blacksun
31.08.2020
view4840
view11
0
Goto Top

Private RSA Key in OpenSSH-Key konvertieren - geht das?

gelöstFrageSicherheitVerschlüsselung, Zertifikate
Hallo,

ich habe mit easy-RSA eine PKI mit selbstsignierter CA aufgebaut.
Nun möchte ich nicht eine komplett neue PKI für SSH pflegen, sondern stattdessen die Keys und Certifikate auch als Basis für OpenSSH nutzen.

Kann ich einen mit easy-rsa erzeugten private Key für einen Client in einen private-key konvertieren wie ihn SSH benötigt?
Wenn ja, wie mache ich das am besten?

Vielen Dank schonmal.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 600858

Url: https://administrator.de/forum/private-rsa-key-in-openssh-key-konvertieren-geht-das-600858.html

Ausgedruckt am: 16.02.2025 um 19:02 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
erikro
erikro 31.08.2020 um 18:19:07 Uhr
Goto Top
Moin,

ich kenne easy-RSA nicht. Aber wenn das Schlüsselpaare im RSA-Format erzeugt, dann kann man die imho einfach so auch für ssh nehmen.

Liebe Grüße

Erik
aqui
aqui 01.09.2020 aktualisiert um 08:42:16 Uhr
Goto Top
ich kenne easy-RSA nicht.
Sollte man eigentlich... Ist in jedem OpenVPN Package immer mit dabei. Guckst du HIER ! face-wink

Entweder das oder du kannst sie mit OpenSSL einfach konvertieren.
blacksun
blacksun 01.09.2020 um 18:53:12 Uhr
Goto Top
Zitat von @aqui:
Entweder das oder du kannst sie mit OpenSSL einfach konvertieren.

wie lautet denn die Syntax?
Bei den Ergebnissen einer Google-Recherche ging es immer nur darum vom OpenSSL-Format in RSA.
Ich benötige es umgekehrt.
Den öffentlichen Key habe ich schon aus dem RSA-Cert herausbekommen.
Jetzt benötige ich noch den Private-Key in OpenSSL konvertiert.
aqui
aqui 01.09.2020 um 19:00:21 Uhr
Goto Top
https://openvpn.net/faq/how-do-i-use-a-client-certificate-and-private-ke ...
Clientverbindung OpenVPN Mikrotik
usw.
blacksun
blacksun 02.09.2020 um 12:28:39 Uhr
Goto Top
da geht es aber um OpenVPN.
darum geht es mir nicht. Da ist alles fertig eingerichtet und funktioniert.

Ich möchte aus dem private.key oder meinetwegen private.pem einen OpenSSH-Privatekey machen.
Hier hat jemand anderer genau das auch gefragt:
https://stackoverflow.com/questions/61730432/how-to-convert-rsa-private- ...
145916
Lösung 145916 02.09.2020 aktualisiert um 13:25:57 Uhr
Goto Top
openssl rsa -in /path/private.key -out /path/private_rsa.key
Fertig.

Das wandelt einen PEM private Key in einen RSA Key (OpenSSH kompatibel) um mit folgendem Header
-----BEGIN RSA PRIVATE KEY-----
und den kann man mit SSH auch problemlos nutzen. Normale PEM Keys gehen aber auch out of the box. Eine Umwandlung ist also in der Regel nicht nötig

Dann kannst du den Key mit ssh-add /path/private_rsa.key dem ssh agent hinzufügen und dich damit per SSH connecten.
blacksun
blacksun 03.09.2020 aktualisiert um 15:54:38 Uhr
Goto Top
Zitat von @145916:

> openssl rsa -in /path/private.key -out /path/private_rsa.key
>
Fertig.

genau das war das was ich benötigt habe.
Vielen Dank.

Die Umwandlung in's Putty-Format hat auch funktioniert.

