Paramiko 无法识别 ssh-keygen 生成的 SSH 密钥：“不是有效的 RSA 私钥文件”

Posted 2023-03-23

【中文标题】Paramiko 无法识别 ssh-keygen 生成的 SSH 密钥：“不是有效的 RSA 私钥文件”

【英文标题】：SSH key generated by ssh-keygen is not recognized by Paramiko: "not a valid RSA private key file"

【发布时间】：2019-09-20 19:47:17

【问题描述】：

我有以下代码：

ssh_key = paramiko.RSAKey.from_private_key_file(key_filename)

密钥如下所示：

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn
NhAAAAAwEAAQAAAQEAqdgmJ2AQlmvpCsDWjbpIvIrx4AwtKn2t10wmGZIN9pqcJgQpo3HD

并且有效：

 $ ssh-keygen -l -f <mykeyfile>
 $ 2048 SHA256:x8jlUAObU3q2KXRtuGpxwhnGvB/ZoeD2IUqSA1OkCmI thomas@Thomas-MBP-2017 (RSA)

但我收到以下错误：

不是有效的 RSA 私钥文件

这是在 MacOS、Python 2.7、Paramiko 2.4.2 上

我做错了什么？

【参考方案1】：

对于 OpenSSH 7.8 以上，你必须欺骗它。运行ssh-keygen -p [-f file] -m pem 据称更改密码，但重用旧密码。如果您想避免提示，请使用-P oldpw -N newpw，就像在脚本中一样，但要小心使您的密码对其他用户可见。作为副作用，这会以“旧”（与 OpenSSL 兼容，因此与 paramiko 兼容）格式重写密钥文件（如果不是 ed25519）。 （如果要保留新格式的文件，请先复制。）

对于旧版本的 OpenSSH，只需执行 ssh-keygen -p [-f file] 而不使用 -o。

此外，如果您拥有（或获得）它，那么从 0.69 开始的 PuTTY 套件中的 puttygen 实用程序支持这种格式。在 Unix 版本中，只需执行 puttygen newfmtfile -O private-openssh -o oldfmtfile（同样，ed25519 除外）。在 Windows 版本 AFAICT 中，您必须使用 GUI；加载 newfmtfile 并执行转换/导出 OpenSSH 密钥。

【讨论】：

ssh-keygen 手册页甚至建议使用 -p 进行转换。