作为一名网络安全从业者，我经常遇到用户问：“用Putty连服务器时弹出的SSL证书警告能不能忽略？”答案很明确：绝对不能！这就像陌生人递给你一把钥匙说能开你家门，你敢直接用吗？本文就用大白话带你彻底搞懂Putty SSL证书的运作机制、常见风险，并手把手教你安全配置。

一、SSL证书在Putty中的作用：你的“数字身份证”

当Putty通过SSH连接服务器时，SSL证书（实际是SSH密钥对）就像服务器的“身份证”。首次连接时，Putty会弹出一个警告框显示证书指纹（例如`SHA256:AbCdEf...`），这是在告诉你：“这是我第一次见到这个服务器的身份证，请确认是否可信！”

举个实际例子：

假设你第一次用Putty连接公司服务器`192.168.1.100`，会看到类似这样的信息：

```

The server's host key is not cached in the registry...

RSA key fingerprint is SHA256:jG2q8T3nP1oY...

此时你需要做两件事：

1. 找管理员核对指纹（比如通过电话或内网邮件）

2. 确认后点击“接受并保存”，证书会被存入本地注册表（`HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys`）

二、忽略SSL证书警告的三大风险

很多用户嫌麻烦直接点“是”，这就埋下了重大安全隐患：

风险1：中间人攻击（MitM）

攻击者伪造一个假服务器拦截你的流量。比如：

- 你连咖啡厅WiFi时，黑客用工具伪造`github.com`的证书。

- Putty弹出警告但被你忽略，黑客就能窃取你的Git账号密码。

真实案例：

2025年某企业内网渗透测试中，攻击者仅用一台树莓派和Ettercap工具就成功截获了30%员工的SSH登录凭证——因为这些员工都跳过了证书警告。

风险2：服务器被劫持

如果运维更换了服务器密钥但未通知团队，可能有两种可能：

- 正常情况：公司主动升级了密钥体系。

- 异常情况：服务器已被入侵，黑客替换了密钥。

风险3：合规性失效

ISO27001、等保2.0等标准明确要求严格验证数字证书。审计发现此类问题会直接扣分。

三、Putty SSL证书最佳实践（含截图级教程）

?? 正确操作流程

1. 首次连接必验证


联系管理员获取官方公布的指纹（通常在公司Wiki或CMDB系统中）。

2. 定期检查已保存的证书

打开Putty → 左侧选择Session → 点击"Saved Sessions"中的配置 → 右侧选择Connection → SSH → Host Keys

这里能看到所有已信任的证书列表。

3. 密钥变更时的处理

如果某天突然弹出新的警告：

- 立即断开连接

- 通过其他可信渠道（如企业微信/电话）确认变更合法性

?? 高级安全配置

在Putty的Session配置中启用这些选项：

- `Connection > SSH > Kex` ：优先选`ecdh-sha2-nistp521`

- `Connection > SSH > Auth` ：勾选"Attempt authentication using Pageant"

四、运维人员必看：如何管理服务器端证书

作为管理员，你应该：

1. 生成更安全的密钥对

```bash

ED25519比默认RSA更安全

ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

```

2. 公开指纹信息

将服务器指纹通过企业内网公示：

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub

3. 设置密钥轮换策略

每12个月更换一次主机密钥，并通过邮件/公告通知全团队。

五、终极自查清单

? Putty是否最新版？（旧版可能存在CVE漏洞）

? 是否所有团队成员都知道要验证指纹？

? 公司是否有统一的密钥管理文档？

记住：网络安全的核心不是技术而是习惯。下次看到Putty弹窗时，多花30秒验证可能就避免了一次数据泄露！

TAG:putty ssl证书,putty security alert,putty ssh,putty ssh key,putty配置ssh