如何对 SSH 和 SSL（https）使用相同的密钥

Question 1

TL;DR摘要：如果您有 SSL/X.509 证书+密钥，只需将私钥文件提供给ssh。或者，如果您已经在中拥有 SSH 密钥id_rsa，则只需在签署 CSR 时将其与 OpenSSL 一起使用即可。就这样。

假设您有一个用户的 SSL 证书，joeuser.pem并且其私钥在joeuser.key。

由于 X.509 使用标准 RSA 密钥，SSH 也是如此，您应该能够直接告诉您的 SSH 客户端使用joeuser.key——唯一的要求是它必须采用可理解的格式。

看看里面的东西joeuser.key是否看起来像这样：

-----开始 RSA 私钥-----
MGECAQACEQCxQaFwijLYlXTOlwqnSW9PAgMBAAECEETwgqpzhX0IVhUa0OK0tgkC
CQDXPo7HDY3axQIJANLRsrFxClMDAghaZp7GwU2T1QIIMlVMo57Ihz8CCFSoKo3F
2 升/2
-----结束 RSA 私钥-----

在开放SSL，此格式称为“PEM”（如-outform pem）并默认使用。OpenSSH，即可使用ssh -i joeuser.key进行连接。

您可以提取民众以OpenSSHid_rsa.pub格式输入密钥（用于输入authorized_keys）：

ssh-keygen -y -f joeuser.key > joeuser-ssh.pub

（可以使用提取 PEM 格式的相同公钥openssl rsa -pubout，但用处不大。）

如果你有 DSA 密钥，它应该工作原理与 RSA 完全相同。

Answer

TL;DR摘要：如果您有 SSL/X.509 证书+密钥，只需将私钥文件提供给ssh。或者，如果您已经在中拥有 SSH 密钥id_rsa，则只需在签署 CSR 时将其与 OpenSSL 一起使用即可。就这样。

假设您有一个用户的 SSL 证书，joeuser.pem并且其私钥在joeuser.key。

由于 X.509 使用标准 RSA 密钥，SSH 也是如此，您应该能够直接告诉您的 SSH 客户端使用joeuser.key——唯一的要求是它必须采用可理解的格式。

看看里面的东西joeuser.key是否看起来像这样：

-----开始 RSA 私钥-----
MGECAQACEQCxQaFwijLYlXTOlwqnSW9PAgMBAAECEETwgqpzhX0IVhUa0OK0tgkC
CQDXPo7HDY3axQIJANLRsrFxClMDAghaZp7GwU2T1QIIMlVMo57Ihz8CCFSoKo3F
2 升/2
-----结束 RSA 私钥-----

在开放SSL，此格式称为“PEM”（如-outform pem）并默认使用。OpenSSH，即可使用ssh -i joeuser.key进行连接。

您可以提取民众以OpenSSHid_rsa.pub格式输入密钥（用于输入authorized_keys）：

ssh-keygen -y -f joeuser.key > joeuser-ssh.pub

（可以使用提取 PEM 格式的相同公钥openssl rsa -pubout，但用处不大。）

如果你有 DSA 密钥，它应该工作原理与 RSA 完全相同。

Question 2

OpenSSH 在这里对 x509 证书进行了实验性支持：

http://roumenpetrov.info/openssh

您可以为每个用户颁发一个 x509 证书并将其用于两者。

您可以指定用户证书的允许 DN，而不是将用户公钥放在其 authorized_keys 中；并且您必须配置 Web 服务器/Web 应用程序，以便将 DN 转换为用户名。

Answer