Wenn man ssh-keygen noch über den key laufen lässt, z. B. ssh-keygen -p -f <dateiname>
dann steht im Beginn und Endstring auch ein
OPENSSH PRIVATE KEY

Zitat von @145916:
und den kann man mit SSH auch problemlos nutzen. Normale PEM Keys gehen aber auch out of the box. Eine Umwandlung ist also in der Regel nicht nötig

das habe ich nicht getestet da ich in wirklich jeder Anleitung gelesen habe dass man Keys im OpenSSH-Format benötigt.

Zitat von @145916:
Dann kannst du den Key mit ssh-add /path/private_rsa.key dem ssh agent hinzufügen und dich damit per SSH connecten.

Danke für den Tipp. Weißt Du wo der Agent die privaten Keys dann speichert?

2 Fragen noch zu SSH:
- könnte ich die authorized_keys Datei aus dem Homedir auch an einen Ort verlegen so dass die für alle User-IDs genutzt werden kann?
- schützen mich der Key-Login bzw. die Signaturmeldung am Client vor Man-in-the-Middle angriffen bzw. das Aufbrechen der Verschlüsselung?
145916
145916 03.09.2020 aktualisiert um 16:07:56 Uhr
Goto Top
Zitat von @blacksun:
das habe ich nicht getestet da ich in wirklich jeder Anleitung gelesen habe dass man Keys im OpenSSH-Format benötigt.
Funktioniert aber face-smile.

Zitat von @145916:
Dann kannst du den Key mit ssh-add /path/private_rsa.key dem ssh agent hinzufügen und dich damit per SSH connecten.

Danke für den Tipp. Weißt Du wo der Agent die privaten Keys dann speichert?
Der agent lädt Keys nur in den RAM, speichern musst du sie schon selbst. Im entsprechenden Verzeichnis abgelegt lädt der Agent die Identität automatisch.
Lesen hilft wie immer gegen Kopfschmerzen face-wink https://linux.die.net/man/1/ssh-add

2 Fragen noch zu SSH:
- könnte ich die authorized_keys Datei aus dem Homedir auch an einen Ort verlegen so dass die für alle User-IDs genutzt werden kann?
Ja, in der sshd_config in die enstprechende Direktive AuthorizedKeysFile den Pfad eintragen
https://linux.die.net/man/5/sshd_config

- schützen mich der Key-Login bzw. die Signaturmeldung am Client vor Man-in-the-Middle angriffen bzw. das Aufbrechen der Verschlüsselung?
Nur wenn du ausschließlich deine eigenen Hostkeys bei Verbindungen akzeptierst.
blacksun
blacksun 03.09.2020 um 16:54:08 Uhr
Goto Top
Zitat von @145916:
Der agent lädt Keys nur in den RAM, speichern musst du sie schon selbst. Im entsprechenden Verzeichnis abgelegt lädt der Agent die Identität automatisch.
Lesen hilft wie immer gegen Kopfschmerzen face-wink https://linux.die.net/man/1/ssh-add

alles klar.
Das mit dem RAM steht aber nicht in der Man-Page

Ja, in der sshd_config in die enstprechende Direktive AuthorizedKeysFile den Pfad eintragen
https://linux.die.net/man/5/sshd_config

habe ich gelesen und gesehen.
Da die Beispiele dort aber ausschließlich Homedirs zeigen war mir nicht klar ob es zwingend Homedirs sein müssen.
Damit ich einen passenden Ort für AuthorizedKeysFile suchen kann, muss der User, mit dem der Login erfolgt, auf das File zugreifen können, oder der User unter dem der SSHd läuft?

