Convertir pem clé ssh-rsa format

J'ai un certificat en der format, avec cette commande j'générer une clé publique:

openssl x509 -inform der -in ejbcacert.cer -noout -pubkey > pub1key.pub

Qui résultats dans ce:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7vbqajDw4o6gJy8UtmIbkcpnk
O3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2
eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1
QWPdspTBKcxeFbccDwIDAQAB
-----END PUBLIC KEY-----

Comment puis-je obtenir une clé publique de ce genre? Soit d'un certificat ou d'
à partir de cette clé publique?

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC7vbqajDw4o6gJy8UtmIbkcpnkO3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1QWPdspTBKcxeFbccDw==

Cela a été obtenu avec cette commande:

ssh-keygen -y -f private_key1.pem > public_key1.pub
  • Le chemin que vous avez posté dans le "Cela a été obtenu avec cette commande" a fonctionné pour moi, mieux que toutes les réponses ci-dessous.
  • Idem @YoavShapira. Une étape supplémentaire, s'il provient d'une openssl PKCS12 clé privée: "openssl pkcs12-in private_key1.p12 -out private_key1.pem"
  • Oui, mais toute la question est qu'il veut convertir en utilisant uniquement la clé publique. Peut-être qu'il n'a pas la clé privée et il n'a que la clé publique et veut convertir de format PEM à ssh-rsa format.
  • Étant donné un .pem d'AWS, la commande vous donner ci-dessus ssh-keygen -y -f private_key1.pem > public_key1.pub a très bien fonctionné pour moi.
  • Toutes les mauvaises réponses. C'est le bon: ssh-keygen -i -m PKCS8 -f public-key.pem
InformationsquelleAutor Adrya | 2009-06-18
  1. 116

    Pas besoin de compiler des trucs. Vous pouvez faire de même avec ssh-keygen:

    ssh-keygen -f pub1key.pub -i

    va lire la clé publique dans openssl format de pub1key.pub et sortie au format OpenSSH.

    Note: Dans certains cas, vous aurez besoin de spécifier le format d'entrée:

    ssh-keygen -f pub1key.pub -i -mPKCS8

    De la ssh-keygen docs (De man ssh-keygen):

    -m key_format Spécifier un format de clé pour l'-i (importation) ou -e (exporter) les options de conversion. Pris en charge les principaux formats sont: “RFC4716” (RFC 4716/SSH2 de clés publique ou privée), “PKCS8” (PEM PKCS8 clé publique) ou “PEM” (PEM clé publique). La valeur par défaut de conversion de format est “RFC4716”.

    • ssh-keygen: illegal option -- m
    • ne fonctionne pas pour moi.
    • si -m n'est pas pris en charge, fonctionne très bien sans elle.
    • La question va dans l'autre sens.
    • Pour le futur du web-chercheurs, si cela ne fonctionne pas pour vous, les commentaires dans la question d'origine a travaillé pour moi.
    • Dans mon cas, le -m PKCS8 était nécessaire
    • Je reçois uudecode failed. Lors de l'exécution de cette
    • $ ssh-keygen -f mykey.pub -i key_from_blob: invalid format decode blob failed.
    • J'ai rajouté le plus spécifique, plus le format de la réponse, car il a été requis par moi-même et quelques autres. Semble qui fonctionne dépend de la version de ssh-keygen vous utilisez et/ ou de format d'entrée.
    • Vous avez sauvé ma vie, merci BEAUCOUP. Votre réponse DOIT être signalée en tant que correct !

    InformationsquelleAutor Victor Mataré
  2. 44

    Pas besoin de scripts ou d'autres "trucs": openssl et ssh-keygen sont assez. Je suis en supposant qu'aucun mot de passe pour les clés (ce qui est mauvais).

    Générer un RSA paire

    Toutes les méthodes suivantes de donner une paire de clés RSA dans le même format

    1. Avec openssl (l'homme genrsa)

      openssl genrsa -out dummy-genrsa.pem 2048

      Dans OpenSSL v1.0.1 genrsa est remplacée par genpkey donc, c'est la nouvelle façon de faire (l'homme genpkey):

      openssl genpkey -algorithm RSA -out dummy-genpkey.pem -pkeyopt rsa_keygen_bits:2048

    2. Avec ssh-keygen

      ssh-keygen -t rsa -b 2048 -f dummy-ssh-keygen.pem -N '' -C "Test Key"

