关于ssh-keygen 生成的key以“BEGIN OPENSSH PRIVATE KEY”开头

最新推荐文章于 2025-06-19 15:35:37 发布
最新推荐文章于 2025-06-19 15:35:37 发布
阅读量2w 收藏 21
点赞数 9
CC 4.0 BY-SA版权
分类专栏: git 文章标签: ssh-keygen RSA openssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lsp84ch80/article/details/87861990
本文介绍因SSH密钥格式变化导致的mysql、MongoDB等应用认证失败问题,包括如何使用ssh-keygen命令生成旧格式密钥及将新格式密钥转换为旧格式的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在使用命令 ssh-keygen -t rsa  生成ssh,默认是以新的格式生成,id_rsa的第一行变成了“BEGIN OPENSSH PRIVATE KEY” 而不在是“BEGIN RSA PRIVATE KEY”,此时用来msyql、MongoDB,配置ssh登陆的话,可能会报 “Resource temporarily unavailable. Authentication by key (/Users/youname/.ssh/id_rsa) failed (Error -16). (Error #35)” 提示资源不可用,这就是id_rsa 格式不对造成的

解决方法(一):

使用 ssh-keygen -m PEM -t rsa -b 4096 来生成

-m 参数指定密钥的格式,PEM(也就是RSA格式)是之前使用的旧格式

-b:指定密钥长度;

-e:读取openssh的私钥或者公钥文件;

-C:添加注释;

-f:指定用来保存密钥的文件名;

-i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥;

-l:显示公钥文件的指纹数据;

-N:提供一个新密语;

-P:提供(旧)密语;

-q:静默模式;

-t:指定要创建的密钥类型

 

解决方法(二):

将密钥转换为PuTTy ppk格式并返回来解决

tempkey的内容:

```
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAA...
-----END OPENSSH PRIVATE KEY-----
```
转换为ppk格式:
`puttygen tempkey -o tempkey.ppk`

转换回openssh格式:
`puttygen tempkey.ppk -O private-openssh -o tempkey.oldformat`

tempkey.oldformat的内容:

```
-----BEGIN RSA PRIVATE KEY-----
MIIJJwIBAAKCAgEAzmmS5aA0....
-----END RSA PRIVATE KEY-----
```

