Comment sont calculées les empreintes Lorsque vous utilisez la même paire de clés dans différentes régions Générer une empreinte digitale à partir de la clé privée

Vérifier l’empreinte de votre paire de clés

Pour vérifier l'empreinte de votre paire de clés, comparez l'empreinte affichée sur la page Paires de clés de la console Amazon EC2, ou renvoyée par la describe-key-pairscommande, avec l'empreinte que vous générez à l'aide de la clé privée sur votre ordinateur local. Ces empreintes doivent correspondre.

Lorsque Amazon EC2 calcule une empreinte, Amazon EC2 peut ajouter un remplissage à l’empreinte avec des caractères =. D’autres outils, tels que ssh-keygen, pourraient omettre ce remplissage.

Si vous essayez de vérifier l'empreinte digitale de votre instance Linux EC2, et non l'empreinte digitale de votre paire de clés, consultez la section Obtenir l’empreinte de l’instance.

Comment sont calculées les empreintes

Amazon EC2 utilise différentes fonctions de hachage pour calculer les empreintes des paires de clés RSA et ED25519. En outre, pour les paires de clés RSA, Amazon EC2 calcule les empreintes différemment en utilisant différentes fonctions de hachage selon que la paire de clés a été créée par Amazon EC2 ou importée dans Amazon EC2.

Le tableau suivant répertorie les fonctions de hachage utilisées pour calculer les empreintes pour les paires de clés RSA et ED25519 qui sont créées par Amazon EC2 et importées dans Amazon EC2.

(Instances Linux) Fonctions de hachage utilisées pour calculer les empreintes digitales
Source de paires de clés	Paires de clés RSA (Windows et Linux)	ED25519 paires de clés (Linux)
Créées par Amazon EC2	SHA-1	SHA-256
Importées dans Amazon EC2	MD5¹	SHA-256

¹ Si vous importez une clé publique RSA dans Amazon EC2, l’empreinte est calculée à l’aide d’une fonction de hachage MD5. Ceci est vrai quelle que soit la manière dont vous avez créé la paire de clés, par exemple, en utilisant un outil tiers ou en générant une nouvelle clé publique à partir d’une clé privée existante créée à l’aide d’Amazon EC2.

Lorsque vous utilisez la même paire de clés dans différentes régions

Si vous prévoyez d'utiliser la même paire de clés pour vous connecter à des instances situées dans des instances différentes Régions AWS, vous devez importer la clé publique dans toutes les régions dans lesquelles vous l'utiliserez. Si vous utilisez Amazon EC2 pour créer la paire de clés, vous pouvez Extraire le contenu de la clé publique afin d’importer la clé publique dans les autres régions.

Note

Si vous créez une paire de clés RSA à l’aide d’Amazon EC2 et que vous générez ensuite une clé publique à partir de la clé privée Amazon EC2, les clés publiques importées auront une empreinte digitale différente de celle de la clé publique d’origine. Cela est dû au fait que l'empreinte de la clé RSA d'origine créée à l'aide d'Amazon EC2 est calculée à l'aide d'une fonction de hachage SHA-1, tandis que l'empreinte des clés RSA importées est calculée à l'aide d'une fonction de hachage. MD5
Pour les paires de clés ED25519, les empreintes seront les mêmes, qu’elles soient créées par Amazon EC2 ou importées dans Amazon EC2, car la même fonction de hachage SHA-256 est utilisée pour calculer l’empreinte.

Générer une empreinte digitale à partir de la clé privée

Utilisez l’une des commandes suivantes pour générer une empreinte à partir de la clé privée sur votre machine locale.

Si vous utilisez une machine locale Windows, vous pouvez exécuter les commandes suivantes à l’aide de WSL (Windows Subsystem for Linux). Installez WSL et une distribution Linux en suivant les instructions fournies dans la section Comment installer Linux sur Windows avec WSL. L’exemple des instructions installe la distribution Ubuntu de Linux, mais vous pouvez installer n’importe quelle distribution. Vous êtes invité à redémarrer votre ordinateur pour que les modifications prennent effet.

Si vous avez créé la paire de clés à l’aide d’Amazon EC2

Utilisez les outils OpenSSL pour générer une empreinte comme indiqué dans les exemples suivants.

Pour les paires de clés RSA :
```
openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c
```
(instances Linux) Pour les paires de ED25519 clés :
```
ssh-keygen -l -f path_to_private_key
```
(Paires de clés RSA uniquement) Si vous avez importé la clé publique dans Amazon EC2

Vous pouvez suivre cette procédure quelle que soit la manière dont vous avez créé la paire de clés, par exemple, en utilisant un outil tiers ou en générant une nouvelle clé publique à partir d’une clé privée existante créée à l’aide d’Amazon EC2.

Utilisez les outils OpenSSL pour générer l’empreinte comme indiqué dans l’exemple suivant.
```
openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c
```
Si vous avez créé une paire de clés d’OpenSSH en utilisant OpenSSH 7.8 ou une version ultérieure et que vous avez importé la clé publique dans Amazon EC2

Utilisez ssh-keygen pour générer l’empreinte comme indiqué dans les exemples suivants.

Pour les paires de clés RSA :
```
ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c
```
(instances Linux) Pour les paires de ED25519 clés :
```
ssh-keygen -l -f path_to_private_key
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ajouter ou remplacer une clé publique sur votre instance Linux

Groupes de sécurité