本文介绍如何使用 go 标准库及官方扩展包(如 `golang.org/x/crypto/ssh` 和 `crypto/x509`)直接解析、生成和序列化 rsa 公私钥,支持 openssh、pem(openssl)等主流格式,无需外部工具或 c 依赖。
在 Go 生态中,原生支持多种密钥格式的互操作能力已相当成熟,但需明确各包职责边界:
- crypto/rsa 仅定义 *rsa.PrivateKey 和 *rsa.PublicKey 类型,不处理序列化;
- crypto/x509 负责 PEM 编码的 PKCS#1(BEGIN RSA PRIVATE KEY)和 X.509 公钥(BEGIN PUBLIC KEY)格式的编解码;
- golang.org/x/crypto/ssh 专用于 OpenSSH 格式(BEGIN OPENSSH PRIVATE KEY 及 ssh-rsa AAAA... 公钥字符串),并提供 ssh.ParseRawPrivateKey、ssh.MarshalPrivateKey 等核心函数。
✅ 读取 OpenSSH 私钥(推荐方式)
import (
"io/ioutil"
"golang.org/x/crypto/ssh"
)
data, _ := ioutil.ReadFile("id_rsa")
priv, err := ssh.ParseRawPrivateKey(data)
if err != nil {
panic(err)
}
// priv 是 *rsa.PrivateKey(若为 RSA 类型)✅ 生成并保存 PEM(OpenSSL)格式私钥
import (
"crypto/rand"
"crypto/rsa"
"encoding/pem"
"os"
)
key, _ := rsa.GenerateKey(rand.Reader, 2048)
block := &pem.Block{
Type: "RSA PRIVATE KEY",
Bytes: x509.MarshalPKCS1PrivateKey(key),
}
pem.Encode(os.Stdout, block) // 或写入文件✅ 解析 PEM 公钥并转为 SSH 字符串
data, _ := ioutil.ReadFile("pubkey.pem")
pubInterface, _ := x509.ParsePKIXPublicKey(data) // 支持 PKCS#8
pubKey, ok := pubInterface.(*rsa.PublicKey)
if !ok { panic("not RSA") }
sshPubKey, _ := ssh.NewPublicKey(pubKey)
fmt.Println(ssh.MarshalAuthorizedKey(sshPubKey)) // 输出 "ssh-rsa AAAA..."⚠️ 注意事项:
- GnuPG(GPG)私钥格式(-----BEGIN PGP PRIVATE KEY BLOCK-----)不被 Go 官方库原生支持,因其采用 OpenPGP 协议(RFC 4880),需借助第三方库如 github.com/ProtonMail/go-crypto/openpgp;
- x509 默认只处理 PKCS#1 和 PKCS#8,不支持 OpenSSH 的新格式(BEGIN OPENSSH PRIVATE KEY),必须用 x/crypto/ssh;
- 密钥导出时务必设置合理权限(如 0600),避免私钥泄露;
- 生产环境建议使用 ssh.ParsePrivateKeyWithPassphrase 处理带密码的私钥。
综上,Go 已具备完备的密钥格式互操作能力——优先选用 x/crypto/ssh 处理 SSH 场景,crypto/x509 处理证书与 PEM 流程,二者结合即可覆盖绝大多数密钥管理需求。
