Конвертировать ключ pem в формат ssh-rsa
У меня есть сертификат в der формат, из него с помощью этой команды я генерирую открытый ключ:
openssl x509 -inform der -in ejbcacert.cer -noout -pubkey > pub1key.pub
Что приводит к этому:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7vbqajDw4o6gJy8UtmIbkcpnk
O3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2
eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1
QWPdspTBKcxeFbccDwIDAQAB
-----END PUBLIC KEY-----
Как я могу получить такой открытый ключ? Или из сертификата или из этого открытого ключа?
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC7vbqajDw4o6gJy8UtmIbkcpnkO3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1QWPdspTBKcxeFbccDw==
Это было получено с помощью этой команды:
ssh-keygen -y -f private_key1.pem > public_key1.pub
13 ответов
Чтобы ответить на мой собственный вопрос, после публикации в списке рассылки openssl получилось следующее:
Вот код C для преобразования открытого ключа OpenSSL в открытый ключ OpenSSH. Вы можете получить код по этой ссылке и скомпилировать его самостоятельно:
static unsigned char pSshHeader[11] = { 0x00, 0x00, 0x00, 0x07, 0x73, 0x73, 0x68, 0x2D, 0x72, 0x73, 0x61};
static int SshEncodeBuffer(unsigned char *pEncoding, int bufferLen, unsigned char* pBuffer)
{
int adjustedLen = bufferLen, index;
if (*pBuffer & 0x80)
{
adjustedLen++;
pEncoding[4] = 0;
index = 5;
}
else
{
index = 4;
}
pEncoding[0] = (unsigned char) (adjustedLen >> 24);
pEncoding[1] = (unsigned char) (adjustedLen >> 16);
pEncoding[2] = (unsigned char) (adjustedLen >> 8);
pEncoding[3] = (unsigned char) (adjustedLen );
memcpy(&pEncoding[index], pBuffer, bufferLen);
return index + bufferLen;
}
int main(int argc, char** argv)
{
int iRet = 0;
int nLen = 0, eLen = 0;
int encodingLength = 0;
int index = 0;
unsigned char *nBytes = NULL, *eBytes = NULL;
unsigned char* pEncoding = NULL;
FILE* pFile = NULL;
EVP_PKEY *pPubKey = NULL;
RSA* pRsa = NULL;
BIO *bio, *b64;
ERR_load_crypto_strings();
OpenSSL_add_all_algorithms();
if (argc != 3)
{
printf("usage: %s public_key_file_name ssh_key_description\n", argv[0]);
iRet = 1;
goto error;
}
pFile = fopen(argv[1], "rt");
if (!pFile)
{
printf("Failed to open the given file\n");
iRet = 2;
goto error;
}
pPubKey = PEM_read_PUBKEY(pFile, NULL, NULL, NULL);
if (!pPubKey)
{
printf("Unable to decode public key from the given file: %s\n", ERR_error_string(ERR_get_error(), NULL));
iRet = 3;
goto error;
}
if (EVP_PKEY_type(pPubKey->type) != EVP_PKEY_RSA)
{
printf("Only RSA public keys are currently supported\n");
iRet = 4;
goto error;
}
pRsa = EVP_PKEY_get1_RSA(pPubKey);
if (!pRsa)
{
printf("Failed to get RSA public key : %s\n", ERR_error_string(ERR_get_error(), NULL));
iRet = 5;
goto error;
}
// reading the modulus
nLen = BN_num_bytes(pRsa->n);
nBytes = (unsigned char*) malloc(nLen);
BN_bn2bin(pRsa->n, nBytes);
// reading the public exponent
eLen = BN_num_bytes(pRsa->e);
eBytes = (unsigned char*) malloc(eLen);
BN_bn2bin(pRsa->e, eBytes);
encodingLength = 11 + 4 + eLen + 4 + nLen;
// correct depending on the MSB of e and N
if (eBytes[0] & 0x80)
encodingLength++;
if (nBytes[0] & 0x80)
encodingLength++;
pEncoding = (unsigned char*) malloc(encodingLength);
memcpy(pEncoding, pSshHeader, 11);
index = SshEncodeBuffer(&pEncoding[11], eLen, eBytes);
index = SshEncodeBuffer(&pEncoding[11 + index], nLen, nBytes);
b64 = BIO_new(BIO_f_base64());
BIO_set_flags(b64, BIO_FLAGS_BASE64_NO_NL);
bio = BIO_new_fp(stdout, BIO_NOCLOSE);
BIO_printf(bio, "ssh-rsa ");
bio = BIO_push(b64, bio);
BIO_write(bio, pEncoding, encodingLength);
BIO_flush(bio);
bio = BIO_pop(b64);
BIO_printf(bio, " %s\n", argv[2]);
BIO_flush(bio);
BIO_free_all(bio);
BIO_free(b64);
error:
if (pFile)
fclose(pFile);
if (pRsa)
RSA_free(pRsa);
if (pPubKey)
EVP_PKEY_free(pPubKey);
if (nBytes)
free(nBytes);
if (eBytes)
free(eBytes);
if (pEncoding)
free(pEncoding);
EVP_cleanup();
ERR_free_strings();
return iRet;
}
Нет необходимости компилировать вещи. Вы можете сделать то же самое с ssh-keygen:
ssh-keygen -f pub1key.pub -i
будет читать открытый ключ в формате openssl из pub1key.pub и вывести его в формате OpenSSH.
