142

der形式の証明書があります。このコマンドを使用して、公開鍵を生成します。

openssl x509 -inform der -in ejbcacert.cer -noout -pubkey > pub1key.pub

この結果は次のとおりです。

このような公開キーを取得するにはどうすればよいですか？証明書またはこの公開鍵のどちらからですか？

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC7vbqajDw4o6gJy8UtmIbkcpnkO3Kwc4qsEnSZp/TR+fQi62F79RHWmwKOtFmwteURgLbj7D/WGuNLGOfa/2vse3G2eHnHl5CB8ruRX9fBl/KgwCVr2JaEuUm66bBQeP5XeBotdR4cvX38uPYivCDdPjJ1QWPdspTBKcxeFbccDw==

これは、次のコマンドで取得されました。

ssh-keygen -y -f private_key1.pem > public_key1.pub

openssl openssh

— アドリヤ
ソース

14

「これはこのコマンドで取得されました」で投稿した方法は、以下のどの回答よりもうまく機能しました。

— Yoav Shapira

7

@YoavShipra。はい、しかし問題全体は、彼が公開鍵のみを使用して変換したいということです。たぶん彼は秘密鍵を持っていなくて、公開鍵しか持っておらず、PEM形式からssh-rsa形式に変換したいと思っています。

— deltamind106

10

AWSの.pemを考えると、上記で指定したコマンドssh-keygen -y -f private_key1.pem > public_key1.pubは私にとってはうまくいきました。

— Kzqai 2015

1

すべての間違った答え。これは正しい ssh-keygen -i -m PKCS8 -f public-key.pem

— 質問です。– Boeboe

3

美は見る人の目にあります。PEMキーは、公開キーまたは秘密キー、あるいはその両方をコンテナ化できることに注意する必要があります。暗号化されているかどうか。プラス様々なフォーマットで。/のオプションの意味-mも異なります。だから私の友達、あなたがあなたが何を望んでいて、あなたが何を持っているかを知っていることを確認してください。:-)-i-e

— ライナス

129

コンパイルする必要はありません。あなたは同じことをすることができますssh-keygen：

ssh-keygen -f pub1key.pub -i

は、公開鍵をopenssl形式で読み取り、pub1key.pubOpenSSH形式で出力します。

注：場合によっては、入力形式を指定する必要があります。

ssh-keygen -f pub1key.pub -i -mPKCS8

ssh-keygenのドキュメントから（man ssh-keygenから）：

-m key_format -i（インポート）または-e（エクスポート）変換オプションのキー形式を指定します。サポートされているキー形式は、「RFC4716」（RFC 4716 / SSH2公開鍵または秘密鍵）、「PKCS8」（PEM PKCS8公開鍵）、または「PEM」（PEM公開鍵）です。デフォルトの変換形式は「RFC4716」です。

— ビクターマタレ
ソース

3

ssh-keygen：不正なオプション-m

— mbonnin

1

質問は逆になります。

— 131

4

今後のウェブ検索者にとって、これがうまくいかない場合は、元の質問のコメントがうまくいきました。

— kristopolous

17

私の場合、それ-m PKCS8が必要でした

— Ian Hunter

1

$ ssh-keygen -f mykey.pub -i key_from_blob: invalid format decode blob failed.

— Bastian Voigt

53

スクリプトや他の「トリック」の必要性いいえ：opensslとssh-keygen十分です。鍵のパスワードはないと仮定しています（これは悪いことです）。

RSAペアを生成する

以下のすべてのメソッドは、RSAキーペアを同じ形式で提供します

opensslで（man genrsa）
```
openssl genrsa -out dummy-genrsa.pem 2048
```
OpenSSL v1.0.1の場合 genrsa に取って代わられたgenpkeyので、これは新しい方法です（man genpkey）：
```
openssl genpkey -algorithm RSA -out dummy-genpkey.pem -pkeyopt rsa_keygen_bits:2048
```

ssh-keygenを使用

ssh-keygen -t rsa -b 2048 -f dummy-ssh-keygen.pem -N '' -C "Test Key"

DERからPEMへの変換

DER形式のRSAキーペアがある場合、それをPEMに変換して、以下の形式変換を許可することができます。

世代：

openssl genpkey -algorithm RSA -out genpkey-dummy.cer -outform DER -pkeyopt rsa_keygen_bits:2048

