Converter chave pem para o formato ssh-rsa

https://stackoverflow.com/questions/1011572

06-07-2019
|

Pergunta

Eu tenho um certificado em formato der, desde que com este comando eu gerar uma chave pública:

openssl x509 -inform der -in ejbcacert.cer -noout -pubkey > pub1key.pub

Que resultados no seguinte:

Como posso obter uma chave pública como este? Quer a partir de certificado ou a partir desta chave pública?

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC7vbqajDw4o6gJy8UtmIbkcpnkO3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1QWPdspTBKcxeFbccDw==

Este foi obtida com este comando:

ssh-keygen -y -f private_key1.pem > public_key1.pub

Solução 3

Para responder a minha própria pergunta, depois de postagem na lista de discussão openssl tenho esse:

Aqui está o código C para converter a partir de uma chave pública OpenSSL a uma chave pública OpenSSH. Você pode pegar o código de este link e compilá-lo:

static unsigned char pSshHeader[11] = { 0x00, 0x00, 0x00, 0x07, 0x73, 0x73, 0x68, 0x2D, 0x72, 0x73, 0x61};

static int SshEncodeBuffer(unsigned char *pEncoding, int bufferLen, unsigned char* pBuffer)
{
   int adjustedLen = bufferLen, index;
   if (*pBuffer & 0x80)
   {
      adjustedLen++;
      pEncoding[4] = 0;
      index = 5;
   }
   else
   {
      index = 4;
   }
   pEncoding[0] = (unsigned char) (adjustedLen >> 24);
   pEncoding[1] = (unsigned char) (adjustedLen >> 16);
   pEncoding[2] = (unsigned char) (adjustedLen >>  8);
   pEncoding[3] = (unsigned char) (adjustedLen      );
   memcpy(&pEncoding[index], pBuffer, bufferLen);
   return index + bufferLen;
}

int main(int argc, char**  argv)
{
   int iRet = 0;
   int nLen = 0, eLen = 0;
   int encodingLength = 0;
   int index = 0;
   unsigned char *nBytes = NULL, *eBytes = NULL;
   unsigned char* pEncoding = NULL;
   FILE* pFile = NULL;
   EVP_PKEY *pPubKey = NULL;
   RSA* pRsa = NULL;
   BIO *bio, *b64;

   ERR_load_crypto_strings(); 
   OpenSSL_add_all_algorithms();

   if (argc != 3)
   {
      printf("usage: %s public_key_file_name ssh_key_description\n", argv[0]);
      iRet = 1;
      goto error;
   }

   pFile = fopen(argv[1], "rt");
   if (!pFile)
   {
      printf("Failed to open the given file\n");
      iRet = 2;
      goto error;
   }

   pPubKey = PEM_read_PUBKEY(pFile, NULL, NULL, NULL);
   if (!pPubKey)
   {
      printf("Unable to decode public key from the given file: %s\n", ERR_error_string(ERR_get_error(), NULL));
      iRet = 3;
      goto error;
   }

   if (EVP_PKEY_type(pPubKey->type) != EVP_PKEY_RSA)
   {
      printf("Only RSA public keys are currently supported\n");
      iRet = 4;
      goto error;
   }

   pRsa = EVP_PKEY_get1_RSA(pPubKey);
   if (!pRsa)
   {
      printf("Failed to get RSA public key : %s\n", ERR_error_string(ERR_get_error(), NULL));
      iRet = 5;
      goto error;
   }

   // reading the modulus
   nLen = BN_num_bytes(pRsa->n);
   nBytes = (unsigned char*) malloc(nLen);
   BN_bn2bin(pRsa->n, nBytes);

