1. 问题概述

在Windows系统中开启SFTP服务后，客户端连接时提示“无法验证服务器身份”，这是常见的SSH连接问题。这一现象通常由以下原因导致：

• 服务器的SSH密钥未被客户端信任或缓存。
• 首次连接时，SFTP服务器向客户端发送公钥以建立信任关系，但客户端未确认保存。
• 服务器密钥发生变更（如重新安装SSH服务或更换密钥对）。
• 使用非标准端口或配置自定义证书，导致客户端无法匹配已知主机列表中的记录。

关键词

SFTP、SSH密钥、known_hosts、CA证书、身份验证、Windows系统

2. 技术分析

为深入理解此问题，我们需要从技术角度进行分析：

1. SSH协议基础: SSH协议通过公钥和私钥实现安全通信。当客户端首次连接到服务器时，服务器会发送其公钥，客户端需要确认并保存该公钥到本地的“known_hosts”文件。
2. 密钥变更的影响: 如果服务器的SSH密钥发生变化，例如重新安装SSH服务或更换密钥对，客户端将无法匹配已知主机列表中的记录，从而触发警告。
3. 非标准端口与自定义证书: 使用非标准端口或配置自定义证书可能进一步复杂化匹配过程，增加身份验证失败的可能性。

3. 解决方案

以下是针对上述问题的解决方案：

4. 实施步骤

以下是具体实施步骤：

# 步骤1：获取服务器公钥
ssh-keyscan -p [端口号] [服务器IP] >> ~/.ssh/known_hosts

# 步骤2：检查服务器密钥一致性
ssh [用户名]@[服务器IP] -p [端口号]

# 步骤3：配置SSH服务使用CA证书
# 在服务器上生成CA证书并分发给客户端
ssh-keygen -f ca_key -N "" -t rsa

5. 流程图

以下是解决流程的Mermaid格式图示：

```mermaid
flowchart TD
    A[客户端连接服务器] --> B{是否首次连接？}
    B --是--> C[保存服务器公钥到known_hosts]
    B --否--> D{密钥是否一致？}
    D --否--> E[更新known_hosts或使用CA证书]
    D --是--> F[成功建立连接]
```