変換：

openssl rsa -inform DER -outform PEM -in genpkey-dummy.cer -out dummy-der2pem.pem

PEM形式のRSAペアから公開鍵を抽出します

PEM形式：
```
openssl rsa -in dummy-xxx.pem -pubout
```
OpenSSHのv2の形式で参照してください。次を。
```
ssh-keygen -y -f dummy-xxx.pem
```

ノート

OSとソフトウェアのバージョン：

[user@test1 ~]# cat /etc/redhat-release ; uname -a ; openssl version
CentOS release 6.5 (Final)
Linux test1.example.local 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
OpenSSL 1.0.1e-fips 11 Feb 2013

参照：

Sysmic.org GnuPG、OpenSsh、OpenSSL間でキーを変換する

— トーマス
ソース

//、これは実際にssh-rsaフォーマットでキーを生成しますか？良い参照、ところで。

— Nathan Basanese 2016年

@NathanBasanese、はい（「PEM形式のRSAペアから公開鍵を抽出する」のポイント2を参照）：pem形式の証明書を取得ssh-keygen -y -f dummy-xxx.pemすると、ssh-rsa AAAA[...]==sshのauthorized_keysファイルに適合します。

— トーマス

良い参考になる部分...しかし、それは質問だけでなく、上記のはるかに短い部分に本当に答えるとは思いません。

— オーガコード

23

私自身の質問に答えるために、opensslメーリングリストに投稿した後、次のようになりました。

以下は、OpenSSL公開鍵からOpenSSH公開鍵に変換するCコードです。このリンクからコードを取得して、自分でコンパイルできます。

static unsigned char pSshHeader[11] = { 0x00, 0x00, 0x00, 0x07, 0x73, 0x73, 0x68, 0x2D, 0x72, 0x73, 0x61};

static int SshEncodeBuffer(unsigned char *pEncoding, int bufferLen, unsigned char* pBuffer)
{
   int adjustedLen = bufferLen, index;
   if (*pBuffer & 0x80)
   {
      adjustedLen++;
      pEncoding[4] = 0;
      index = 5;
   }
   else
   {
      index = 4;
   }
   pEncoding[0] = (unsigned char) (adjustedLen >> 24);
   pEncoding[1] = (unsigned char) (adjustedLen >> 16);
   pEncoding[2] = (unsigned char) (adjustedLen >>  8);
   pEncoding[3] = (unsigned char) (adjustedLen      );
   memcpy(&pEncoding[index], pBuffer, bufferLen);
   return index + bufferLen;
}

int main(int argc, char**  argv)
{
   int iRet = 0;
   int nLen = 0, eLen = 0;
   int encodingLength = 0;
   int index = 0;
   unsigned char *nBytes = NULL, *eBytes = NULL;
   unsigned char* pEncoding = NULL;
   FILE* pFile = NULL;
   EVP_PKEY *pPubKey = NULL;
   RSA* pRsa = NULL;
   BIO *bio, *b64;

   ERR_load_crypto_strings(); 
   OpenSSL_add_all_algorithms();

   if (argc != 3)
   {
      printf("usage: %s public_key_file_name ssh_key_description\n", argv[0]);
      iRet = 1;
      goto error;
   }

   pFile = fopen(argv[1], "rt");
   if (!pFile)
   {
      printf("Failed to open the given file\n");
      iRet = 2;
      goto error;
   }

   pPubKey = PEM_read_PUBKEY(pFile, NULL, NULL, NULL);
   if (!pPubKey)
   {
      printf("Unable to decode public key from the given file: %s\n", ERR_error_string(ERR_get_error(), NULL));
      iRet = 3;
      goto error;
   }

   if (EVP_PKEY_type(pPubKey->type) != EVP_PKEY_RSA)
   {
      printf("Only RSA public keys are currently supported\n");
      iRet = 4;
      goto error;
   }

   pRsa = EVP_PKEY_get1_RSA(pPubKey);
   if (!pRsa)
   {
      printf("Failed to get RSA public key : %s\n", ERR_error_string(ERR_get_error(), NULL));
      iRet = 5;
      goto error;
   }

   // reading the modulus
   nLen = BN_num_bytes(pRsa->n);
   nBytes = (unsigned char*) malloc(nLen);
   BN_bn2bin(pRsa->n, nBytes);