参考地址:https://github.com/duplicati/duplicati/issues/3360

【java】java 远程连接 BEGIN OPENSSH PRIVATE KEY open ssh 远程认证
九师兄
03-31 1471
出现这个问题,是因为做这个操作【java】java ssh远程连接报错 Invalid PEM structure, ‘-----BEGIN…‘ missing Publickey authentication failed然后远程认证一直不通过。,然后我找了很多方法都不行。
OpenSSH私钥BEGIN OPENSSH PRIVATE KEYBEGIN RSA PRIVATE KEY格式转换方式
热门推荐
loongshawn的博客
08-20 1万+
OpenSSH私钥BEGIN OPENSSH PRIVATE KEYBEGIN RSA PRIVATE KEY转换方式
openssl 自签证书生成步骤
AnalogElectronic的博客
06-19 1002
命令ext.cnf文件[req]commonName = 10.11.111.11 # 必须与访问IP一致[v3_req]subjectAltName = @alt_names # 关键SAN配置# 必须同时声明 IP 和 DNS 格式IP.1 = 10.11.111.11 # IP 地址格式DNS.1 = 10.11.111.11 # DNS 格式(解决 DNSNames 错误的核心)参考。
BEGIN OPENSSH PRIVATE KEY---invalid fomat
老专家的博客
05-28 3882
这是生成key格式不同,新的openssh的格式 -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn ... -----END OPENSSH PRIVATE KEY----- 转换 安装git后,右键打开git bash putt...
OPENSSH格式的private key转换成RSA格式生成pem文件
KevinHades的博客
04-03 8805
发现mac生成ssh private key是id_rsa 打开发现是OpenSSHkey 没有现成的命令可以生成,使用puttygen转 1、mac安装puttygen brew install putty 2、转成ppk格式 puttygen id_rsa -o id_rsa.ppk 3、转成RSA PRIVATE KEY puttygen id_rsa.ppk -O private-......
PS C:\WINDOWS\system32> # 生成新密钥(自动覆盖旧文件) >> ssh-keygen -t ed25519 -f "$env:USERPROFILE\.ssh\mykey" -N '""' -q -C "自动生成ED25519密钥" PS C:\WINDOWS\system32> Get-Content "$env:USERPROFILE\.ssh\mykey" | Select-String "BEGIN OPENSSH PRIVATE KEY" -----BEGIN OPENSSH PRIVATE KEY----- PS C:\WINDOWS\system32> ssh-keygen -lf "$env:USERPROFILE\.ssh\mykey.pub" 256 SHA256:/oP4u7cGrlPgVvBpTRzPhTrn5fRg2ztMT3lpYOXOWlE 自动生成ED25519密钥 (ED25519) PS C:\WINDOWS\system32> # 设置私钥只读权限 >> icacls "$env:USERPROFILE\.ssh\mykey" /inheritance:r /grant:r "$env:USERNAME:(R)" 无效参数“(R)”
06-03
好的,用户现在遇到了在Windows PowerShell中使用icacls命令设置SSH私钥只读权限时出现无效参数错误的问题。我需要先理解这个错误的具体原因,然后提供正确的解决方法。首先,回顾之前的对话,用户之前询问了如何...
Node.js中通过ssh-keygen生成SSH密钥对指南
在本节中,我们将详细探讨如何在Node.js环境中生成SSH密钥对,重点是使用名为ssh-keygen的工具。SSH密钥对包含一个公钥和一个私钥,这种密钥对机制常用于安全地进行网络服务的身份验证,比如在Git仓库操作、服务器...
$ ssh-keygen -p -m PEM -t ecdsa -f private_ecc_converted.pem private_ecc_converted.pem: No such file or directory andrea@T1BC088:/build/key_test$ ssh-keygen -p -m PEM -t ecdsa -f private_ecc.pem Failed to load key private_ecc.pem: invalid format
03-22
例如,PEM格式的私钥通常以 `-----BEGIN EC PRIVATE KEY-----` 开头,而OpenSSH格式的可能以 `-----BEGIN OPENSSH PRIVATE KEY-----` 开头。如果文件的开头不符合,可能需要转换格式。 另外,需要注意 `-t ecdsa` ...
ssh-keygen -m PEM -t rsa
最新发布
08-01
根据引用,我们知道默认情况下ssh-keygen会使用新的OpenSSH格式(以"BEGIN OPENSSH PRIVATE KEY"开头),但用户需要传统的PEM格式(以"BEGIN RSA PRIVATE KEY"开头)的密钥。 根据引用[4],我们可以通过指定`-m`...
【jsch链接报错invalid privatekey解决密钥格式opensshrsa
zsf1600594370的博客
06-19 2595
前段时间对接某家银行时需要对请求报文进行加密请求,但是加密的工具是行方提供的工具进行生成的,在读取生成的对应密钥时发生了报错。
gerrit-trigger-plugin
06-16
