PEMキーをssh-rsa形式に変換します

Question

der形式の証明書があり、このコマンドで公開鍵を生成します：

openssl x509 -inform der -in ejbcacert.cer -noout -pubkey > pub1key.pub

結果は次のとおりです。

このような公開鍵を取得するにはどうすればよいですか？証明書またはこの公開キーのどちらからですか？

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC7vbqajDw4o6gJy8UtmIbkcpnkO3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1QWPdspTBKcxeFbccDw==

これは、次のコマンドで取得されました。

ssh-keygen -y -f private_key1.pem > public_key1.pub

Adrya · Accepted Answer

私自身の質問に答えるために、opensslメーリングリストに投稿した後、これを得ました：

以下は、OpenSSL公開鍵からOpenSSH公開鍵に変換するCコードです。このリンクからコードを取得し、自分でコンパイルできます。

static unsigned char pSshHeader[11] = { 0x00, 0x00, 0x00, 0x07, 0x73, 0x73, 0x68, 0x2D, 0x72, 0x73, 0x61}; static int SshEncodeBuffer(unsigned char *pEncoding, int bufferLen, unsigned char* pBuffer) { int adjustedLen = bufferLen, index; if (*pBuffer & 0x80) { adjustedLen++; pEncoding[4] = 0; index = 5; } else { index = 4; } pEncoding[0] = (unsigned char) (adjustedLen >> 24); pEncoding[1] = (unsigned char) (adjustedLen >> 16); pEncoding[2] = (unsigned char) (adjustedLen >> 8); pEncoding[3] = (unsigned char) (adjustedLen ); memcpy(&pEncoding[index], pBuffer, bufferLen); return index + bufferLen; } int main(int argc, char** argv) { int iRet = 0; int nLen = 0, eLen = 0; int encodingLength = 0; int index = 0; unsigned char *nBytes = NULL, *eBytes = NULL; unsigned char* pEncoding = NULL; FILE* pFile = NULL; EVP_PKEY *pPubKey = NULL; RSA* pRsa = NULL; BIO *bio, *b64; ERR_load_crypto_strings(); OpenSSL_add_all_algorithms(); if (argc != 3) { printf("usage: %s public_key_file_name ssh_key_description
", argv[0]); iRet = 1; goto error; } pFile = fopen(argv[1], "rt"); if (!pFile) { printf("Failed to open the given file
"); iRet = 2; goto error; } pPubKey = PEM_read_PUBKEY(pFile, NULL, NULL, NULL); if (!pPubKey) { printf("Unable to decode public key from the given file: %s
", ERR_error_string(ERR_get_error(), NULL)); iRet = 3; goto error; } if (EVP_PKEY_type(pPubKey->type) != EVP_PKEY_RSA) { printf("Only RSA public keys are currently supported
"); iRet = 4; goto error; } pRsa = EVP_PKEY_get1_RSA(pPubKey); if (!pRsa) { printf("Failed to get RSA public key : %s
", ERR_error_string(ERR_get_error(), NULL)); iRet = 5; goto error; } // reading the modulus nLen = BN_num_bytes(pRsa->n); nBytes = (unsigned char*) malloc(nLen); BN_bn2bin(pRsa->n, nBytes); // reading the public exponent eLen = BN_num_bytes(pRsa->e); eBytes = (unsigned char*) malloc(eLen); BN_bn2bin(pRsa->e, eBytes); encodingLength = 11 + 4 + eLen + 4 + nLen; // correct depending on the MSB of e and N if (eBytes[0] & 0x80) encodingLength++; if (nBytes[0] & 0x80) encodingLength++; pEncoding = (unsigned char*) malloc(encodingLength); memcpy(pEncoding, pSshHeader, 11); index = SshEncodeBuffer(&pEncoding[11], eLen, eBytes); index = SshEncodeBuffer(&pEncoding[11 + index], nLen, nBytes); b64 = BIO_new(BIO_f_base64()); BIO_set_flags(b64, BIO_FLAGS_BASE64_NO_NL); bio = BIO_new_fp(stdout, BIO_NOCLOSE); BIO_printf(bio, "ssh-rsa "); bio = BIO_Push(b64, bio); BIO_write(bio, pEncoding, encodingLength); BIO_flush(bio); bio = BIO_pop(b64); BIO_printf(bio, " %s
", argv[2]); BIO_flush(bio); BIO_free_all(bio); BIO_free(b64); error: if (pFile) fclose(pFile); if (pRsa) RSA_free(pRsa); if (pPubKey) EVP_PKEY_free(pPubKey); if (nBytes) free(nBytes); if (eBytes) free(eBytes); if (pEncoding) free(pEncoding); EVP_cleanup(); ERR_free_strings(); return iRet; }

Victor Matar&#233; · Answer

コンパイルする必要はありません。 ssh-keygenでも同じことができます：

ssh-keygen -f pub1key.pub -i

pub1key.pubからopenssl形式の公開鍵を読み取り、OpenSSH形式で出力します。

注：場合によっては、入力形式を指定する必要があります。

ssh-keygen -f pub1key.pub -i -mPKCS8

Ssh-keygen docsから（man ssh-keygenから）：

-m key_format -i（インポート）または-e（エクスポート）変換オプションのキー形式を指定します。サポートされているキー形式は、「RFC4716」（RFC 4716/SSH2公開キーまたは秘密キー）、「PKCS8」（PEM PKCS8公開キー）、または「PEM」（PEM公開キー）です。デフォルトの変換形式は「RFC4716」です。