   // reading the public exponent
   eLen = BN_num_bytes(pRsa->e);
   eBytes = (unsigned char*) malloc(eLen);
   BN_bn2bin(pRsa->e, eBytes);

   encodingLength = 11 + 4 + eLen + 4 + nLen;
   // correct depending on the MSB of e and N
   if (eBytes[0] & 0x80)
      encodingLength++;
   if (nBytes[0] & 0x80)
      encodingLength++;

   pEncoding = (unsigned char*) malloc(encodingLength);
   memcpy(pEncoding, pSshHeader, 11);

   index = SshEncodeBuffer(&pEncoding[11], eLen, eBytes);
   index = SshEncodeBuffer(&pEncoding[11 + index], nLen, nBytes);

   b64 = BIO_new(BIO_f_base64());
   BIO_set_flags(b64, BIO_FLAGS_BASE64_NO_NL);
   bio = BIO_new_fp(stdout, BIO_NOCLOSE);
   BIO_printf(bio, "ssh-rsa ");
   bio = BIO_push(b64, bio);
   BIO_write(bio, pEncoding, encodingLength);
   BIO_flush(bio);
   bio = BIO_pop(b64);
   BIO_printf(bio, " %s\n", argv[2]);
   BIO_flush(bio);
   BIO_free_all(bio);
   BIO_free(b64);

error:
   if (pFile)
      fclose(pFile);
   if (pRsa)
      RSA_free(pRsa);
   if (pPubKey)
      EVP_PKEY_free(pPubKey);
   if (nBytes)
      free(nBytes);
   if (eBytes)
      free(eBytes);
   if (pEncoding)
      free(pEncoding);

   EVP_cleanup();
   ERR_free_strings();
   return iRet;
}

— アドリヤ
ソース

2

誰かがこれをコンパイルする方法を疑問に思っている場合（私はそうでした）は、コンパイラー呼び出しです：gcc -o pubkey2ssh pubkey2ssh.c -lcrypto

— Andreas Gohr

どこGET ARGVにない[2]から...私はちょうど----- BEGIN RSA公開鍵----- MIGJAoGBAMC62xWiOZYlhUhmk + JESy5eZunwGoG9kSHUMn67iBNZLEsR2qN44J1B TOtZRuEsSAKxu7alFlJVu5aSGbUvin3DusYAsl5sZjTf9VZgJHsVycOrtChC1tUi WMAWfv2BLTmK4zBEC33riEBLeX8Trphp3YbIMtzqV81ZrzHZbSnrAgMBAAE = ----- END RSA PUBLIC KEY--持っている（ssh_key_description） ---説明はありません

— braden

@braden。通常は、鍵の所有者のメールアドレスです。しかし、あなたは彼の説明に好きなものを置くことができます。

— deltamind106

PHP実装opensshtopemここ github.com/131/yks/blob/master/class/stds/crypt.php#L346

— 131

以下の@mkalkovからの回答は、Linuxコマンドラインツールを使用して変換を行います。ヘッダーを削除し、行を入力としてマージした公開鍵PEMファイルが必要です。

— alexandroid

13

ssh-keygen -i -m PKCS8 -f public-key.pem

— ボボエ
ソース

3

私にとってうまくいきませんでした：「do_convert_from_pkcs8：key.pem is not acognited public key format」機能したのは、authorized_keysに必要なssh-rsaテキストを出力する「ssh-keygen -y -f key.pem」でした。

— カート

1

これは機能していませんdo_convert_from_pkcs8: TEST.pem is not a recognised public key format

— Jinna Balu

後に私のために働いたopenssl genrsa -out newkey.pem 2048とopenssl rsa -in newkey.pem -outform PEM -pubout -out newkeypublic.pem

— xirix

12

ssh-keygen -f private.pem -y > public.pub

— zkilnbqi
ソース

6

私はした

ssh-keygen -i -f $ sshkeysfile >> authorized_keys

ここにクレジットが入ります

— ペリクリス
ソース

1

上記のビクターを信用しなかったのはなぜですか？彼はほぼ8か月前に同じ命令を出しました。

— jww 2015年

1

@jwwビクターの返信の編集ログから、最初は答えが少し異なっていたことがわかるかもしれません。これが理由だと思います

— periklis

4

次のスクリプトは、base64でエンコードされたDER形式のci.jenkins-ci.org公開鍵証明書を取得し、OpenSSH公開鍵ファイルに変換します。このコードは、2048ビットのRSA鍵が使用されていることを想定しており、このIan Boydの回答から多くを引き出します。Jenkins wikiのこの記事へのコメントで、それがどのように機能するかについてもう少し説明しました。

echo -n "ssh-rsa " > jenkins.pub
curl -sfI https://ci.jenkins-ci.org/ | grep X-Instance-Identity | tr -d \\r | cut -d\  -f2 | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 >> jenkins.pub
echo >> jenkins.pub