Примечание. В некоторых случаях вам нужно будет указать формат ввода:
ssh-keygen -f pub1key.pub -i -mPKCS8
Из документации ssh-keygen (Из man ssh-keygen):
-m key_format Укажите формат ключа для параметров конвертации -i (импорт) или -e (экспорт). Поддерживаются следующие форматы ключей: "RFC4716" (открытый или закрытый ключ RFC 4716/SSH2), "PKCS8" (открытый ключ PEM PKCS8) или "PEM" (открытый ключ PEM). Формат преобразования по умолчанию - "RFC4716".
Нет необходимости в скриптах или других "хитростях": openssl а также ssh-keygen достаточно. Я предполагаю, что нет пароля для ключей (что плохо).
Генерация пары RSA
Все следующие методы дают пару ключей RSA в том же формате
С openssl ( человек жанра)
openssl genrsa -out dummy-genrsa.pem 2048В OpenSSL v1.0.1
genrsaзаменяетсяgenpkeyтак что это новый способ сделать это ( man genpkey):openssl genpkey -algorithm RSA -out dummy-genpkey.pem -pkeyopt rsa_keygen_bits:2048С помощью ssh-keygen
ssh-keygen -t rsa -b 2048 -f dummy-ssh-keygen.pem -N '' -C "Test Key"
Преобразование DER в PEM
Если у вас есть пара ключей RSA в формате DER, вы можете преобразовать ее в PEM, чтобы разрешить преобразование формата ниже:
Генерация:
openssl genpkey -algorithm RSA -out genpkey-dummy.cer -outform DER -pkeyopt rsa_keygen_bits:2048
Конверсия:
openssl rsa -inform DER -outform PEM -in genpkey-dummy.cer -out dummy-der2pem.pem
Извлечь открытый ключ из пары RSA в формате PEM
в формате PEM:
openssl rsa -in dummy-xxx.pem -puboutв формате OpenSSH v2 см.:
ssh-keygen -y -f dummy-xxx.pem
Заметки
Версия ОС и программного обеспечения:
[user@test1 ~]# cat /etc/redhat-release ; uname -a ; openssl version
CentOS release 6.5 (Final)
Linux test1.example.local 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
OpenSSL 1.0.1e-fips 11 Feb 2013
Рекомендации:
Все неправильные ответы. Это правильный:
ssh-keygen -i -m PKCS8 -f public-key.pem
Следующий скрипт получит сертификат открытого ключа ci.jenkins-ci.org в формате DER в кодировке base64 и преобразует его в файл открытого ключа OpenSSH. В этом коде предполагается, что используется 2048-битный ключ RSA, и многое из этого ответа Иана Бойда. Я объяснил немного больше, как это работает в комментариях к этой статье в вики Jenkins.
echo -n "ssh-rsa " > jenkins.pub
curl -sfI https://ci.jenkins-ci.org/ | grep X-Instance-Identity | tr -d \\r | cut -d\ -f2 | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 >> jenkins.pub
echo >> jenkins.pub
Кстати, этот сценарий BASH примет в качестве первого аргумента сертификат X.509 в формате PEM или DER или файл открытого ключа OpenSSL (также в формате PEM) и откроет открытый ключ OpenSSH RSA. Это распространяется на ответ @mkalkov выше. Требования cat, grep, tr, dd, xxd, sed, xargs, file, uuidgen, base64, openssl (1.0+) и конечно bash, Все, кроме openssl (содержит base64) гарантированно будет частью базовой установки на любой современной системе Linux, кроме, может быть, xxd (который показывает Fedora в vim-common пакет). Если кто-то хочет очистить это и сделать это лучше, будьте осторожны, лектор.
