关于ssh-keygen 生成的key以“BEGIN OPENSSH PRIVATE KEY”开头

最新推荐文章于 2025-06-26 11:03:27 发布
最新推荐文章于 2025-06-26 11:03:27 发布
阅读量2w 收藏 21
点赞数 9
CC 4.0 BY-SA版权
分类专栏: git 文章标签: ssh-keygen RSA openssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lsp84ch80/article/details/87861990
本文介绍因SSH密钥格式变化导致的mysql、MongoDB等应用认证失败问题,包括如何使用ssh-keygen命令生成旧格式密钥及将新格式密钥转换为旧格式的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在使用命令 ssh-keygen -t rsa  生成ssh,默认是以新的格式生成,id_rsa的第一行变成了“BEGIN OPENSSH PRIVATE KEY” 而不在是“BEGIN RSA PRIVATE KEY”,此时用来msyql、MongoDB,配置ssh登陆的话,可能会报 “Resource temporarily unavailable. Authentication by key (/Users/youname/.ssh/id_rsa) failed (Error -16). (Error #35)” 提示资源不可用,这就是id_rsa 格式不对造成的

解决方法(一):

使用 ssh-keygen -m PEM -t rsa -b 4096 来生成

-m 参数指定密钥的格式,PEM(也就是RSA格式)是之前使用的旧格式

-b:指定密钥长度;

-e:读取openssh的私钥或者公钥文件;

-C:添加注释;

-f:指定用来保存密钥的文件名;

-i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥;

-l:显示公钥文件的指纹数据;

-N:提供一个新密语;

-P:提供(旧)密语;

-q:静默模式;

-t:指定要创建的密钥类型

 

解决方法(二):

将密钥转换为PuTTy ppk格式并返回来解决

tempkey的内容:

```
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAA...
-----END OPENSSH PRIVATE KEY-----
```
转换为ppk格式:
`puttygen tempkey -o tempkey.ppk`

转换回openssh格式:
`puttygen tempkey.ppk -O private-openssh -o tempkey.oldformat`

tempkey.oldformat的内容:

```
-----BEGIN RSA PRIVATE KEY-----
MIIJJwIBAAKCAgEAzmmS5aA0....
-----END RSA PRIVATE KEY-----
```

