各种格式SSH 公钥和私钥之间的转换

前天给客户安装环境，没想到在生成SSH密钥上耽误很多时间。

先从一个实验开始吧。

先生成密钥对，公钥为/tmp/key.pub，私钥为/tmp/key。命令行选项中 -t表示key type，-b表示key的bit数，在puttygen中也是使用这样的组合，即RSA，盯毁 2048。

这里产生的私钥默认是兼容性更好的PEM格式。如果加-o选项，则生成的是OpenSSH格式的私钥。

这里生成的PEM RSA格式的私钥，可以import到puttygen中生成putty使用的PPK格式的私钥渗族，如下：

顺带说一下，PEM表示Privacy Enhanced Mail，PPK表示PuTTY Private Key。这两种都是私钥格式。PEM实际上是一种特丛则弊定的BASE64编码。参见这里

将OpenSSH格式公钥转换为SSH2格式，即RFC 4716格式：

将SSH2 格式公钥转换为PEM：

将OpenSSH格式公钥转换为PEM格式：

私钥除了PEM格式，还有一个OpenSSH格式。如文档描述：

使用-p选项可以将PEM和OpenSSH格式互相转换。

总结一下，私钥的格式有PEM, OpenSSH和PPK 3种。公钥的格式有OpenSSH和SSH2两种。

对于私钥，PPK是putty程序用的，这种格式和其它格式的转换通过puttygen来做。puttygen只能import PEM格式的，但可以转换成openssh格式的。PEM和OpenSSH之间的转换通过ssh-keygen -p来做。

对于公钥，OpenSSH，SSH2，PEM之间通过ssh-keygen -e或-i来转换。 ~/.ssh/authorized_keys中存放的公钥是OpenSSH格式。OCI中API Signing Key使用PKCS8格式的公钥。如下：

那天在客户处出现的问题就是因为Oracle公有云(OCI)生成的私钥和私钥都是OpenSSH格式的。所以私钥无法直接导入puttygen，需要先转换为PEM格式才可导入。

————————————————

原文链接： https://blog.csdn.net/stevensxiao/article/details/109381001

[TOC]

ssh 无密码登录要使用公钥与私钥。linux下可以用用ssh-keygen生成公钥/私钥对，下面以CentOS为例。有机器A(192.168.64.21)，B(192.168.64.22)。

目标：A通过ssh免密码登录到B

特意强调，使用参数可以省去生成公钥/私钥的回车步骤昌纯

备注：

第一次登录需输入yes，现在A机可以无密码登录B机了，B登陆A，也同样，在B中生成公钥和私钥对，将公钥写入authorized_keys中，然后同步A、B中的authorized_keys，使其一致就ok了。

也即就是：登录的机子有私钥，被登录的机子要有登录机子的公钥，这个公钥/私钥对一般在私钥宿主机产生。上面是用rsa算法(不对称加密算法)的公钥/私钥对，当然也可以用dsa(对称加密算法：对应的文件是id_dsa，id_dsa.pub)

SSH是为建立在应用层和传输层基础上的安全协议( OSI七层与TCP/IP五层网络架构详解 )。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH 协议可以有效防止远程管世迅知理过程中的信息泄露问题。

从客户端来看，SSH提供两种级别的安全验证：

只要知道帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但缺点是：不能保证你正在连接的服务器就是你想连接的服务器。以下是登录验证流程：

​ 当第一次链接远程主机时，会提示你当前主机的”公钥指纹”，询问你是否继续，如果选择继续后就可以输入密码进行登录了，当远程的主机接受以后，该台服务器的公钥就会保存到~/.ssh/known_hosts文件中。

这种验证的前提是客户端需要生成一对密钥，将公钥放到需访问的远程服务器。这种验证比上一种的好处是，不能仿冒真正的服务器，因为要仿冒必须拿到客户端生成的公钥。缺点就是验证等待过程稍长些。

1、在客户端打开终端，执行 ssh-keygen ，该命令会默认在 ~/.ssh/ 目录下创建 id_rsa 、 id_rsa.pub 两个文件，分别为你的公钥和私钥

2、将公钥 id_rsa.pub 文件拷贝到服务器端的 ~/.ssh/authorized_keys 文件中，可通过scp拷贝

A要免密码登录到B，B首先要拥有A的公钥，然后B要做一次加搜消密验证。非对称加密，公钥加密的密文不能公钥解开，只能私钥解开

ssh-agent

ssh-agent是密钥管理器，是一种控制用来保存公钥身份验证所使用的私钥的程序

运行ssh-agent以后，使用ssh-add将私钥交给ssh-agent保管，其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程

ssh-agent是管理多个ssh key的代理，受管理的私钥通过ssh-add来添加

好处1：不用重复输入密码

用 ssh-add 添加私钥时，如果私钥有密码的话，照例会被要求输入一次密码，在这之后ssh-agent可直接使用该私钥，无需再次密码认证。

好处2：不用到处部署私钥

假设私钥分别可以登录同一内网的主机 A 和主机 B，出于一些原因，不能直接登录 B。可以通过在 A 上部署私钥或者设置 Forwarding(转发) 登录 B，也可以转发认证代理连接在 A 上面使用ssh-agent私钥登录 B；可以在A上直接sftp传文件到B上。

如这边有一台机器是local，能通过公钥直接登陆server1和server2。server1和server2之间无公钥登陆。

现在要在server1上直接登陆server2，在local上执行

执行了之后就将私钥给ssh-agent保管了，server1上面登陆server2的时候，需要私钥验证的时候直接找ssh-agent要就可以了

接下来登陆server1，注意-A

可以发现server1上多了/tmp/ssh-xxxxxxxxx/agent.xxxxx的socket，之后神奇的事发生了，在 server1上可直接进server2，只需执行如下命令，如果加了-A则可以继续ssh forwarding(转发) ，以至无限的机器forwarding。

ssh (-A) server2

同样的原理可以试一下sftp, scp等基于ssh的命令。

如运行ssh-add，遇到 Could not open a connection to your authentication agent.。

解决： 需要ssh-agent启动bash，或者说把bash挂到ssh-agent下面。

1 ssh免密码登陆及其原理

在现代密码体制中加密和解密是采用不同的穗搜密钥（公开密钥），也就是 密码系统，每个通信方均需要两个密钥，即公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要保密，而私钥是由个人自己持有，并且必须妥善保管和注意保密。

比如有两个用户Alice和Bob，Alice想把一段明文通过双钥加密的技术发敬做送给Bob，Bob有一对公钥（猜稿历锁）和私钥（钥匙），那么加密解密的过程如下：

---