Nur wenn du ausschließlich deine eigenen Hostkeys bei Verbindungen akzeptierst.
jep, genau so habe ich das vor.
bei stunnel kann man das mit VerifyChain schön automatisieren.
Bei ssh bleibt nur der manuelle Abgleich der Signatur, oder?
145916
145916 03.09.2020 aktualisiert um 18:28:26 Uhr
Goto Top
Zitat von @blacksun:
Da die Beispiele dort aber ausschließlich Homedirs zeigen war mir nicht klar ob es zwingend Homedirs sein müssen.
Nein müssen es nicht.
Damit ich einen passenden Ort für AuthorizedKeysFile suchen kann, muss der User, mit dem der Login erfolgt, auf das File zugreifen können, oder der User unter dem der SSHd läuft?
Der Account unter dem der sshd Daemon läuft muss Leserechte auf das File haben, das reicht.
Bei ssh bleibt nur der manuelle Abgleich der Signatur, oder?
Nein, der SSH Client verbindet sich ohne weitere Parameterangabe von selbst nur mit den Hosts dessen Public Key du schon in der ~/.ssh/known_hosts auf dem Client abgespeichert hast. Ansonsten verweigert er die Verbindung, bzw. fragt danach.

Das Gegenteilige für den Hostkey-Check erreicht man über das setzen der Option
-o "StrictHostKeyChecking no"
bei einer Client-Verbindung werden wenn man das mal braucht. Setzt man diese Option verbindet sich der SSH Client mit jedem Server ohne Check des HostKeys.
blacksun
blacksun 03.09.2020 um 17:43:09 Uhr
Goto Top
Zitat von @145916:
Nein, der SSH Client verbindet sich ohne weitere Parameterangabe von selbst nur mit den Hosts dessen Public Key du schon in der ~/.ssh/known_hosts auf dem Client abgespeichert hast. Ansonsten verweigert er die Verbindung.

Das Gegenteilige für den Hostkey-Check erreicht man über das setzen der Option
-o "StrictHostKeyChecking no"
bei einer Client-Verbindung werden wenn man das mal braucht. Setzt man diese Option verbindet sich der SSH Client mit jedem Server ohne Check des HostKeys.

und schon wieder habe ich was gelernt.
gut dass du es erwähnt hast.
unter Raspian steht der Parameter als default auf ask
gelöstFrageSicherheitVerschlüsselung, Zertifikate
Mehr von blacksunblacksunIn Windows gespeicherte Anmeldedaten prüfen ob noch gültigblacksun - 7 KommentareblacksunRegistry abfragen, Pfad enthält Umlaute, kaufmännisches "und" sowie Leerzeichenblacksun - 12 KommentareblacksunNetworkManager-Dispatcher: ERROR Duplicate address assigned in the networkblacksun - 6 KommentareblacksunVPN-Gateway für ein einzelnes Gerät im Heimnetz mit rPiblacksun - 13 Kommentare
Heiß diskutiert
NordlichtleinHPE Server G10 - Grundeinstellungen falsch?Nordlichtlein - 33 KommentareYan2021Welche externe Festplatte für Dauerbetrieb am PC?Yan2021 - 33 KommentareStefanKittelSupportmeldungen durch User des GrauensStefanKittel - 32 KommentarexxrupiUSB-Sticks, SD-Karten, USB-HDDs werden im Explorer nicht angezeigtxxrupi - 27 KommentareMasterOfInternet6860 5G und 7590 (ohne AX) verbinden für Außenzugriff auf Datenträger an 7590MasterOfInternet - 26 KommentareMysticFoxDETandberg Data GmbH - Insolvenzverfahren zum 01.01.2025 eröffnetMysticFoxDE - 25 KommentareSalterisWindows Server auf Desktop PCSalteris - 23 KommentareDape95Silent Servergehäuse - HitzestauDape95 - 22 KommentareFrankAktuelle Veränderungen und neue ForenFrank - 21 Kommentaresv1990enWebsite wird auf iPad nicht korrekt dargestelltsv1990en - 20 KommentarejimmmyNötige Bandbreite des Internetanbieters berechnenjimmmy - 20 KommentareSinzalExchange 2019: Mail mit Empfänger mit Domain der internen Adressen nach "draußen" sendenSinzal - 19 KommentarePeterzOffice 2024 LTSC UpdatesPeterz - 17 Kommentare