参考地址:https://github.com/duplicati/duplicati/issues/3360

【java】java 远程连接 BEGIN OPENSSH PRIVATE KEY open ssh 远程认证
九师兄
03-31 1471
出现这个问题,是因为做这个操作【java】java ssh远程连接报错 Invalid PEM structure, ‘-----BEGIN…‘ missing Publickey authentication failed然后远程认证一直不通过。,然后我找了很多方法都不行。
OpenSSH私钥BEGIN OPENSSH PRIVATE KEYBEGIN RSA PRIVATE KEY格式转换方式
热门推荐
loongshawn的博客
08-20 1万+
OpenSSH私钥BEGIN OPENSSH PRIVATE KEYBEGIN RSA PRIVATE KEY转换方式
给~/.ssh/中的用ssh-keygen生成的open-ssh私钥文件改名字
kfepiza的博客
06-26 819
可以安全地重命名~/.ssh/下的私钥文件。必须在重命名后通过以下方式之一告诉 SSH 客户端新私钥的位置:(强烈推荐)在文件中使用指令。使用命令行参数。使用将新密钥添加到ssh-agent。必须确保改名后的私钥文件权限是600-rw-------私钥改名本身不需要更新服务器上的文件(只要公钥文件内容没变)。公钥改名后,其内容也没变,所以也不需要更新服务器(除非你同时生成了新密钥)。选择配置通常是管理多个密钥或自定义密钥路径最方便和持久的方式。
BEGIN OPENSSH PRIVATE KEY---invalid fomat
老专家的博客
05-28 3882
这是生成key格式不同,新的openssh的格式 -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn ... -----END OPENSSH PRIVATE KEY----- 转换 安装git后,右键打开git bash putt...
OPENSSH格式的private key转换成RSA格式生成pem文件
KevinHades的博客
04-03 8802
发现mac生成ssh private key是id_rsa 打开发现是OpenSSHkey 没有现成的命令可以生成,使用puttygen转 1、mac安装puttygen brew install putty 2、转成ppk格式 puttygen id_rsa -o id_rsa.ppk 3、转成RSA PRIVATE KEY puttygen id_rsa.ppk -O private-......
PS C:\WINDOWS\system32> # 生成新密钥(自动覆盖旧文件) >> ssh-keygen -t ed25519 -f "$env:USERPROFILE\.ssh\mykey" -N '""' -q -C "自动生成ED25519密钥" PS C:\WINDOWS\system32> Get-Content "$env:USERPROFILE\.ssh\mykey" | Select-String "BEGIN OPENSSH PRIVATE KEY" -----BEGIN OPENSSH PRIVATE KEY----- PS C:\WINDOWS\system32> ssh-keygen -lf "$env:USERPROFILE\.ssh\mykey.pub" 256 SHA256:/oP4u7cGrlPgVvBpTRzPhTrn5fRg2ztMT3lpYOXOWlE 自动生成ED25519密钥 (ED25519) PS C:\WINDOWS\system32> # 设置私钥只读权限 >> icacls "$env:USERPROFILE\.ssh\mykey" /inheritance:r /grant:r "$env:USERNAME:(R)" 无效参数“(R)”
06-03
好的,用户现在遇到了在Windows PowerShell中使用icacls命令设置SSH私钥只读权限时出现无效参数错误的问题。我需要先理解这个错误的具体原因,然后提供正确的解决方法。首先,回顾之前的对话,用户之前询问了如何...
Node.js中通过ssh-keygen生成SSH密钥对指南
在本节中,我们将详细探讨如何在Node.js环境中生成SSH密钥对,重点是使用名为ssh-keygen的工具。SSH密钥对包含一个公钥和一个私钥,这种密钥对机制常用于安全地进行网络服务的身份验证,比如在Git仓库操作、服务器...
$ ssh-keygen -p -m PEM -t ecdsa -f private_ecc_converted.pem private_ecc_converted.pem: No such file or directory andrea@T1BC088:/build/key_test$ ssh-keygen -p -m PEM -t ecdsa -f private_ecc.pem Failed to load key private_ecc.pem: invalid format
03-22
例如,PEM格式的私钥通常以 `-----BEGIN EC PRIVATE KEY-----` 开头,而OpenSSH格式的可能以 `-----BEGIN OPENSSH PRIVATE KEY-----` 开头。如果文件的开头不符合,可能需要转换格式。 另外,需要注意 `-t ecdsa` ...
ssh-keygen -m PEM -t rsa
最新发布
08-01
根据引用,我们知道默认情况下ssh-keygen会使用新的OpenSSH格式(以"BEGIN OPENSSH PRIVATE KEY"开头),但用户需要传统的PEM格式(以"BEGIN RSA PRIVATE KEY"开头)的密钥。 根据引用[4],我们可以通过指定`-m`...
【jsch链接报错invalid privatekey解决密钥格式opensshrsa
zsf1600594370的博客
06-19 2592
前段时间对接某家银行时需要对请求报文进行加密请求,但是加密的工具是行方提供的工具进行生成的,在读取生成的对应密钥时发生了报错。
gerrit-trigger-plugin
06-16