    Conversion DER à PEM

    Si vous avez une paire de clés RSA au format DER, vous pouvez le convertir en format PEM pour permettre la conversion de format ci-dessous:

    Génération:

    openssl genpkey -algorithm RSA -out genpkey-dummy.cer -outform DER -pkeyopt rsa_keygen_bits:2048

    De Conversion:

    openssl rsa -inform DER -outform PEM -in genpkey-dummy.cer -out dummy-der2pem.pem

    Extraire la clé publique à partir du format PEM RSA paire

    1. au format PEM:

      openssl rsa -in dummy-xxx.pem -pubout

    2. dans OpenSSH v2 format voir:

      ssh-keygen -y -f dummy-xxx.pem

    Notes

    OS et la version du logiciel:

    [user@test1 ~]# cat /etc/redhat-release ; uname -a ; openssl version
CentOS release 6.5 (Final)
Linux test1.example.local 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
OpenSSL 1.0.1e-fips 11 Feb 2013

    Références:

    • // , Est-ce réellement générer une clé dans la ssh-rsa format? Bonne référence, btw.
    • oui (voir "Extrait de la clé publique du format PEM RSA paire", point 2): une fois qu'on a le certificat au format pem: ssh-keygen -y -f dummy-xxx.pem produit un ssh-rsa AAAA[...]== ajustement pour le ssh est authorized_keys fichier.
    • Bon instructif morceau... mais je ne pense pas que cela répond vraiment à la question que ci-dessus, beaucoup plus courte pièce.
    InformationsquelleAutor Thomas
  3. 23

    Pour répondre à ma propre question, après la publication sur openssl liste de diffusion obtenu ceci:

    Voici le code en C pour convertir à partir d'un OpenSSL clé publique à une OpenSSH clé publique.
    Vous pouvez saisir le code de ce lien et le compiler vous-même:

    static unsigned char pSshHeader[11] = { 0x00, 0x00, 0x00, 0x07, 0x73, 0x73, 0x68, 0x2D, 0x72, 0x73, 0x61};

static int SshEncodeBuffer(unsigned char *pEncoding, int bufferLen, unsigned char* pBuffer)
{
   int adjustedLen = bufferLen, index;
   if (*pBuffer & 0x80)
   {
      adjustedLen++;
      pEncoding[4] = 0;
      index = 5;
   }
   else
   {
      index = 4;
   }
   pEncoding[0] = (unsigned char) (adjustedLen >> 24);
   pEncoding[1] = (unsigned char) (adjustedLen >> 16);
   pEncoding[2] = (unsigned char) (adjustedLen >>  8);
   pEncoding[3] = (unsigned char) (adjustedLen      );
   memcpy(&pEncoding[index], pBuffer, bufferLen);
   return index + bufferLen;
}

int main(int argc, char**  argv)
{
   int iRet = 0;
   int nLen = 0, eLen = 0;
   int encodingLength = 0;
   int index = 0;
   unsigned char *nBytes = NULL, *eBytes = NULL;
   unsigned char* pEncoding = NULL;
   FILE* pFile = NULL;
   EVP_PKEY *pPubKey = NULL;
   RSA* pRsa = NULL;
   BIO *bio, *b64;

   ERR_load_crypto_strings(); 
   OpenSSL_add_all_algorithms();

   if (argc != 3)
   {
      printf("usage: %s public_key_file_name ssh_key_description\n", argv[0]);
      iRet = 1;
      goto error;
   }

   pFile = fopen(argv[1], "rt");
   if (!pFile)
   {
      printf("Failed to open the given file\n");
      iRet = 2;
      goto error;
   }

   pPubKey = PEM_read_PUBKEY(pFile, NULL, NULL, NULL);
   if (!pPubKey)
   {
      printf("Unable to decode public key from the given file: %s\n", ERR_error_string(ERR_get_error(), NULL));
      iRet = 3;
      goto error;
   }

   if (EVP_PKEY_type(pPubKey->type) != EVP_PKEY_RSA)
   {
      printf("Only RSA public keys are currently supported\n");
      iRet = 4;
      goto error;
   }

   pRsa = EVP_PKEY_get1_RSA(pPubKey);
   if (!pRsa)
   {
      printf("Failed to get RSA public key : %s\n", ERR_error_string(ERR_get_error(), NULL));
      iRet = 5;
      goto error;
   }

   //reading the modulus
   nLen = BN_num_bytes(pRsa->n);
   nBytes = (unsigned char*) malloc(nLen);
   BN_bn2bin(pRsa->n, nBytes);

