Das Windows-Kennwort wird auf AWS EC2 auch mit dem richtigen privaten Schlüssel nicht entschlüsselt

Ich habe unter AWS EC2 eine neue Windows-Instanz mit einem Schlüsselpaar erstellt, das ich durch Hochladen meines öffentlichen Schlüssels von meinem lokalen Computer erstellt habe.

Die Instanz wurde ordnungsgemäß gestartet, das Kennwort wird jedoch nicht entschlüsselt. Es berichtet:

Ich bin sicher, dass ich den richtigen Schlüssel hochgeladen habe. Ich habe überprüft, ob die Fingerabdrücke mit dem von AWS verwendeten seltsamen Fingerabdruckformat übereinstimmen . Aber es wird einfach nicht entschlüsselt.

Ich habe versucht, die Schlüsseldatei hochzuladen und in das Formular einzufügen.

Irgendwann habe ich herausgefunden, dass die nachgestellte Zeile nicht entfernt wird, und die leere Zeile im Schlüssel gelöscht. Das bringt mich nur zu einem neuen Fehler, wenn ich auf "Passwort entschlüsseln" klicke:

Die Schlüsselverwaltung von AWS EC2 funktioniert nicht mit privaten SSH-Schlüsseln, für die Kennwörter festgelegt (verschlüsselt) sind. Es erkennt dies nicht und schlägt einfach mit einem nicht informativen Fehler fehl.

Wenn Ihr privater Schlüssel verschlüsselt auf der Festplatte gespeichert ist (wie es IMO sein sollte), müssen Sie ihn entschlüsseln, um ihn in die AWS-Konsole einzufügen.

Ziehen Sie stattdessen in Betracht, das Kennwort lokal zu entschlüsseln, damit Sie Ihren privaten Schlüssel nicht an AWS senden müssen. Rufen Sie die verschlüsselten Kennwortdaten (base64-codiert) nach dem Start aus dem Serverprotokoll ab oder verwenden Sie get-password-data oder die entsprechenden API-Anforderungen.

Sie können das Ergebnis dann mit base64 dekodieren und entschlüsseln:

base64 -d /tmp/file | openssl rsautl -decrypt -inkey /path/to/aws/private/key.pem

(Private OpenSSH-Schlüssel werden von akzeptiert. openssl rsautl)

Das Problem, dass kennwortgeschützte Schlüssel nicht mit einem nützlichen Fehler behandelt werden, wirkt sich auch auf den ec2-get-passwordBefehl aus .

Siehe auch:

• EC2 Windows - Administratorkennwort abrufen
• Passwort mit OpenSSL entschlüsseln
• Fehlerbericht in AWS-Foren - bitte melden Sie sich.

Ohne die Verwendung von jq ist dies weiterhin möglich, erfordert jedoch ein zusätzliches Parsen der zurückgegebenen Daten.

aws ec2 get-password-data "--instance-id=${instance_id}" --query 'PasswordData' | sed 's/\"\\r\\n//' | sed 's/\\r\\n\"//' | base64 -D | openssl rsautl -inkey ${my_key} -decrypt

Das hat bei mir unter macOS funktioniert:

openssl rsa -in $HOME/.ssh/aws-remote -out /Users/home/desktop/unencrypted-rsa.txt

Beachten Sie, dass Sie anhand der folgenden Zeile feststellen können, ob Ihre PEM-Datei mit einem Kennwort verschlüsselt ist. Wenn es vorhanden ist, müssen Sie es entschlüsseln, bevor Sie es mit Amazon verwenden können:

Proc-Type: 4,ENCRYPTED

Auf meinem Mac unterscheiden sich die Befehlszeilenargumente für base64.

Das hat bei mir funktioniert:

base64 -D -i /tmp/file | openssl rsautl -decrypt -inkey /path/to/key.pem

1. Gehe zum ec2 Dashboard
2. Löschen Sie den vorhandenen Schlüssel
3. Erstellen Sie ein neues Schlüsselpaar
4. wähle einen Namen
5. Laden Sie es herunter und bewahren Sie es lokal auf
6. starte die Instanz und lade deine Kopie der Windows-Instanz herunter
7. Benennen Sie das neue Schlüsselpaar mit dem in Schritt 4 verwendeten Namen
8. Verwenden Sie diesen neu generierten Schlüssel, um das Kennwort zu entschlüsseln

das wird funktionieren