gerrit 触发器插件 麻省理工学院执照 版权所有 2010 索尼爱立信移动通信。 版权所有。 版权所有 2012 Sony Mobile Communications AB。 版权所有。 特此授予任何人免费获得本软件副本和相关文档文件(“软件”)的许可,不受限制地处理本软件,包括但不限于使用、复制、修改、合并的权利、发布、分发、再许可和/或出售软件的副本,并允许向其提供软件的人员这样做,但须符合以下条件: 上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。 本软件按“原样”提供,不提供任何形式的明示或暗示的保证,包括但不限于适销性、特定用途的适用性和不侵权的保证。 在任何情况下,作者或版权持有人均不对任何索赔、损害或其他责任承担责任,无论是在合同诉讼、侵权行为或其他方面,由软件或软件的使用或使用或其他原因引起的或与之相关的软件。 ============== 这个插
gerrit-change-trigger:一个 Gerrit 插件,用于从 Web UI 向 Gerrit 事件流引发事件
06-23
gerrit-change-trigger:Gerrit 变更触发器插件 添加一名作者 存储库: : 发布: : 概要 这是一个 Gerrit 插件。 这可以在 gerrit 事件流的更改中触发最新补丁patchset-created事件。 Trigger按钮被添加到修订视图。 此插件适用于 Gerrit 2.8 或更高版本。 环境 linux java-1.7 gradle 建造 使用 maven 构建插件。 ./gradlew build 使用另一个版本的 API 现在默认可用于 Gerrit 2.9。 如果您想在其他版本的 Gerrit 上使用它,请尝试以下操作。 ./gradlew build -PapiVersion=2.8 历史 2.0 重命名插件名称 1.1 添加 gradle 支持 删除 Maven 支持 1.0 首次发布 执照 Apache
OpenSSH私钥转换为RSA私钥(Xshell导入密匙报错) 导入用户密匙失败
JavasLemon的博客
06-14 2575
Xshell 密匙免密登录 客户端配置
docker jenkins下的id_rsa is not a valid key file的问题
lzc721的博客
12-30 829
docker jenkins下的id_rsa is not a valid key file的问题
本地window 和linux怎样生成OpenSSH格式的私钥详细点
qq_33192454的博客
10-08 925
你可以在 Windows 上使用内置的命令提示符或 Windows PowerShell。你可以使用 SSH 客户端连接到服务器,并将公钥上传到服务器,或者将公钥的内容手动复制到服务器上的。在生成密钥时,你将被要求指定文件保存位置和设置一个密码。请注意,生成的私钥文件包含私钥信息,因此应谨慎保存,并不要将其与他人分享。如果你想要在 Linux 服务器上使用此密钥对进行身份验证,你需要将生成的公钥(例如,生成一个 2048 位的 RSA 密钥并将其保存到用户主目录下的。是生成的私钥文件的路径,
Jenkins插件Gerrit Trigger配置,实现change-merged时自动触发Jenkins工程build
ITerated的博客
03-02 5848
Jenkins插件Gerrit Trigger配置,实现change-merged时触发Jenkins工程build 1.安装Jenkins插件Gerrit Trigger 2.配置Gerrit Trigger Manage Jenkins >> Gerrit Trigger 添加新的Gerrit服务器,如下图 Gerrit服务器相关配置,如下图 ...
Jenkin 配置 Gerrit Trigger
neu_xiaolu的博客
09-16 1611
安装Jenkins Gerrit Trigger 插件 创建 alice_test job 修改job 配置: Execute shell set +ex echo ${WORKSPACE} echo [Reminder] If modify configuration of this job, we need restart Gerrit Trigger. python -m flake8 -v --filename=*.py ${WORKSPACE}/Project
【Gerrit】正确添加了SSh key 仍报错 Permission denied (publickey). fatal: Could not read from remote repository
节省钱的博客
03-29 6514
当我们在部署新的开发环境时在使用Gerrit clone代码的时候,你会发现报错,错误信息大概是: Permission denied (publickey). fatal: Could not read from remote repository.OpenSSH从8.8版本开始由于安全原因开始弃用了rsa加密的密钥。 因为OpenSSH认为rsa破解成本太小了,有风险就给禁用了。 你可以通过命令: 如: 去查看Gerrit服务器的OpenSSH的版本号, 如果≥8.8,就可以用这个方法。可以使用ed2
"-----BEGIN PRIVATE KEY-----MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg==-----END PRIVATE KEY-----";是pem格式吗
04-28
<think>嗯,用户现在想判断一个给定的字符串是否是PEM格式。根据他们提供的示例内容:`-----BEGIN PRIVATE KEY-----MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg==-----END PRIVATE KEY-----`,我需要分析是否符合PEM的结构要求。 首先,回顾一下PEM的基本结构。PEM格式通常包含三个部分:头部标记、Base64编码的内容和尾部标记。头部和尾部必须包含正确的BEGIN和END标签,例如`-----BEGIN PRIVATE KEY-----`和`-----END PRIVATE KEY-----`。用户提供的字符串确实有这些标记,但看起来中间的内容是MD5哈希后的Base64编码,这可能不符合PEM的要求,因为PEM的内容应该是DER结构的Base64编码。 接下来,检查内容部分。Base64编码的数据通常每行64个字符,但用户的示例中的内容只有一行,而且长度较短。