   // reading the public exponent
   eLen = BN_num_bytes(pRsa->e);
   eBytes = (unsigned char*) malloc(eLen);
   BN_bn2bin(pRsa->e, eBytes);

   encodingLength = 11 + 4 + eLen + 4 + nLen;
   // correct depending on the MSB of e and N
   if (eBytes[0] & 0x80)
      encodingLength++;
   if (nBytes[0] & 0x80)
      encodingLength++;

   pEncoding = (unsigned char*) malloc(encodingLength);
   memcpy(pEncoding, pSshHeader, 11);

   index = SshEncodeBuffer(&pEncoding[11], eLen, eBytes);
   index = SshEncodeBuffer(&pEncoding[11 + index], nLen, nBytes);

   b64 = BIO_new(BIO_f_base64());
   BIO_set_flags(b64, BIO_FLAGS_BASE64_NO_NL);
   bio = BIO_new_fp(stdout, BIO_NOCLOSE);
   BIO_printf(bio, "ssh-rsa ");
   bio = BIO_push(b64, bio);
   BIO_write(bio, pEncoding, encodingLength);
   BIO_flush(bio);
   bio = BIO_pop(b64);
   BIO_printf(bio, " %s\n", argv[2]);
   BIO_flush(bio);
   BIO_free_all(bio);
   BIO_free(b64);

error:
   if (pFile)
      fclose(pFile);
   if (pRsa)
      RSA_free(pRsa);
   if (pPubKey)
      EVP_PKEY_free(pPubKey);
   if (nBytes)
      free(nBytes);
   if (eBytes)
      free(eBytes);
   if (pEncoding)
      free(pEncoding);

   EVP_cleanup();
   ERR_free_strings();
   return iRet;
}

Outras dicas

Não há necessidade de material de compilação. Você pode fazer o mesmo com ssh-keygen:

ssh-keygen -f pub1key.pub -i

lerá a chave pública em formato openssl de pub1key.pub e sua saída será no formato OpenSSH.

Nota : Em alguns casos, você precisará especificar o formato de entrada:

ssh-keygen -f pub1key.pub -i -mPKCS8

De docs keygen-ssh (De man ssh-keygen):

-m key_format Especifique um formato de chave para o -i (importação) ou opções de conversão -e (exportação). Os principais formatos suportados são: “RFC4716” (RFC 4716 / public SSH2 ou chave privada), (chave pública PEM PKCS8) “PKCS8” ou “PEM” (chave PEM público). O formato de conversão padrão é “RFC4716”.

Não há necessidade de scripts ou outros 'truques': openssl e ssh-keygen são suficientes. Eu estou assumindo que não há senha para as chaves (que é ruim).

Gerar um par RSA

Todos os seguintes métodos dar um par de chaves RSA no mesmo formato

Com openssl ( homem genrsa )

openssl genrsa -out dummy-genrsa.pem 2048

Em OpenSSL v1.0.1 genrsa é substituída por genpkey por isso esta é a nova maneira de fazer isso ( homem genpkey ):

openssl genpkey -algorithm RSA -out dummy-genpkey.pem -pkeyopt rsa_keygen_bits:2048

Com ssh-keygen

ssh-keygen -t rsa -b 2048 -f dummy-ssh-keygen.pem -N '' -C "Test Key"

Convertendo DER para PEM

Se você tem um par de chaves RSA em formato DER, você pode querer convertê-lo para PEM para permitir a conversão de formato abaixo:

Geração:

openssl genpkey -algorithm RSA -out genpkey-dummy.cer -outform DER -pkeyopt rsa_keygen_bits:2048

conversão:

openssl rsa -inform DER -outform PEM -in genpkey-dummy.cer -out dummy-der2pem.pem

extrair a chave pública do PEM formatado RSA par

no formato PEM:

openssl rsa -in dummy-xxx.pem -pubout

em formato v2 OpenSSH ver :

ssh-keygen -y -f dummy-xxx.pem

Notas

versão do SO e software:

[user@test1 ~]# cat /etc/redhat-release ; uname -a ; openssl version CentOS release 6.5 (Final) Linux test1.example.local 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux OpenSSL 1.0.1e-fips 11 Feb 2013

Referências:

Sysmic.org Converter chaves betweens GnuPG, OpenSSH e OpenSSL

Todas as respostas erradas. Este é o correto:

ssh-keygen -i -m PKCS8 -f public-key.pem

ssh-keygen -f private.pem -y > public.pub

eu fiz com

ssh-keygen -i -f $ sshkeysfile >> authorized_keys

crédito vai aqui

O script a seguir iria obter o certificado de chave pública ci.jenkins-ci.org em formato DER codificado em Base64 e convertê-lo em um arquivo de chave pública OpenSSH. Este código assume que uma chave RSA de 2048 bits é usada e chama muito a partir deste Ian Boyd resposta . Eu expliquei um pouco mais como funciona nos comentários para este artigo em Jenkins wiki.

echo -n "ssh-rsa " > jenkins.pub curl -sfI https://ci.jenkins-ci.org/ | grep X-Instance-Identity | tr -d \\r | cut -d\ -f2 | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 >> jenkins.pub echo >> jenkins.pub

FWIW, este script BASH vai demorar um PEM ou DER-formato de certificado X.509 ou arquivo de chave pública OpenSSL (também formato PEM) como o primeiro argumento e vomitar uma chave pública OpenSSH RSA. Isto expande @ de mkalkov resposta acima. Os requisitos são cat, grep, tr, dd, xxd, sed, xargs, file, uuidgen, base64, openssl (1.0+), e, claro, bash. Todos, exceto openssl (contém base64) são praticamente garantido para fazer parte da base instalada em qualquer sistema Linux moderno, exceto talvez xxd (que Fedora shows no pacote vim-common). Se alguém quiser limpá-lo e torná-lo mais agradável, ressalva lector.

#!/bin/bash # # Extract a valid SSH format public key from an X509 public certificate. # # Variables: pubFile=$1 fileType="no" pkEightTypeFile="$pubFile" tmpFile="/tmp/`uuidgen`-pkEightTypeFile.pk8" # See if a file was passed: [ ! -f "$pubFile" ] && echo "Error, bad or no input file $pubFile." && exit 1 # If it is a PEM format X.509 public cert, set $fileType appropriately: pemCertType="X$(file $pubFile | grep 'PEM certificate')" [ "$pemCertType" != "X" ] && fileType="PEM" # If it is an OpenSSL PEM-format PKCS#8-style public key, set $fileType appropriately: pkEightType="X$(grep -e '-BEGIN PUBLIC KEY-' $pubFile)" [ "$pkEightType" != "X" ] && fileType="PKCS" # If this is a file we can't recognise, try to decode a (binary) DER-format X.509 cert: if [ "$fileType" = "no" ]; then openssl x509 -in $pubFile -inform DER -noout derResult=$(echo $?) [ "$derResult" = "0" ] && fileType="DER" fi # Exit if not detected as a file we can use: [ "$fileType" = "no" ] && echo "Error, input file not of type X.509 public certificate or OpenSSL PKCS#8-style public key (not encrypted)." && exit 1 # Convert the X.509 public cert to an OpenSSL PEM-format PKCS#8-style public key: if [ "$fileType" = "PEM" -o "$fileType" = "DER" ]; then openssl x509 -in $pubFile -inform $fileType -noout -pubkey > $tmpFile pkEightTypeFile="$tmpFile" fi # Build the string: # Front matter: frontString="$(echo -en 'ssh-rsa ')" # Encoded modulus and exponent, with appropriate pointers: encodedModulus="$(cat $pkEightTypeFile | grep -v -e "----" | tr -d '\n' | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 )" # Add a comment string based on the filename, just to be nice: commentString=" $(echo $pubFile | xargs basename | sed -e 's/\.crt\|\.cer\|\.pem\|\.pk8\|\.der//')" # Give the user a string: echo $frontString $encodedModulus $commentString # cleanup: rm -f $tmpFile

Apenas use:

ssh-keygen -y -f private_key1.pem > public_key1.pub

Script é aqui .

Licenciado em: CC-BY-SA com atribuição

Não afiliado a StackOverflow