即使使用正确的私钥，Windows 密码也不会在 AWS EC2 上解密

AWS EC2 的密钥管理无法处理设置了密码（加密）的 SSH 私钥。它没有检测到这一点，并且只是失败并出现无意义的错误。

如果您的私钥以加密方式存储在磁盘上（应该是，IMO），您必须将其解密以将其粘贴到 AWS 的控制台中。

与其这样做，不如考虑在本地解密密码，这样您就不必将私钥发送到 AWS。启动后从服务器日志中获取加密后的密码数据（base64 编码），或者使用get-password-data或相应的 API 请求。

然后，您可以对结果进行 base64 解码和解密：

base64 -d /tmp/file | openssl rsautl -decrypt -inkey /path/to/aws/private/key.pem

（OpenSSH 私钥被 接受openssl rsautl）。

无法使用有用错误处理受密码保护的密钥的问题也会影响ec2-get-password命令。

也可以看看：

• EC2 Windows - 获取管理员密码
• 使用 OpenSSL 解密密码
• AWS 论坛上的错误报告- 请加入。

这在 macOS 中对我有用：

openssl rsa -in $HOME/.ssh/aws-remote -out /Users/home/desktop/unencrypted-rsa.txt

请注意，您可以通过查找以下行来判断您的 .pem 文件是否使用密码加密。如果存在，您需要在将其与 Amazon 一起使用之前对其进行解密：

Proc-Type: 4,ENCRYPTED

如果不使用 jq，这仍然是可能的，但需要对返回的数据进行一些额外的解析。

aws ec2 get-password-data "--instance-id=${instance_id}" --query 'PasswordData' | sed 's/\"\\r\\n//' | sed 's/\\r\\n\"//' | base64 -D | openssl rsautl -inkey ${my_key} -decrypt

在我的 Mac 上，base64 的命令行参数是不同的。

这对我有用：

base64 -D -i /tmp/file | openssl rsautl -decrypt -inkey /path/to/key.pem

最直接的选项在于上面发布的get-password AWS 文档链接：

aws ec2 get-password-data --instance-id  i-1234567890abcdef0 --priv-launch-key C:\Keys\MyKeyPair.pem

另外，请考虑到这一点：

重要的

私钥必须采用 PEM 格式。例如，使用 ssh-keygen -m PEM 生成 PEM 格式的 OpenSSH 密钥。

1. 转到 ec2 仪表板
2. 删除现有密钥
3. 创建一个新的密钥对
4. 选择一个名字
5. 下载并保存在本地
6. 启动实例并下载您的 Windows 实例副本
7. 使用步骤 4 中使用的名称命名新的密钥对
8. 使用这个新生成的密钥来解密密码

这会起作用