虽然PEM允许单行,但实际应用中,密钥或证书的Base64内容会更长,且可能包含换行。此外,MD5哈希后的字符串可能不是有效的DER结构,这会导致解析失败。 然后,用户提供的引用中提到,不同工具生成的PEM可能有不同的头部标签,比如`BEGIN RSA PRIVATE KEY`和`BEGIN OPENSSH PRIVATE KEY`。这说明判断PEM格式时,需要验证头部和尾部的标签是否匹配,并且是否属于已知的类型。例如,用户的示例中使用的是`PRIVATE KEY`,这可能表示PKCS#8格式,而旧版可能是RSA PRIVATE KEY。需要确保标签的准确性。 另外,用户之前的问题涉及将不同格式的密钥转换为PEM或PPK,所以在判断时可能需要考虑这些转换过程中的格式变化。例如,使用OpenSSL生成的PEM文件可能有不同的结构和编码方式。 最后,用户可能需要一个编程上的解决方案,比如正则表达式,来验证字符串是否符合PEM的结构。需要注意标签的正确性、Base64内容的有效性,以及可能的换行符处理。同时,要提醒用户即使结构正确,内容是否有效还需进一步解析。</think>### 分步判断PEM格式的步骤 #### 一、格式结构验证 1. **头部/尾部标记匹配性** ```python # 正则表达式匹配标准PEM标记 import re pem_content = """-----BEGIN PRIVATE KEY----- MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg== -----END PRIVATE KEY-----""" pattern = r"-----BEGIN ([A-Z ]+)-----\n([A-Za-z0-9+/=\n]+)\n-----END \1-----" match = re.fullmatch(pattern, pem_content) if match: print("基础结构验证通过") else: print("标记不匹配或格式错误") ``` - **验证结果**:此处示例中`BEGIN PRIVATE KEY`与`END PRIVATE KEY`标签匹配,但实际内容存在异常(见下文分析)[^1][^4]。 #### 二、Base64内容验证 1. **编码规则检查** ```python import base64 encoded_data = "MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg==" try: decoded = base64.b64decode(encoded_data, validate=True) print("Base64编码有效") except Exception as e: print(f"Base64解码失败:{str(e)}") ``` - **验证结果**:该字符串能通过Base64解码,但解码后的二进制数据**并非有效的DER结构**(例如私钥DER应包含ASN.1编码)[^3][^4]。 #### 三、密钥类型兼容性验证 1. **头部标记语义分析** | 头部标记类型 | 实际含义 | 示例场景 | |-----------------------|----------------------------------|-------------------------| | `BEGIN PRIVATE KEY` | PKCS#8格式私钥 | OpenSSL默认生成的私钥 | | `BEGIN RSA PRIVATE KEY` | 传统PEM格式RSA私钥 | 旧版MySQL认证文件 | | `BEGIN OPENSSH PRIVATE KEY` | OpenSSH专有格式 | 新版ssh-keygen生成文件 | **结论**:示例中的`BEGIN PRIVATE KEY`标记表示PKCS#8格式,但内容`MDM5...`明显不符合DER编码规范(应为ASN.1结构)[^4]。 #### 四、综合判断 根据上述分析,虽然该字符串**满足PEM格式的文本结构要求**,但存在两个关键问题: 1. **内容非法性**:Base64解码后的数据不是合法的密钥DER编码 2. **语义不匹配**:`PRIVATE KEY`标签通常对应非对称加密私钥,但示例内容更像是哈希值 #### 五、改进建议 若需生成合法的PEM私钥,应使用标准工具: ```bash # 生成合规的PKCS#8私钥 openssl genpkey -algorithm RSA -out private.pem ``` ### 代码实现PEM验证函数 ```python import re import base64 def is_valid_pem(content: str) -> bool: # 结构验证 pem_pattern = re.compile( r"-----BEGIN ([A-Z ]+)-----\n" r"([A-Za-z0-9+/=\n]+)\n" r"-----END \1-----", re.MULTILINE ) match = pem_pattern.fullmatch(content) if not match: return False # Base64内容验证 try: base64_content = match.group(2).replace("\n", "") decoded = base64.b64decode(base64_content, validate=True) return len(decoded) > 0 # 简单校验二进制数据有效性 except: return False # 测试用例 test_content = """-----BEGIN PRIVATE KEY----- MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg== -----END PRIVATE KEY-----""" print(is_valid_pem(test_content)) # 输出:False(因内容非法) ``` ### 相关问题 1. 如何通过编程方式区分PKCS#1和PKCS#8格式的PEM私钥?[^4] 2. 为什么OpenSSH新版生成的私钥格式会导致传统服务认证失败?[^1][^4] 3. 如何修复PEM文件中缺失的换行符导致的解析错误?[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值