Thomas · Answer

スクリプトやその他の「トリック」は必要ありません：opensslとssh-keygenで十分です。キーのパスワードがないと仮定しています（これは悪いことです）。

RSAペアを生成する

以下のすべての方法は、同じ形式のRSAキーペアを提供します

Opensslを使用（ man genrsa ）
```
openssl genrsa -out dummy-genrsa.pem 2048 
```
OpenSSL v1.0.1ではgenrsa 代替 genpkeyであるため、これが新しい方法です（ man genpkey ）：
```
openssl genpkey -algorithm RSA -out dummy-genpkey.pem -pkeyopt rsa_keygen_bits:2048 
```

Ssh-keygenを使用

ssh-keygen -t rsa -b 2048 -f dummy-ssh-keygen.pem -N '' -C "Test Key"

DERからPEMへの変換

DER形式のRSAキーペアがある場合、以下の形式変換を可能にするためにPEMに変換することができます。

世代：

openssl genpkey -algorithm RSA -out genpkey-dummy.cer -outform DER -pkeyopt rsa_keygen_bits:2048

変換：

openssl rsa -inform DER -outform PEM -in genpkey-dummy.cer -out dummy-der2pem.pem

PEM形式のRSAペアから公開キーを抽出します

pEM形式で：
```
openssl rsa -in dummy-xxx.pem -pubout 
```
openSSH v2形式 see ：
```
ssh-keygen -y -f dummy-xxx.pem 
```

ノート

OSおよびソフトウェアバージョン：

[user@test1 ~]# cat /etc/redhat-release ; uname -a ; openssl version CentOS release 6.5 (Final) Linux test1.example.local 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux OpenSSL 1.0.1e-fips 11 Feb 2013

参照：

Sysmic.org GnuPG、OpenSsh、OpenSSLの間でキーを変換する

Boeboe · Answer

すべての間違った答え。これは正しいものです：

ssh-keygen -i -m PKCS8 -f public-key.pem

zkilnbqi · Answer

ssh-keygen -f private.pem -y > public.pub

periklis · Answer

とやった

ssh-keygen -i -f $ sshkeysfile >> authorized_keys

クレジットはここに行く

mkalkov · Answer

次のスクリプトは、base64でエンコードされたDER形式のci.jenkins-ci.org公開鍵証明書を取得し、OpenSSH公開鍵ファイルに変換します。このコードは、2048ビットのRSAキーが使用されていることを前提としており、このIan Boydの answer から多くを引き出します。 Jenkins wikiのこの記事へのコメントで、それがどのように機能するかをもう少し説明しました。

echo -n "ssh-rsa " > jenkins.pub curl -sfI https://ci.jenkins-ci.org/ | grep X-Instance-Identity | tr -d \r | cut -d\ -f2 | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 >> jenkins.pub echo >> jenkins.pub

db_ · Answer

FWIW、このBASHスクリプトは、PEMまたはDER形式のX.509証明書またはOpenSSL公開キーファイル（PEM形式）を最初の引数として受け取り、OpenSSH RSA公開キーを破棄します。これは、上記の@mkalkovの答えを拡張したものです。要件はcat、grep、tr、dd、xxd、sed、xargs、file、 uuidgen、base64、openssl（1.0+）、そしてもちろんbash。 openssl（base64を含む）を除くすべては、多分xxd（Fedoraがvim-commonパッケージ）。誰かがそれをきれいにし、それをより良くしたい場合は、注意事項を教えてください。

#!/bin/bash # # Extract a valid SSH format public key from an X509 public certificate. # # Variables: pubFile=$1 fileType="no" pkEightTypeFile="$pubFile" tmpFile="/tmp/`uuidgen`-pkEightTypeFile.pk8" # See if a file was passed: [ ! -f "$pubFile" ] && echo "Error, bad or no input file $pubFile." && exit 1 # If it is a PEM format X.509 public cert, set $fileType appropriately: pemCertType="X$(file $pubFile | grep 'PEM certificate')" [ "$pemCertType" != "X" ] && fileType="PEM" # If it is an OpenSSL PEM-format PKCS#8-style public key, set $fileType appropriately: pkEightType="X$(grep -e '-BEGIN PUBLIC KEY-' $pubFile)" [ "$pkEightType" != "X" ] && fileType="PKCS" # If this is a file we can't recognise, try to decode a (binary) DER-format X.509 cert: if [ "$fileType" = "no" ]; then openssl x509 -in $pubFile -inform DER -noout derResult=$(echo $?) [ "$derResult" = "0" ] && fileType="DER" fi # Exit if not detected as a file we can use: [ "$fileType" = "no" ] && echo "Error, input file not of type X.509 public certificate or OpenSSL PKCS#8-style public key (not encrypted)." && exit 1 # Convert the X.509 public cert to an OpenSSL PEM-format PKCS#8-style public key: if [ "$fileType" = "PEM" -o "$fileType" = "DER" ]; then openssl x509 -in $pubFile -inform $fileType -noout -pubkey > $tmpFile pkEightTypeFile="$tmpFile" fi # Build the string: # Front matter: frontString="$(echo -en 'ssh-rsa ')" # Encoded modulus and exponent, with appropriate pointers: encodedModulus="$(cat $pkEightTypeFile | grep -v -e "----" | tr -d '
' | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 )" # Add a comment string based on the filename, just to be Nice: commentString=" $(echo $pubFile | xargs basename | sed -e 's/\.crt\|\.cer\|\.pem\|\.pk8\|\.der//')" # Give the user a string: echo $frontString $encodedModulus $commentString # cleanup: rm -f $tmpFile

nicks91 · Answer

使用するだけ：

ssh-keygen -y -f private_key1.pem > public_key1.pub

スクリプトはここです。