验证您的密钥对的指纹 - Amazon Elastic Compute Cloud
指纹如何计算在不同区域使用相同的密钥对时从私有密钥生成指纹
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

验证您的密钥对的指纹

要验证您的密钥对的指纹,请将在 Amazon EC2 控制台的密钥对页面上显示的或由 describe-key-pairs 命令返回的指纹与您在本地计算机上使用私有密钥生成的指纹进行比较。这些指纹应该一致。

当 Amazon EC2 计算指纹时,Amazon EC2 可能会用 = 字符在指纹上添加填充。ssh-keygen 等其他工具可能会省略此填充。

指纹如何计算

Amazon EC2 使用不同的哈希函数以不同方式计算指纹,具体取决于密钥对是由 Amazon EC2 创建还是导入到 Amazon EC2 的。

下表所列的哈希函数用于计算由 Amazon EC2 创建以及导入到 Amazon EC2 的 RSA 密钥对的指纹。

用于计算指纹的哈希函数
密钥对来源 RSA 密钥对
由 Amazon EC2 创建 SHA-1
导入到 Amazon EC2 MD5¹

¹ 如果您将公有的 RSA 密钥导入到 Amazon EC2,系统会使用 MD5 哈希函数计算指纹。无论您如何创建密钥对(例如,通过使用第三方工具或者从使用 Amazon EC2 创建的现有私有密钥生成新的公有密钥),都是如此。

在不同区域使用相同的密钥对时

如果您计划使用相同的密钥对连接到不同 Amazon Web Services 区域 中的实例,必须将公有密钥导入到将在其中使用公有密钥的所有区域。如果使用 Amazon EC2 创建密钥对,您可以 检索公有密钥材料 以便将公有密钥导入到其他区域。

注意

如果您使用 Amazon EC2 创建 RSA 密钥对,然后从 Amazon EC2 私有密钥生成公有密钥,则导入的公有密钥的指纹将与原始公有密钥不同。这是因为使用 Amazon EC2 创建的原始 RSA 密钥的指纹是使用 SHA-1 哈希函数计算的,而导入的 RSA 密钥的指纹则使用 MD5 哈希函数计算。

从私有密钥生成指纹

使用以下命令之一可从本地机器上的私有密钥生成指纹。

如果您使用的是 Windows 本地计算机,您可以使用 Windows Subsystem for Linux (WSL) 运行以下命令。按照 Windows 10 安装指南中的说明执行操作来安装 WSL 和 Linux 发行版。说明中的示例安装的是 Linux 的 Ubuntu 发行版,但您可以安装任意发行版。系统会提示您重新启动电脑以使更改生效。

  • 如果您使用 Amazon EC2 创建密钥对

    如以下示例中所示,使用 OpenSSL 工具生成指纹。

    openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

  • 如果您将公有密钥导入 Amazon EC2

    无论密钥对的创建方式如何(例如,使用第三方工具或者从使用 Amazon EC2 创建的现有私有密钥生成新的公有密钥),都可以遵循此过程。

    如以下示例中所示,使用 OpenSSL 工具生成指纹。

    openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c

  • 如果您使用 OpenSSH 7.8 或更高版本创建 OpenSSH 密钥对,并将公有密钥导入到 Amazon EC2

    如以下示例中所示,使用 ssh-keygen 生成指纹。

    ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c