— マカルコフ
ソース

これが最良の答えです。そしてそれはうまくいきます！（status = noneをstatus = noxferに置き換えるだけで済みました）。"base64"で始まる2番目のコマンドを使用して、ヘッダーを取り除き、すべての行を1つに連結したPEMファイルを入力に与えます。@mkalkovありがとうございます！

— alexandroid

上記のコマンドは2048ビットのキーを想定しているため、異なるサイズのキーを指定した場合、正しく動作しません。

— alexandroid 2016年

1

FWIW、このBASHスクリプトは、PEMまたはDER形式のX.509証明書またはOpenSSL公開鍵ファイル（PEM形式も）を最初の引数として取り、OpenSSH RSA公開鍵を破棄します。これは、上記の@mkalkovの答えを拡張したものです。要件はcat、grep、tr、dd、xxd、sed、xargs、file、uuidgen、base64、openssl（1.0+）、そしてもちろんbash。openssl（を含むbase64）を除くすべては、おそらくxxd（Fedoraがvim-commonパッケージで示している）を除いて、最新のLinuxシステムの基本インストールの一部であることがほぼ保証されています。誰かがそれをクリーンアップしてより良くしたい場合は、注意すべき点があります。

#!/bin/bash
#
# Extract a valid SSH format public key from an X509 public certificate.
#

# Variables:
pubFile=$1
fileType="no"
pkEightTypeFile="$pubFile"
tmpFile="/tmp/`uuidgen`-pkEightTypeFile.pk8"

# See if a file was passed:
[ ! -f "$pubFile" ] && echo "Error, bad or no input file $pubFile." && exit 1

# If it is a PEM format X.509 public cert, set $fileType appropriately:
pemCertType="X$(file $pubFile | grep 'PEM certificate')"
[ "$pemCertType" != "X" ] && fileType="PEM"

# If it is an OpenSSL PEM-format PKCS#8-style public key, set $fileType appropriately:
pkEightType="X$(grep -e '-BEGIN PUBLIC KEY-' $pubFile)"
[ "$pkEightType" != "X" ] && fileType="PKCS"

# If this is a file we can't recognise, try to decode a (binary) DER-format X.509 cert:
if [ "$fileType" = "no" ]; then
        openssl x509 -in $pubFile -inform DER -noout
        derResult=$(echo $?)
        [ "$derResult" = "0" ] && fileType="DER"
fi

# Exit if not detected as a file we can use:
[ "$fileType" = "no" ] && echo "Error, input file not of type X.509 public certificate or OpenSSL PKCS#8-style public key (not encrypted)." && exit 1

# Convert the X.509 public cert to an OpenSSL PEM-format PKCS#8-style public key:
if [ "$fileType" = "PEM" -o "$fileType" = "DER" ]; then
        openssl x509 -in $pubFile -inform $fileType -noout -pubkey > $tmpFile
        pkEightTypeFile="$tmpFile"
fi

# Build the string:
# Front matter:
frontString="$(echo -en 'ssh-rsa ')"

# Encoded modulus and exponent, with appropriate pointers:
encodedModulus="$(cat $pkEightTypeFile | grep -v -e "----" | tr -d '\n' | base64 -d | dd bs=1 skip=32 count=257 status=none | xxd -p -c257 | sed s/^/00000007\ 7373682d727361\ 00000003\ 010001\ 00000101\ / | xxd -p -r | base64 -w0 )"

# Add a comment string based on the filename, just to be nice:
commentString=" $(echo $pubFile | xargs basename | sed -e 's/\.crt\|\.cer\|\.pem\|\.pk8\|\.der//')"

# Give the user a string:
echo $frontString $encodedModulus $commentString

# cleanup:
rm -f $tmpFile

— db_
ソース

pemキーをssh-rsa形式に変換する

RSAペアを生成する

DERからPEMへの変換

PEM形式のRSAペアから公開鍵を抽出します

ノート