现象描述
Java分析添加目标环境失败。
可能原因
- 证书生效时间大于系统当前时间导致添加目标环境失败。
- SSH的安全配置不满足软件要求。
处理步骤
若是系统时间导致,请确认系统时间的准确性,系统时间准确后可部署成功。
若是SSH的安全配置问题,请根据以下步骤排查和配置。
- 确认MACs是否支持对应算法。
查看/etc/ssh目录下sshd_config配置文件。
图1 sshd_config配置文件
可通过ssh -Q mac查看是否支持hmac-sha2-256,hmac-sha2-256-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160。
图2 mac支持的算法
若上述加密算法支持但未配置,需在/etc/ssh目录下sshd_config配置文件中修改增加(注意仅添加支持的算法):
1MACs hmac-sha2-256,hmac-sha2-256-etm@openssh.com,hmac-md5,uhmac-sha1,umac-64@openssh.com,hmac-ripemd160
- 确认hostKey是否支持对应算法。
查看/etc/ssh目录下是否含有:ssh_host_ecdsa_key、ssh_host_ed25519_key。
图3 hostKey
若没有则生成对应hostKey:
1 2
ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
在配置文件/etc/ssh目录下sshd_config取消注释或新增:
1 2
HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key
- 确认HostKeyAlgorithms是否支持对应算法。
- 查看HostKeyAlgorithms是否配置,未配置则忽略此项检查,若配置则查看内容存在包含列表中任意一项:ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、ecdsa-sha2-nistp521、ssh-ed25519、ssh-ed25519-cert-v01@openssh.com、rsa-sha2-256、rsa-sha2-512。
- 若不包含可通过ssh -Q HostKeyAlgorithms查看加密算法的支持列表。
图4 HostKeyAlgorithms支持的算法
- 选择既在包含列表中又在支持列表中的任意算法,将其添加到/etc/ssh目录下sshd_config配置文件中。
1HostKeyAlgorithms ssh-ed25519,ssh-ed2551-=cert-v01@openssh.com
- 确认Ciphers是否支持对应算法。
使用ssh -Q cipher命令检查支持的ssh对称密钥。
图5 Ciphers支持的算法
若上述加密算法支持但未配置,需在/etc/ssh目录下sshd_config配置文件中修改增加(注意仅添加支持的算法):
1Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
- 检查/etc/ssh/ssh_config文件。
在/etc/ssh/ssh_config文件中查看是否有以下内容,若文件中没有则新增以下内容:
1GSSAPIAuthentication yes
- 重启SSH使其修改生效。
1systemctl restart sshd.service