gerrit 触发器插件 麻省理工学院执照 版权所有 2010 索尼爱立信移动通信。 版权所有。 版权所有 2012 Sony Mobile Communications AB。 版权所有。 特此授予任何人免费获得本软件副本和相关文档文件(“软件”)的许可,不受限制地处理本软件,包括但不限于使用、复制、修改、合并的权利、发布、分发、再许可和/或出售软件的副本,并允许向其提供软件的人员这样做,但须符合以下条件: 上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。 本软件按“原样”提供,不提供任何形式的明示或暗示的保证,包括但不限于适销性、特定用途的适用性和不侵权的保证。 在任何情况下,作者或版权持有人均不对任何索赔、损害或其他责任承担责任,无论是在合同诉讼、侵权行为或其他方面,由软件或软件的使用或使用或其他原因引起的或与之相关的软件。 ============== 这个插
gerrit-change-trigger:一个 Gerrit 插件,用于从 Web UI 向 Gerrit 事件流引发事件
06-23
gerrit-change-trigger:Gerrit 变更触发器插件 添加一名作者 存储库: : 发布: : 概要 这是一个 Gerrit 插件。 这可以在 gerrit 事件流的更改中触发最新补丁patchset-created事件。 Trigger按钮被添加到修订视图。 此插件适用于 Gerrit 2.8 或更高版本。 环境 linux java-1.7 gradle 建造 使用 maven 构建插件。 ./gradlew build 使用另一个版本的 API 现在默认可用于 Gerrit 2.9。 如果您想在其他版本的 Gerrit 上使用它,请尝试以下操作。 ./gradlew build -PapiVersion=2.8 历史 2.0 重命名插件名称 1.1 添加 gradle 支持 删除 Maven 支持 1.0 首次发布 执照 Apache
OpenSSH私钥转换为RSA私钥(Xshell导入密匙报错) 导入用户密匙失败
JavasLemon的博客
06-14 2577
Xshell 密匙免密登录 客户端配置
docker jenkins下的id_rsa is not a valid key file的问题
lzc721的博客
12-30 829
docker jenkins下的id_rsa is not a valid key file的问题
本地window 和linux怎样生成OpenSSH格式的私钥详细点
qq_33192454的博客
10-08 927
你可以在 Windows 上使用内置的命令提示符或 Windows PowerShell。你可以使用 SSH 客户端连接到服务器,并将公钥上传到服务器,或者将公钥的内容手动复制到服务器上的。在生成密钥时,你将被要求指定文件保存位置和设置一个密码。请注意,生成的私钥文件包含私钥信息,因此应谨慎保存,并不要将其与他人分享。如果你想要在 Linux 服务器上使用此密钥对进行身份验证,你需要将生成的公钥(例如,生成一个 2048 位的 RSA 密钥并将其保存到用户主目录下的。是生成的私钥文件的路径,
Jenkins插件Gerrit Trigger配置,实现change-merged时自动触发Jenkins工程build
ITerated的博客
03-02 5851
Jenkins插件Gerrit Trigger配置,实现change-merged时触发Jenkins工程build 1.安装Jenkins插件Gerrit Trigger 2.配置Gerrit Trigger Manage Jenkins >> Gerrit Trigger 添加新的Gerrit服务器,如下图 Gerrit服务器相关配置,如下图 ...
Jenkin 配置 Gerrit Trigger
neu_xiaolu的博客
09-16 1611
安装Jenkins Gerrit Trigger 插件 创建 alice_test job 修改job 配置: Execute shell set +ex echo ${WORKSPACE} echo [Reminder] If modify configuration of this job, we need restart Gerrit Trigger. python -m flake8 -v --filename=*.py ${WORKSPACE}/Project
【Gerrit】正确添加了SSh key 仍报错 Permission denied (publickey). fatal: Could not read from remote repository
节省钱的博客
03-29 6518
当我们在部署新的开发环境时在使用Gerrit clone代码的时候,你会发现报错,错误信息大概是: Permission denied (publickey). fatal: Could not read from remote repository.OpenSSH从8.8版本开始由于安全原因开始弃用了rsa加密的密钥。 因为OpenSSH认为rsa破解成本太小了,有风险就给禁用了。 你可以通过命令: 如: 去查看Gerrit服务器的OpenSSH的版本号, 如果≥8.8,就可以用这个方法。可以使用ed2
"-----BEGIN PRIVATE KEY-----MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg==-----END PRIVATE KEY-----";是pem格式吗
04-28
<think>嗯,用户现在想判断一个给定的字符串是否是PEM格式。根据他们提供的示例内容:`-----BEGIN PRIVATE KEY-----MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg==-----END PRIVATE KEY-----`,我需要分析是否符合PEM的结构要求。 首先,回顾一下PEM的基本结构。PEM格式通常包含三个部分:头部标记、Base64编码的内容和尾部标记。头部和尾部必须包含正确的BEGIN和END标签,例如`-----BEGIN PRIVATE KEY-----`和`-----END PRIVATE KEY-----`。用户提供的字符串确实有这些标记,但看起来中间的内容是MD5哈希后的Base64编码,这可能不符合PEM的要求,因为PEM的内容应该是DER结构的Base64编码。 接下来,检查内容部分。Base64编码的数据通常每行64个字符,但用户的示例中的内容只有一行,而且长度较短。