SSH 免密登录 Windows

安装并启动 OpenSSH 服务器

在开始之前请确保你的远程 Windows 已经安装了 OpenSSH 服务器。若没有安装，请在 设置 > 系统 > 可选功能 > 添加可选功能 中安装 OpenSSH 服务器。

安装完成后，在远程 Windows 终端（管理员）中输入以下命令启动 OpenSSH 服务器：

Start-Service sshd                       # 启动 sshd 服务
Set-Service -StartupType Automatic sshd  # 设置 sshd 服务自动启动

上传公钥

方法一

Windows 上的 OpenSSH 默认将管理员用户组的公钥存储到 C:\ProgramData\ssh\administors_authorized_keys。因此如果你登录的用户属于管理员组，那么将使用 C:\ProgramData\ssh\administors_authorized_keys 文件中的公钥（而不是 ~\.ssh\authorized_keys）来验证你的身份。

因此我们需要把公钥存储到 C:\ProgramData\ssh\administors_authorized_keys。如果你的本地主机是 Linux / macOS，运行下面这条命令：

scp ~/.ssh/id_rsa.pub USER@HOST:/ProgramData/ssh/administrators_authorized_keys

将 USER 和 HOST 分别改为你自己的用户名和主机名

如果你的本地主机是 Windows，运行下面这条命令：

# 获取公钥
$authorizedKey = Get-Content -Path $env:USERPROFILE\.ssh\id_rsa.pub

# 要在远程主机上运行的命令，将公钥内容拷贝到远程主机的 administrators_authorized_keys 文件
$remotePowershell = "powershell Add-Content -Force -Path $env:ProgramData\ssh\administrators_authorized_keys -Value '''$authorizedKey''';icacls.exe ""$env:ProgramData\ssh\administrators_authorized_keys"" /inheritance:r /grant ""Administrators:F"" /grant ""SYSTEM:F"""

# 连接远程主机并运行 $remotePowershell 中的命令
ssh username@domain1@contoso.com $remotePowershell

参考：OpenSSH for Windows 中基于密钥的身份验证 | Microsoft Learn

这里没有使用 ssh-copy-id，因为 ssh-copy-id 内部会执行一些 *nix shell 命令，因此只能用于 *nix 机器。

方法二

编辑 C:\ProgramData\ssh\sshd_config，在文件最底部，注释掉这两行配置：

#Match Group administrators
#       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

此时所有用户的公钥验证文件都设置成了 ~/.ssh/authorized_keys，此时再将公钥上传到远程 Windows 的 ~/.ssh/authorized_keys 文件中：

scp ~/.ssh/id_rsa.pub USER@HOST:.ssh/authorized_keys

另外，你需要确保 ~\.ssh\authorized_keys 文件的访问控制权限包括 Everyone 的读权限。如果没有 Everyone 的权限，你可以使用下面的命令添加 Everyone 的访问权限：

icacls $Env:USERPROFILE\.ssh\authorized_keys /inheritance:r /grant Everyone:F

或者你可以打开资源管理器，在 authorized_keys 文件上右键 属性 > 安全 > 编辑 > 添加 > 高级 > 立即查找 中选中 Everyone ，再一路确定。

参考：多台 WIN 10 之间的 SSH 免密登录 | 知乎

登录

ssh USER@HOST

在使用 SSH 登录 Windows 时，容易遇到一个巨坑就是不知道远程 Windows 的用户名。由于远程 Windows 可能设置了 Microsoft 帐户的原因，远程 Windows 的用户名可能不是用户主目录的名字。你需要使用下面的命令来查看用户名：

$Env:USERNAME

而密码则使用 Microsoft 帐户的密码。

更改默认 Shell（可选）

通过 SSH 连接到 Windows 时默认登录的 Shell 是 CMD，可以通过下面的命令将默认 Shell 改为 PowerShell：

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -PropertyType String -Force
# 可以使用 Remove-ItemProperty 删除这个属性

这种方法登录的是 PowerShell 5。如果将 Value 改为 PowerShell 7 的话在连接时会出错误提示：

Access is denied.
Connection to localhost closed.

参考：

• 适用于 Windows 的 OpenSSH 服务器配置 | Microsoft Learn
• 通过 SSH 进行 PowerShell 远程处理 - PowerShell | Microsoft Learn

Troubleshooting

无法登录：No auth methods could be used

有一次为了偷懒，没有上传公钥，想直接用密码登录 Windows。结果提示：

ssh: Connection to USER@HOST:22 exited: No auth methods could be used.

最后发现无法登录的原因是没有启用密码登录的选项。

解决方法：编辑 SSH 配置文件 C:\ProgramData\ssh\sshd_config，找到 PasswordAuthentication 项，将选项改为 yes：

PasswordAuthentication yes

然后重启 SSH 服务器。在终端（管理员）下运行：

Restart-Service sshd

然后再次尝试连接。用户名用 $Env:USERNAME 查看，密码是 Windows 帐户的密码。