我之前在对接GCP IoT Core生成RSA签名的JWT时，也碰到过一模一样的错误！这个问题90%以上都是因为私钥格式不对或者代码读取私钥时没正确处理PEM文件的头部/尾部导致的，下面给你一步步排查和解决的方法：

1. 先检查你的RSA私钥文件格式 #

确保你的rsa_private.pem是标准的PEM格式：

• 必须包含明确的头部和尾部：

  -----BEGIN RSA PRIVATE KEY-----
  （Base64编码的密钥内容）
  -----END RSA PRIVATE KEY-----
  或者如果是PKCS#8格式的话，头部尾部是-----BEGIN PRIVATE KEY-----和-----END PRIVATE KEY-----

• 密钥内容部分不能有多余的空格、换行错误，或者被截断的情况

如果你的私钥是从GCP控制台下载的，一般是没问题的，但如果是自己生成或者转换过的，可能格式出问题了。可以用OpenSSL命令验证：

openssl rsa -in rsa_private.pem -check

如果命令返回RSA key ok，说明格式没问题；否则需要重新生成或转换。

2. 修正代码里读取私钥的逻辑 #

GCP官网的示例代码有时候可能没做完整的PEM格式处理，你需要手动去除头部、尾部以及所有空白字符，再进行Base64解码。这里给你一个可靠的私钥读取方法：

import java.nio.file.Files;
import java.nio.file.Paths;
import java.security.KeyFactory;
import java.security.PrivateKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.Base64;

private static PrivateKey loadRsaPrivateKey(String privateKeyFilePath) throws Exception {
    // 读取文件内容并清理格式
    String privateKeyContent = new String(Files.readAllBytes(Paths.get(privateKeyFilePath)))
            .replace("-----BEGIN RSA PRIVATE KEY-----", "")
            .replace("-----END RSA PRIVATE KEY-----", "")
            .replaceAll("\\s", ""); // 去掉所有换行、空格、制表符

    // Base64解码并生成私钥对象
    byte[] decodedKey = Base64.getDecoder().decode(privateKeyContent);
    PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(decodedKey);
    KeyFactory keyFactory = KeyFactory.getInstance("RSA");
    return keyFactory.generatePrivate(keySpec);
}

注意：如果你的私钥是PKCS#8格式的，把上面的BEGIN RSA PRIVATE KEY和END RSA PRIVATE KEY换成BEGIN PRIVATE KEY和END PRIVATE KEY即可。

3. 转换私钥为PKCS#8格式（可选但推荐） #

Java的KeyFactory对PKCS#8格式的私钥支持更好，如果你的私钥是传统的RSA格式，建议用OpenSSL转换成PKCS#8：

openssl pkcs8 -topk8 -inform PEM -outform PEM -in rsa_private.pem -out rsa_private_pkcs8.pem -nocrypt

然后把代码里的私钥路径换成这个转换后的rsa_private_pkcs8.pem，再试试。

4. 确认文件路径正确性 #

最后再检查一下你的PRIVATE_KEY_FILE_PATH是否完整且正确，比如你示例里的路径是截断的，要确保没有拼写错误，文件确实存在于指定路径下（可以用Files.exists(Paths.get(privateKeyFilePath))来验证）。

按照上面的步骤来，基本就能解决这个invalid key format的问题了！

内容的提问来源于stack exchange，提问作者Craig D