ssh-keygen으로 생성한 개인키/공개키 파일을 각각 PKCS8/PEM 형식으로 변환하는 방법
SSH 사용을 위해 보통 ssh-keygen 도구를 이용해 개인키/공개키 파일을 생성하게 되는데요,
c:\temp> ssh-keygen -t rsa -b 4096 -f .\id_rsa
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in .\id_rsa.
Your public key has been saved in .\id_rsa.pub.
The key fingerprint is:
SHA256:l5Tuxao...UYCFHtg testusr@TESTPC
The key's randomart image is:
+---[RSA 4096]----+
| o+ o +o.. |
|oo.o E. . . |
|ooo +..o o |
|.. =..+ .o o |
|. . o.oS = + |
| + oo+o.+ = |
| . .oo=. + |
| +..oo . |
| .oo. . |
+----[SHA256]-----+
c:\temp>
이렇게 생성한 id_rsa, id_rsa.pub 파일의 내용은 각각 다음과 같은 내용을 갖습니다.
c:\temp> type id_rsa
-----BEGIN RSA PRIVATE KEY-----
MIIJKgIBAAKCAgEAz849b+b4pKd2Gk34NOCPF+zuO9jG6E+pL+ZXzUFAXJfh1fGB
...[생략]...
1JzXJK0bWJ4p81eTEq6SFrmZVX0ZR/5M6wQ/x2WsKszZQ/OIoLO9mCKrDnsd/w==
-----END RSA PRIVATE KEY-----
c:\temp> type id_rsa.pub
ssh-rsa AAAAB3NzaC1y..[생략]...WL7RfggwYsUmOQ== tester@TESTPC
자, 그럼 우선 개인키 파일 먼저 PKCS8 형식으로 변환해 볼까요? ^^ 이를 위해 간단하게 openssl.exe를 사용할 수 있습니다.
C:\temp> openssl pkcs8 -topk8 -nocrypt -in id_rsa -out id_rsa.pkcs8
C:\temp> type id_rsa.pkcs8
-----BEGIN PRIVATE KEY-----
MIIJRAIBADANBgkqhkiG9w0BAQEFAASCCS4wggkqAgEAAoICAQDPzj1v5vikp3Ya
...[생략]...
/kzrBD/HZawqzNlD84igs72YIqsOex3/
-----END PRIVATE KEY-----
보는 바와 같이 "BEGIN RSA PRIVATE KEY"/"END RSA PRIVATE KEY" 쌍이 "BEGIN PRIVATE KEY"/"END PRIVATE KEY" 쌍으로 바뀌었습니다.
그리고, 공개키 파일 역시 PEM 포맷으로 openssl.exe를 이용해 다음과 같이 변경할 수 있습니다.
c:\temp> openssl rsa -in id_rsa -pubout -out id_rsa.pub.pem
c:\temp> type id_rsa.pub.pem
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDKMBt0kFhB3yc9BG6c9D7LkeEH
...[생략]...
BwpKZWMf67orcyJvIQIDAQAB
-----END PUBLIC KEY-----
참고로, openssl을 이용해 생성한 개인키 역시 저 방식과 유사한 과정을 거쳐 pkcs8/pem 포맷으로 변경하는 것이 가능합니다. 우선, 개인키를 다음과 같이 생성하면,
C:\temp> openssl genrsa -out id_rsa.pem 1024
C:\temp> type id_rsa.pem
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQDNJP8Y6qKBJdeZ9CBUufD0LXtTmyNTlQvuum38G+7+MYgpp/WA
...[생략]...
UNIXUZ4MOyijb2DPLolpCBsrPjxEGIr3iHXZYALcNq998w==
-----END RSA PRIVATE KEY-----
이 파일은 ssh-keygen을 이용해 생성한 id_rsa 파일과 동일한 "BEGIN RSA PRIVATE KEY"/"END RSA PRIVATE KEY" 쌍의 형식을 띠고 있으므로 위에서 이미 설명했던 "openssl pkcs8 -topk8 -nocrypt -in ..." 명령어를 이용해 "BEGIN PRIVATE KEY"/"END PRIVATE KEY" 쌍의 pkcs8 포맷으로 바꿀 수 있습니다.
그리고 보는 바와 같이 openssl은 별도의 공개키 파일을 생성해 주지 않으므로 다음과 같은 절차를 거쳐 개인키로부터 PEM 포맷의 공개키 파일을 구할 수 있습니다.
C:\temp> openssl req -newkey rsa:1024 -x509 -key id_rsa.pem -out id_rsa_pub.cer -days 365
C:\temp> type id_rsa_pub.cer
-----BEGIN CERTIFICATE-----
MIICeDCCAeGgAwIBAgIJAOhRZGwyoUUfMA0GCSqGSIb3DQEBBQUAMFUxCzAJBgNV
...[생략]...
V0xJmS8tWx60cv61
-----END CERTIFICATE-----
C:\temp> openssl x509 -pubkey -noout -in id_rsa_pub.cer > id_rsa_pub.pem
C:\temp> type id_rsa_pub.pem
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1lIa+momVo88Pc9bHmrlRG3DS
...[생략]...
2RZlKI/NQflK9vvtBQIDAQAB
-----END PUBLIC KEY-----
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]