Не могу подключиться по SSH к AWS. Что я делаю не так?

Question

[Мария]

Добрый день! Знаю, что данный вопрос уже обсуждался на сайте, но в другом направлении.
Подскажите, пожалуйста: не могу подключиться к серверу на AWS, т.к. спрашивает файл закрытого ключа.
Т.к. он зашифрован, мне AWS пишет ошибку:
"Error decrypting your password
Private key must begin with "-----BEGIN RSA PRIVATE KEY-----" and end with "-----END RSA PRIVATE KEY-----""
Что делать? Есть ключ, сохраненный после конвертации в OpenSSH в Putty, но он тоже не подходит...

Comments

[Мария]

https://serverfault.com/questions/603984/windows-p...
по этой ссылке нашла объяснение, но все равно непонятно, как и какую часть декодить.

[hint000]

Мария, там приводится два варианта
Первый:

base64 -d /tmp/file | openssl rsautl -decrypt -inkey /path/to/aws/private/key.pem

здесь /tmp/file - это исходный файл с ключем,
/path/to/aws/private/key.pem - это файл, куда будет записан результат.

Второй вариант, как я понял, выдёргивает ключ налету, но требует дополнительных утилитт (aws-cli и jq):

aws ec2 get-password-data "--instance-id=${instance_id}" | jq -r .PasswordData | base64 -D | openssl rsautl -decrypt -inkey ${my_key}

Пробуйте и если не получится, то уточняйте конкретно, что не получается (какие ошибки выводятся).

[Мария]

hint000, спасибо.
работаю с windows, есть aws-cli, но таким способом можно лишь вывести из индификатора пароль,а у меня первое подключение, т.е. ключи я создавала не с помощью aws, а с помощью putty и загрузила публичный. Теперь для первого соединения требуется расшифрованный пароль:
"an error occured when calling the GetPasswordData operations: AWS was not able to validate the provided access credentials".
Что, если сделать новые ключи и удалить старые? Не будет ли проблем с Instance?

[Мария]

hint000, может я putty не правильно настроила?

[Мария]

hint000, даже с WinSCP не получается войти...

Answer 1

[mrsaa]

Не очень понятно, новый у вас инстанс или уже был, как и куда вы добавили публичный ключ? Какой у вас инстанс на авс?
Но постараюсь пояснить логику процесса:
1. когда вы создаете инстанс, амазон предлагает сгенерировать или выбрать существующий ключ, этот ключ вам надо сохранить себе на диск.
2. амазон выдает ключ в формате pem и если его открыть в редакторе он начинается на -----BEGIN RSA PRIVATE KEY-----. На самом инстансе публичный сертификат уже зашит на этапе инсталяции.
3. Этот pem ключ можно непосредственно использовать при подключение из терминала (кстати говоря виндовс уже это тоже умеет) ssh -i путь_к_PEM_файлу логин@хост_или_ip
4. если вы хотите подключиться через путти, то PEM ключ надо конвертировать в PPK ключ. Вам надо сохранить именно приватный ключ, тк публичный уже есть на самом сервере. Инструкция как конвертировать по ссылке

Answer 2

[Евгений Хлебников]

Давайте уточним что понятно из вашего вопроса:
1. Вы пытаетесь подключиться к windows (поскольку при подключении к Linux нет этапа "расшировка пароля")
2. Вы пытаетесь подключиться по SSH (или все же RDP?)
3. Вам не удается расшифровать пароль инстанса "на лету", поскольку у вас зашифрован ключ

Попробуйте следующее:
1. ваш приватный ключ putty сконвертировать в Openssh без пароля
2. удостовериться, что получившийся файл (открывается любым текстовым редактором) удовлетворяет условиям
Private key must begin with "-----BEGIN RSA PRIVATE KEY-----" and end with "-----END RSA PRIVATE KEY-----""
То есть

• есть эти фразы
  
• отсутствует слово encrypted
  

3. При расшифровке выберите этот файл.