   //reading the public exponent
   eLen = BN_num_bytes(pRsa->e);
   eBytes = (unsigned char*) malloc(eLen);
   BN_bn2bin(pRsa->e, eBytes);

   encodingLength = 11 + 4 + eLen + 4 + nLen;
   //correct depending on the MSB of e and N
   if (eBytes[0] & 0x80)
      encodingLength++;
   if (nBytes[0] & 0x80)
      encodingLength++;

   pEncoding = (unsigned char*) malloc(encodingLength);
   memcpy(pEncoding, pSshHeader, 11);

   index = SshEncodeBuffer(&pEncoding[11], eLen, eBytes);
   index = SshEncodeBuffer(&pEncoding[11 + index], nLen, nBytes);

   b64 = BIO_new(BIO_f_base64());
   BIO_set_flags(b64, BIO_FLAGS_BASE64_NO_NL);
   bio = BIO_new_fp(stdout, BIO_NOCLOSE);
   BIO_printf(bio, "ssh-rsa ");
   bio = BIO_push(b64, bio);
   BIO_write(bio, pEncoding, encodingLength);
   BIO_flush(bio);
   bio = BIO_pop(b64);
   BIO_printf(bio, " %s\n", argv[2]);
   BIO_flush(bio);
   BIO_free_all(bio);
   BIO_free(b64);

error:
   if (pFile)
      fclose(pFile);
   if (pRsa)
      RSA_free(pRsa);
   if (pPubKey)
      EVP_PKEY_free(pPubKey);
   if (nBytes)
      free(nBytes);
   if (eBytes)
      free(eBytes);
   if (pEncoding)
      free(pEncoding);

   EVP_cleanup();
   ERR_free_strings();
   return iRet;
}
    • Dans le cas où quelqu'un se demande comment le compiler (j'ai été), voici le compilateur appel: gcc-o pubkey2ssh pubkey2ssh.c -lcrypto
    • où ne s'argv[2] (ssh_key_description) à partir de... j'ai juste un -----BEGIN RSA à CLÉ PUBLIQUE----- MIGJAoGBAMC62xWiOZYlhUhmk+JESy5eZunwGoG9kSHUMn67iBNZLEsR2qn44j1b TOtZRuEsSAKxu7alFlJVu5aSGbUvin3Dusyasl5szjtf9vzgjhsvycortchc1tui WMAWfv2BLTmK4zBEC33riEBLeX8Trphp3ybimtzqv81zrzhzbsnragmbaae= -----END RSA à CLÉ PUBLIQUE----- il n'a pas de description
    • C'est habituellement l'adresse électronique de la clé du propriétaire. Mais vous pouvez mettre ce que vous voulez, il int description.
    • Une implémentation php opensshtopem ici github.com/131/yks/blob/master/class/stds/crypt.php#L346
    • La réponse de @mkalkov ci-dessous ne la conversion à l'aide de Linux outils de ligne de commande. Il a juste besoin de la clé publique fichier pem avec les en-têtes supprimée et les lignes fusionnées en entrée.
    InformationsquelleAutor Adrya
  4. 11

    Toutes les mauvaises réponses. C'est le bon:

    ssh-keygen -i -m PKCS8 -f public-key.pem

    • MERCI!!!! Cela a très bien fonctionné
    • Ne fonctionne pas pour moi: "do_convert_from_pkcs8: key.pem n'est pas reconnu de la clé publique au format". Ce n'travail a été "ssh-keygen -y-f-clés.pem" qui imprime le ssh-rsa texte nécessaires pour authorized_keys.
    • Ce n'est pas de travail do_convert_from_pkcs8: TEST.pem is not a recognised public key format
    InformationsquelleAutor Boeboe
  5. 7
    ssh-keygen -f private.pem -y > public.pub
    InformationsquelleAutor zkilnbqi
  6. 6

    Je l'ai fait avec

    ssh-keygen -i-f $sshkeysfile >> authorized_keys

    Crédit va ici

    • Pourquoi n'avez-vous pas donner de crédit à Victor ci-dessus? Il vous a donné la même commande presque 8 mois plus tôt.
    • À partir de l'édition du journal de Victor répondre, vous pouvez voir qu'à l'origine, la réponse était un peu différent, je suppose que c'est la raison
    InformationsquelleAutor periklis
  7. 2