虽然PEM允许单行,但实际应用中,密钥或证书的Base64内容会更长,且可能包含换行。此外,MD5哈希后的字符串可能不是有效的DER结构,这会导致解析失败。 然后,用户提供的引用中提到,不同工具生成的PEM可能有不同的头部标签,比如`BEGIN RSA PRIVATE KEY`和`BEGIN OPENSSH PRIVATE KEY`。这说明判断PEM格式时,需要验证头部和尾部的标签是否匹配,并且是否属于已知的类型。例如,用户的示例中使用的是`PRIVATE KEY`,这可能表示PKCS#8格式,而旧版可能是RSA PRIVATE KEY。需要确保标签的准确性。 另外,用户之前的问题涉及将不同格式的密钥转换为PEM或PPK,所以在判断时可能需要考虑这些转换过程中的格式变化。例如,使用OpenSSL生成的PEM文件可能有不同的结构和编码方式。 最后,用户可能需要一个编程上的解决方案,比如正则表达式,来验证字符串是否符合PEM的结构。需要注意标签的正确性、Base64内容的有效性,以及可能的换行符处理。同时,要提醒用户即使结构正确,内容是否有效还需进一步解析。</think>### 分步判断PEM格式的步骤 #### 一、格式结构验证 1. **头部/尾部标记匹配性** ```python # 正则表达式匹配标准PEM标记 import re pem_content = """-----BEGIN PRIVATE KEY----- MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg== -----END PRIVATE KEY-----""" pattern = r"-----BEGIN ([A-Z ]+)-----\n([A-Za-z0-9+/=\n]+)\n-----END \1-----" match = re.fullmatch(pattern, pem_content) if match: print("基础结构验证通过") else: print("标记不匹配或格式错误") ``` - **验证结果**:此处示例中`BEGIN PRIVATE KEY`与`END PRIVATE KEY`标签匹配,但实际内容存在异常(见下文分析)[^1][^4]。 #### 二、Base64内容验证 1. **编码规则检查** ```python import base64 encoded_data = "MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg==" try: decoded = base64.b64decode(encoded_data, validate=True) print("Base64编码有效") except Exception as e: print(f"Base64解码失败:{str(e)}") ``` - **验证结果**:该字符串能通过Base64解码,但解码后的二进制数据**并非有效的DER结构**(例如私钥DER应包含ASN.1编码)[^3][^4]。 #### 三、密钥类型兼容性验证 1. **头部标记语义分析** | 头部标记类型 | 实际含义 | 示例场景 | |-----------------------|----------------------------------|-------------------------| | `BEGIN PRIVATE KEY` | PKCS#8格式私钥 | OpenSSL默认生成的私钥 | | `BEGIN RSA PRIVATE KEY` | 传统PEM格式RSA私钥 | 旧版MySQL认证文件 | | `BEGIN OPENSSH PRIVATE KEY` | OpenSSH专有格式 | 新版ssh-keygen生成文件 | **结论**:示例中的`BEGIN PRIVATE KEY`标记表示PKCS#8格式,但内容`MDM5...`明显不符合DER编码规范(应为ASN.1结构)[^4]。 #### 四、综合判断 根据上述分析,虽然该字符串**满足PEM格式的文本结构要求**,但存在两个关键问题: 1. **内容非法性**:Base64解码后的数据不是合法的密钥DER编码 2. **语义不匹配**:`PRIVATE KEY`标签通常对应非对称加密私钥,但示例内容更像是哈希值 #### 五、改进建议 若需生成合法的PEM私钥,应使用标准工具: ```bash # 生成合规的PKCS#8私钥 openssl genpkey -algorithm RSA -out private.pem ``` ### 代码实现PEM验证函数 ```python import re import base64 def is_valid_pem(content: str) -> bool: # 结构验证 pem_pattern = re.compile( r"-----BEGIN ([A-Z ]+)-----\n" r"([A-Za-z0-9+/=\n]+)\n" r"-----END \1-----", re.MULTILINE ) match = pem_pattern.fullmatch(content) if not match: return False # Base64内容验证 try: base64_content = match.group(2).replace("\n", "") decoded = base64.b64decode(base64_content, validate=True) return len(decoded) > 0 # 简单校验二进制数据有效性 except: return False # 测试用例 test_content = """-----BEGIN PRIVATE KEY----- MDM5ODk4OTMzNjExM2FiYjViMGIyNDUzZjRhNGJiYTE6Cg== -----END PRIVATE KEY-----""" print(is_valid_pem(test_content)) # 输出:False(因内容非法) ``` ### 相关问题 1. 如何通过编程方式区分PKCS#1和PKCS#8格式的PEM私钥?[^4] 2. 为什么OpenSSH新版生成的私钥格式会导致传统服务认证失败?[^1][^4] 3. 如何修复PEM文件中缺失的换行符导致的解析错误?[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值