#!/bin/bash
#
# Extract a valid SSH format public key from an X509 public certificate.
#
# Variables:
pubFile=$1
fileType="no"
pkEightTypeFile="$pubFile"
tmpFile="/tmp/`uuidgen`-pkEightTypeFile.pk8"
# See if a file was passed:
[ ! -f "$pubFile" ] && echo "Error, bad or no input file $pubFile." && exit 1
# If it is a PEM format X.509 public cert, set $fileType appropriately:
pemCertType="X$(file $pubFile | grep 'PEM certificate')"
[ "$pemCertType" != "X" ] && fileType="PEM"
# If it is an OpenSSL PEM-format PKCS#8-style public key, set $fileType appropriately:
pkEightType="X$(grep -e '-BEGIN PUBLIC KEY-' $pubFile)"
[ "$pkEightType" != "X" ] && fileType="PKCS"
# If this is a file we can't recognise, try to decode a (binary) DER-format X.509 cert:
if [ "$fileType" = "no" ]; then
openssl x509 -in $pubFile -inform DER -noout
derResult=$(echo $?)
[ "$derResult" = "0" ] && fileType="DER"
fi
# Exit if not detected as a file we can use:
[ "$fileType" = "no" ] && echo "Error, input file not of type X.509 public certificate or OpenSSL PKCS#8-style public key (not encrypted)." && exit 1
# Convert the X.509 public cert to an OpenSSL PEM-format PKCS#8-style public key:
if [ "$fileType" = "PEM" -o "$fileType" = "DER" ]; then
openssl x509 -in $pubFile -inform $fileType -noout -pubkey > $tmpFile
pkEightTypeFile="$tmpFile"
fi
# Build the string:
# Front matter:
frontString="$(echo -en 'ssh-rsa ')"
# Encoded modulus and exponent, with appropriate pointers:
encodedModulus="$(cat $pkEightTypeFile | grep -v -e "----" | tr -d '\n' | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 )"
# Add a comment string based on the filename, just to be nice:
commentString=" $(echo $pubFile | xargs basename | sed -e 's/\.crt\|\.cer\|\.pem\|\.pk8\|\.der//')"
# Give the user a string:
echo $frontString $encodedModulus $commentString
# cleanup:
rm -f $tmpFile
Это то, что сработало для меня, так как у меня был доступ только к открытому ключу:
- Преобразование открытого ключа PEM в открытый ключ, совместимый с PKCS8.
openssl x509 -pubkey -noout -in pubcertkey.pem > pubcertkey.pub
- Преобразование открытого ключа PKCS8 в ключ ssh-rsa
ssh-keygen -i -mPKCS8 -f pubcertkey.pub > pubcertkey-ssh-rsa.pub
Вы также можете использовать библиотеку phpseclib.
$keyObj = phpseclib3\Crypt\PublicKeyLoader::load($key, $passphrase)
$keyString = $keyObj->getPublicKey()->toString('OpenSSH');
$key может быть общедоступной или частной строкой. Если это файл, просто оберните егоfile_get_contents($key)
Имейте в виду, что даже текущие сборки Win32-OpenSSH, похоже, имеют ошибку, препятствующую этому преобразованию, как указано здесь на этой специальной странице проблемы GitHub .
Проблема может быть подтверждена таким поведением:
- Вывод команды пустой (но ошибки не печатаются):
- Ошибку можно найти в средстве просмотра событий Windows в журнале «Журналы/приложения Windows»:
Единственная альтернатива, похоже, не использует Win32-OpenSSH для этой конкретной задачи.
Протестировано для запроса открытого ключа Oracle Cloud Instance :
Генерация закрытого ключа (с парольной фразой):
openssl genrsa -des3 -out private.pem 4096
Извлечение открытого ключа:
openssl rsa -in private.pem -pubout -out public.pem
Преобразование открытого ключа в формат "ssh-rsa":
ssh-keygen -i -m PKCS8 -f public.pem > public.pub
Убедитесь, что разрешения для папки и ключей SSH следующие ( открытые ключи должны быть 644, закрытые ключи должны быть 400):
chmod 400 private.pem
chmod 644 public.pem
chmod 644 public.pub