    Le script suivant serait d'obtenir la ci.jenkins-ci.org certificat de clé publique en base64 DER format et la convertir en un OpenSSH fichier de clé publique. Ce code suppose que de 2048 bits RSA clé est utilisée et attire beaucoup de ce Ian Boyd réponse. J'ai expliqué un peu plus la façon dont il fonctionne dans les commentaires de cet article dans Jenkins wiki.

    echo -n "ssh-rsa " > jenkins.pub
curl -sfI https://ci.jenkins-ci.org/| grep X-Instance-Identity | tr -d \\r | cut -d\  -f2 | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ /| xxd -p -r | base64 -w0 >> jenkins.pub
echo >> jenkins.pub
    • OMG c'est la meilleure réponse! Et ça marche!!! (Je n'avais qu'à changer de statut=aucun statut=noxfer). Suffit d'utiliser le deuxième commande commençant par "base64" et lui donner un fichier PEM sur l'entrée avec les en-têtes sont supprimés et toutes les lignes concaténés en un seul. Merci @mkalkov!
    • Remarque les commandes ci-dessus supposent 2048-bits de la clé et ne fonctionnera pas correctement si une clé de taille différente.
    InformationsquelleAutor mkalkov
  8. 1

    FWIW, ce script BASH va prendre un PEM ou DER-format X. 509 ou certificat OpenSSL fichier de clé publique (aussi format PEM) comme premier argument et remettre un OpenSSH clé publique RSA. Cela élargit @mkalkov la réponse ci-dessus. Les exigences sont cat, grep, tr, dd, xxd, sed, xargs, file, uuidgen, base64, openssl (1.0+), et bien sûr bash. Tous, sauf openssl (contient base64) sont à peu près garanti à la partie de l'installation de base sur tout système Linux, sauf peut-être xxd (qui Fedora montre dans le vim-common package). Si quelqu'un veut le nettoyer et de le rendre plus agréable, caveat lector.

    #!/bin/bash
#
# Extract a valid SSH format public key from an X509 public certificate.
#

# Variables:
pubFile=$1
fileType="no"
pkEightTypeFile="$pubFile"
tmpFile="/tmp/`uuidgen`-pkEightTypeFile.pk8"

# See if a file was passed:
[ ! -f "$pubFile" ] && echo "Error, bad or no input file $pubFile." && exit 1

# If it is a PEM format X.509 public cert, set $fileType appropriately:
pemCertType="X$(file $pubFile | grep 'PEM certificate')"
[ "$pemCertType" != "X" ] && fileType="PEM"

# If it is an OpenSSL PEM-format PKCS#8-style public key, set $fileType appropriately:
pkEightType="X$(grep -e '-BEGIN PUBLIC KEY-' $pubFile)"
[ "$pkEightType" != "X" ] && fileType="PKCS"

# If this is a file we can't recognise, try to decode a (binary) DER-format X.509 cert:
if [ "$fileType" = "no" ]; then
        openssl x509 -in $pubFile -inform DER -noout
        derResult=$(echo $?)
        [ "$derResult" = "0" ] && fileType="DER"
fi

# Exit if not detected as a file we can use:
[ "$fileType" = "no" ] && echo "Error, input file not of type X.509 public certificate or OpenSSL PKCS#8-style public key (not encrypted)." && exit 1

# Convert the X.509 public cert to an OpenSSL PEM-format PKCS#8-style public key:
if [ "$fileType" = "PEM" -o "$fileType" = "DER" ]; then
        openssl x509 -in $pubFile -inform $fileType -noout -pubkey > $tmpFile
        pkEightTypeFile="$tmpFile"
fi

# Build the string:
# Front matter:
frontString="$(echo -en 'ssh-rsa ')"

# Encoded modulus and exponent, with appropriate pointers:
encodedModulus="$(cat $pkEightTypeFile | grep -v -e "----" | tr -d '\n' | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ /| xxd -p -r | base64 -w0 )"

# Add a comment string based on the filename, just to be nice:
commentString=" $(echo $pubFile | xargs basename | sed -e 's/\.crt\|\.cer\|\.pem\|\.pk8\|\.der//')"

# Give the user a string:
echo $frontString $encodedModulus $commentString

# cleanup:
rm -f $tmpFile
    InformationsquelleAutor db_
  9. 0

    Suffit d'utiliser:

    ssh-keygen -y -f private_key1.pem > public_key1.pub

    Script est ici.

    InformationsquelleAutor nicks91