGUrliXFzSnUw. Are you sure you want to continue connecting (yes/no/[fingerprint])?
这是正常的。SSH 客户端在连接到一个新的服务器时，会询问您是否信任该服务器的公钥指纹。输入 yes 并按 Enter。这会将 GitLab 服务器的公钥添加到您本地的 ~/.ssh/known_hosts 文件中，以后连接就不会再询问了。
- 安全提示: 理论上，您应该验证这个指纹是否与 GitLab 官方公布的指纹匹配，以防中间人攻击。GitLab 官方文档通常会提供其 SSH 主机密钥指纹。
输入私钥密码（如果设置了）：
如果您在生成密钥时设置了密码 (passphrase)，系统现在会提示您输入：
Enter passphrase for key '/home/user/.ssh/id_ed25519':
输入您设置的密码并按 Enter。输入时同样不显示字符。
成功连接的标志：
如果一切顺利，您应该会看到一条欢迎信息，通常包含您的 GitLab 用户名：
Welcome to GitLab, @your_username!
或者类似的信息。注意：您不会获得一个 shell 访问权限，这个 git 用户是专门用来处理 Git 操作的。看到欢迎信息就表示您的 SSH Key 设置成功，并且 GitLab 服务器能够通过您的公钥识别您的私钥签名。

第六部分：常见问题排查 (Troubleshooting)

如果在测试连接或后续使用 Git 操作时遇到问题，可以尝试以下排查步骤：

Permission denied (publickey).
这是最常见的问题，意味着服务器拒绝了您的连接，因为它无法通过您提供的密钥进行认证。
- 检查 GitLab 端： 确认您的公钥已正确添加到 GitLab 账户的 SSH Keys 设置中，并且没有多余或缺失的字符。
- 检查本地私钥： 确认您的 SSH 客户端正在使用正确的私钥。默认情况下，它会尝试 ~/.ssh/id_ed25519, ~/.ssh/id_ecdsa, ~/.ssh/id_rsa 等。如果您使用了非默认名称，可能需要配置 SSH Agent 或 SSH 配置文件 (~/.ssh/config)。
- 检查私钥权限 (Linux/macOS)： 私钥文件必须具有严格的权限，否则 SSH 客户端会拒绝使用它。运行 chmod 600 ~/.ssh/your_private_key_file (例如 chmod 600 ~/.ssh/id_ed25519) 确保只有您自己有读写权限。.ssh 目录本身也应具有 700 权限 (chmod 700 ~/.ssh)。
- SSH Agent 问题： 如果您使用了 SSH Agent 但没有添加正确的密钥，或者 Agent 没有运行，也会导致此问题。尝试运行 ssh-add ~/.ssh/your_private_key_file 将密钥添加到 Agent。
- 检查 Git 仓库的 Remote URL： 确保您要操作的本地 Git 仓库的远程 URL 是 SSH 格式 ([email protected]:username/repo.git) 而不是 HTTPS 格式 (https://gitlab.com/username/repo.git)。使用 git remote -v 查看，使用 git remote set-url origin [email protected]:username/repo.git 修改。
连接超时 (Connection timed out / Connection refused):
- 检查您的网络连接。
- 确认 GitLab 服务器地址 (gitlab.com 或您的自托管实例地址) 正确无误。
- 检查是否有防火墙（本地或网络）阻止了 SSH 连接（通常是 TCP 端口 22）。
反复提示输入密码：
- 如果您为私钥设置了密码，每次使用时都需要输入（除非使用 SSH Agent）。这是预期的行为。
- 如果您没有设置密码，但仍然被提示输入密码，可能是因为您正在使用 HTTPS URL 而不是 SSH URL 进行 Git 操作。检查 git remote -v。
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
这表示 GitLab 服务器的 SSH 主机密钥发生了变化（可能是服务器升级、迁移，或者极少数情况下是中间人攻击）。您需要先从 ~/.ssh/known_hosts 文件中移除旧的 GitLab 主机记录（错误信息会提示是哪一行），然后再次尝试连接，按提示接受新的主机密钥。

第七部分：最佳实践与进阶技巧

始终为私钥设置强密码 (Passphrase)： 这是保护您私钥安全的关键防线。
使用 SSH Agent 管理密钥密码： SSH Agent 是一个后台程序，可以缓存解密的私钥，让您在一次会话中只需输入一次密码。
- 启动 Agent: 通常在 Linux/macOS 终端启动时自动运行，或手动执行 eval $(ssh-agent -s)。
- 添加密钥: ssh-add ~/.ssh/your_private_key_file。添加后，在 Agent 运行期间使用该密钥就不再需要输入密码了。
管理多个 SSH Key： 如果您需要连接不同的 GitLab 账户、不同的 Git 服务（如 GitHub, Bitbucket）或不同的服务器，您可能需要生成多个 SSH 密钥对。使用 ~/.ssh/config 文件来管理它们：
“`
# ~/.ssh/config

Default GitLab.com account

Host gitlab.com
HostName gitlab.com
User git
PreferredAuthentications publickey
IdentityFile ~/.ssh/id_ed25519

Work GitLab instance

Host gitlab.work.com
HostName gitlab.work.com
User git
PreferredAuthentications publickey
IdentityFile ~/.ssh/work_gitlab_key

Another service (e.g., GitHub)

Host github.com
HostName github.com
User git
PreferredAuthentications publickey
IdentityFile ~/.ssh/github_rsa
`` 这样配置后，当您连接gitlab.work.com时，SSH 会自动使用~/.ssh/work_gitlab_key` 这个私钥。
4. 定期更换 SSH Key (Key Rotation)： 出于安全考虑，可以考虑定期（例如每年）生成新的 SSH Key 并替换掉旧的。
5. 理解 Deploy Keys： Deploy Key 是与特定项目关联的 SSH Key，通常用于 CI/CD 或服务器部署，授予对单个仓库的只读或读写权限，而不是与用户账户绑定。
6. 保护好您的私钥： 再次强调，绝不分享私钥文件，确保其文件权限正确，并考虑使用加密的硬盘或目录来存储它。

结论

设置和使用 GitLab SSH Key 是提升开发工作流安全性和效率的关键一步。通过本文的详细介绍，您应该已经掌握了从检查现有密钥、生成新密钥（推荐 ED25519）、将其添加到 GitLab 账户，到测试连接和解决常见问题的完整流程。记住，正确管理和保护您的私钥至关重要。熟练运用 SSH Key 不仅能让您与 GitLab 的交互更加顺畅，也是现代软件开发实践中的一项基本技能。现在，您可以享受无密码 Git 操作带来的便捷与安全了！

或者使用 Command Prompt

或者使用 Command Prompt

Default GitLab.com account

Work GitLab instance

Another service (e.g., GitHub)

发表评论 取消回复

发表评论取消回复