Verificar a impressão digital do par de chaves
Para verificar a impressão digital do seu par de chaves, compare a impressão digital exibida na página Pares de chaves no console do Amazon EC2 ou a impressão digital retornada pelo comando describe-key-pairs com a impressão digital gerada usando a chave privada em seu computador local. Essas impressões digitais devem coincidir.
Quando o Amazon EC2 calcula uma impressão digital, ele pode incluir preenchimento na impressão digital com caracteres =
. Outras ferramentas, como ssh-keygen, podem omitir esse preenchimento.
Se você estiver tentando verificar a impressão digital da instância do Linux do EC2 em vez da impressão digital do par de chaves, consulte Obter a impressão digital da instância.
Como as impressões digitais são calculadas
O Amazon EC2 usa diferentes funções de hash para calcular as impressões digitais de pares de chaves RSA e ED25519. Além disso, para pares de chaves RSA, o Amazon EC2 calcula as impressões digitais de maneira diferente. O serviço usa funções diferentes de hash dependendo de o par de chaves ter sido criado pelo Amazon EC2 ou importado para o Amazon EC2.
A tabela a seguir lista as funções de hash usadas para calcular as impressões digitais para pares de chaves RSA e ED25519 que são criados pelo Amazon EC2 e importados para o Amazon EC2.
Fonte do par de chaves | Pares de chaves RSA (Windows e Linux) | Pares de chaves ED25519 (Linux) |
---|---|---|
Criado pelo Amazon EC2 | SHA-1 | SHA-256 |
Importado para o Amazon EC2 | MD5¹ | SHA-256 |
¹ Se você importar uma chave RSA pública para o Amazon EC2, a impressão digital será calculada usando uma função hash MD5. Isso continua sendo verdadeiro independentemente de como você tenha criado o par de chaves. Por exemplo, usando uma ferramenta de terceiros ou gerando uma nova chave pública com base em uma chave privada existente criada usando o Amazon EC2.
Ao usar o mesmo par de chaves em regiões diferentes
Se você planeja usar o mesmo par de chaves para se conectar a instâncias em diferentes Regiões da AWS, é necessário importar a chave pública para todas as regiões nas quais você a usará. Se usar o Amazon EC2 para criar o key pair, será possível Recuperar o material da chave pública de forma que você possa importar a chave pública para as outras regiões.
nota
-
Se você criar um par de chaves RSA usando o Amazon EC2 e gerar uma chave pública com base na chave privada do Amazon EC2, as chaves públicas importadas terão uma impressão digital diferente da chave pública original. Isso ocorre porque a impressão digital da chave RSA original criada usando o Amazon EC2 é calculada usando uma função de hash SHA-1, enquanto a impressão digital das chaves RSA importadas é calculada usando uma função de hash MD5.
-
Para pares de chaves ED25519, as impressões digitais serão as mesmas, independentemente de terem sido criadas pelo Amazon EC2 ou importadas para o Amazon EC2, porque a mesma função hash SHA-256 é usada para calcular a impressão digital.
Gerar uma impressão digital com base em uma chave privada
Use um dos seguintes comandos para gerar uma impressão digital com base na chave privada em sua máquina local.
Se estiver usando uma máquina local do Windows, poderá executar os comandos a seguir usando o Subsistema do Windows para Linux (WSL). Instale o WSL e uma distribuição do Linux usando as instruções do Guia de instalação do Windows 10
-
Se tiver criado o par de chaves usando o Amazon EC2
Use as ferramentas OpenSSL para gerar uma impressão digital como apresentado nos exemplos a seguir.
Para pares de chaves do RSA:
openssl pkcs8 -in
path_to_private_key
-inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c(Instâncias do Linux) Para pares de chaves ED25519:
ssh-keygen -l -f
path_to_private_key
-
(Somente pares de chaves RSA) Se você importou a chave pública para o Amazon EC2
Você pode seguir este procedimento independentemente de como criou o par de chaves, usando, por exemplo, uma ferramenta de terceiros ou gerando uma nova chave pública a partir de uma chave privada existente criada usando o Amazon EC2
Use as ferramentas OpenSSL para gerar a impressão digital como apresentado no exemplo a seguir.
openssl rsa -in
path_to_private_key
-pubout -outform DER | openssl md5 -c -
Se tiver criado um par de chaves OpenSSH usando o OpenSSH 7.8 ou posterior e importado a chave pública para o Amazon EC2
Use o ssh-keygen para gerar uma impressão digital como apresentado nos exemplos a seguir.
Para pares de chaves do RSA:
ssh-keygen -ef
path_to_private_key
-m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c(Instâncias do Linux) Para pares de chaves ED25519:
ssh-keygen -l -f
path_to_private_key