将pem密钥转换为ssh-rsa格式

我有一个der格式的证书,从这个命令我产生一个公钥: 

 openssl x509 -inform der -in ejbcacert.cer -noout -pubkey > pub1key.pub

结果如下: 

 -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7vbqajDw4o6gJy8UtmIbkcpnk O3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2 eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1 QWPdspTBKcxeFbccDwIDAQAB -----END PUBLIC KEY-----

我怎样才能获得这样的公钥? 从证书或从这个公钥? 

 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC7vbqajDw4o6gJy8UtmIbkcpnkO3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1QWPdspTBKcxeFbccDw==

这是通过这个命令获得的: 

 ssh-keygen -y -f private_key1.pem > public_key1.pub

不需要编译的东西。 你可以用ssh-keygen做同样的事情: 

 ssh-keygen -f pub1key.pub -i

将从pub1key.pub以openssl格式读取公钥,并以OpenSSH格式输出。

注意 :在某些情况下,您需要指定input格式: 

 ssh-keygen -f pub1key.pub -i -mPKCS8

从ssh-keygen文档(从man ssh-keygen):

-m key_format指定-i(导入)或-e(导出)转换选项的密钥格式。 支持的密钥格式是:“RFC4716”(RFC 4716 / SSH2公钥或私钥),“PKCS8”(PEM PKCS8公钥)或“PEM”(PEM公钥)。 默认的转换格式是“RFC4716”。

不需要脚本或其他“技巧”: opensslssh-keygen就足够了。 我假设没有密码的密钥(这是不好的)。

生成一个RSA对

以下所有方法都以相同的格式提供RSA密钥对

  1. 随着openssl( 人genrsa ) 

     openssl genrsa -out dummy-genrsa.pem 2048

    在OpenSSL v1.0.1中genrsagenpkey 所取代 ,所以这是新的方法( man genpkey ): 

     openssl genpkey -algorithm RSA -out dummy-genpkey.pem -pkeyopt rsa_keygen_bits:2048

  2. 用ssh-keygen 

     ssh-keygen -t rsa -b 2048 -f dummy-ssh-keygen.pem -N '' -C "Test Key"

将DER转换成PEM

如果您有DER格式的RSA密钥对,则可能需要将其转换为PEM以允许格式转换如下:

代: 

 openssl genpkey -algorithm RSA -out genpkey-dummy.cer -outform DER -pkeyopt rsa_keygen_bits:2048

转换: 

 openssl rsa -inform DER -outform PEM -in genpkey-dummy.cer -out dummy-der2pem.pem

从PEM格式的RSA对中提取公钥

  1. 以PEM格式: 

     openssl rsa -in dummy-xxx.pem -pubout

  2. 在OpenSSH v2格式中, 请参阅 : 

     ssh-keygen -y -f dummy-xxx.pem

笔记

操作系统和软件版本: 

 [user@test1 ~]# cat /etc/redhat-release ; uname -a ; openssl version CentOS release 6.5 (Final) Linux test1.example.local 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux OpenSSL 1.0.1e-fips 11 Feb 2013

参考文献:

  • Sysmic.org在GnuPG,OpenSsh和OpenSSL之间转换键

为了回答我自己的问题,在openssl邮件列表上张贴了这个:

这里是C代码从一个OpenSSL公钥转换为一个OpenSSH公钥。 你可以从这个链接获取代码并自己编译它: 

 static unsigned char pSshHeader[11] = { 0x00, 0x00, 0x00, 0x07, 0x73, 0x73, 0x68, 0x2D, 0x72, 0x73, 0x61}; static int SshEncodeBuffer(unsigned char *pEncoding, int bufferLen, unsigned char* pBuffer) { int adjustedLen = bufferLen, index; if (*pBuffer & 0x80) { adjustedLen++; pEncoding[4] = 0; index = 5; } else { index = 4; } pEncoding[0] = (unsigned char) (adjustedLen >> 24); pEncoding[1] = (unsigned char) (adjustedLen >> 16); pEncoding[2] = (unsigned char) (adjustedLen >> 8); pEncoding[3] = (unsigned char) (adjustedLen ); memcpy(&pEncoding[index], pBuffer, bufferLen); return index + bufferLen; } int main(int argc, char** argv) { int iRet = 0; int nLen = 0, eLen = 0; int encodingLength = 0; int index = 0; unsigned char *nBytes = NULL, *eBytes = NULL; unsigned char* pEncoding = NULL; FILE* pFile = NULL; EVP_PKEY *pPubKey = NULL; RSA* pRsa = NULL; BIO *bio, *b64; ERR_load_crypto_strings(); OpenSSL_add_all_algorithms(); if (argc != 3) { printf("usage: %s public_key_file_name ssh_key_description\n", argv[0]); iRet = 1; goto error; } pFile = fopen(argv[1], "rt"); if (!pFile) { printf("Failed to open the given file\n"); iRet = 2; goto error; } pPubKey = PEM_read_PUBKEY(pFile, NULL, NULL, NULL); if (!pPubKey) { printf("Unable to decode public key from the given file: %s\n", ERR_error_string(ERR_get_error(), NULL)); iRet = 3; goto error; } if (EVP_PKEY_type(pPubKey->type) != EVP_PKEY_RSA) { printf("Only RSA public keys are currently supported\n"); iRet = 4; goto error; } pRsa = EVP_PKEY_get1_RSA(pPubKey); if (!pRsa) { printf("Failed to get RSA public key : %s\n", ERR_error_string(ERR_get_error(), NULL)); iRet = 5; goto error; } // reading the modulus nLen = BN_num_bytes(pRsa->n); nBytes = (unsigned char*) malloc(nLen); BN_bn2bin(pRsa->n, nBytes); // reading the public exponent eLen = BN_num_bytes(pRsa->e); eBytes = (unsigned char*) malloc(eLen); BN_bn2bin(pRsa->e, eBytes); encodingLength = 11 + 4 + eLen + 4 + nLen; // correct depending on the MSB of e and N if (eBytes[0] & 0x80) encodingLength++; if (nBytes[0] & 0x80) encodingLength++; pEncoding = (unsigned char*) malloc(encodingLength); memcpy(pEncoding, pSshHeader, 11); index = SshEncodeBuffer(&pEncoding[11], eLen, eBytes); index = SshEncodeBuffer(&pEncoding[11 + index], nLen, nBytes); b64 = BIO_new(BIO_f_base64()); BIO_set_flags(b64, BIO_FLAGS_BASE64_NO_NL); bio = BIO_new_fp(stdout, BIO_NOCLOSE); BIO_printf(bio, "ssh-rsa "); bio = BIO_push(b64, bio); BIO_write(bio, pEncoding, encodingLength); BIO_flush(bio); bio = BIO_pop(b64); BIO_printf(bio, " %s\n", argv[2]); BIO_flush(bio); BIO_free_all(bio); BIO_free(b64); error: if (pFile) fclose(pFile); if (pRsa) RSA_free(pRsa); if (pPubKey) EVP_PKEY_free(pPubKey); if (nBytes) free(nBytes); if (eBytes) free(eBytes); if (pEncoding) free(pEncoding); EVP_cleanup(); ERR_free_strings(); return iRet; }

我做了

ssh-keygen -i -f $ sshkeysfile >> authorized_keys

信贷在这里 

 ssh-keygen -f private.pem -y > public.pub

以下脚本将以base64编码的DER格式获取ci.jenkins-ci.org公钥证书并将其转换为OpenSSH公钥文件。 这段代码假定使用了一个2048位的RSA密钥,并且从Ian Boyd的回答中得到了很多。 我已经在Jenkins wiki中对这篇文章的评论作了更多的解释。 

 echo -n "ssh-rsa " > jenkins.pub curl -sfI https://ci.jenkins-ci.org/ | grep X-Instance-Identity | tr -d \\r | cut -d\ -f2 | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 >> jenkins.pub echo >> jenkins.pub
    Interesting Posts

    使用scp命令时出错“bash:scp:command not found”

    如何validation/检查/testing/validation我的SSH密码?

    在一个客户端上使用多个SSH私钥的最佳方法

    如何SSH密码到本地没有密码?

    什么是伪TTY分配? (SSH和Github)

    使用脚本自动inputSSH密码

    我用什么命令查看我的服务器的ECDSA密钥指纹是什么?

    如何删除SSH密钥的密码而不必创build新密钥?

    使用Git GUI或ssh-keygen的SSH私钥权限太开放了

    在Mac Terminal中使用PPK文件连接到通过SSH的远程连接