还剩3页未读,继续阅读
文本内容:
公钥管理故障排查—、开始公钥问题定位故障的思路是查看本地是否创建生成了符合要求的非对称密钥对,对于需要使用远端主机公钥的,还需要进一步排查预先配置的远端主机公钥信息是否正确
1、查看本地非对称密钥对查看本端设备当前是否存在本地RSA/DSA密钥对命令display public-key localrsa publicdisplay public-key localdsapublic若执行命令后,命令行界面上无任何对应输出,则说明系统当前没有生成相应的非对称密钥对例如通过命令查看当前设备的RSA密钥对H3C displaypublic-key localrsa publicTime ofKey paircreated03:11192013/05/02Key nameHOST.KEY Keytype RSAEncryption KeyKey codeTime ofKey paircreated03:11212013/05/02Key nameSERVER.KEY Keytype RSAEncryption KeyKey code
2、查看远程主机公钥信息查看本端是否正确配置了远程主机的公钥信息命令displaypublic-key peername XXX版权所有:杭州华三通信技术有限公司例如通过命令查看当前系统中配置的名称为“rsjpeeja”的远程主机其RSA公钥为H3C displaypublic-key peername rraijeer_a KeyName rsa_peer_aKey Type:RSA KeyHodule1024Key Code
3、创建本地非对称密钥对当系统中尚未创建本地密钥对时,可以直接在设备上通过命令创建当出现如下几种情况时,也需要重新生成新的本地密钥对
1、本地设备的私钥泄露这种情况下,非法用户可能会冒充本地设备访问网络o
2、保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名
3、密钥对使用了较长时间,可能存在密钥泄露或破译的风险
4、本地证书到达有效期,需要删除对应的本地密钥对命令public-key localcreate rsapublic-key localcreate dsa例如通过命令创建模数长度为2048位的RSA公私钥对[H3C]publicHcey localcreate rsa〜The rangeof publickey sizeis5122048•NOTES Ifthe keymodulusis greaterthan512,It willtake afew minutes.布Press CTRLto abort.Input thebits ofthe rodulus[default=1024]2O48Generating Keys.•.-H-b+++++++
4、配置远程主机公钥信息当系统其他软件模块需要提前知晓相关远程主机的非对称密钥公钥信息时,需预先配置其公钥信息配置远端主机公钥的方式有如下两种
1、从公钥文件中导入首先将远端主机的公钥文件保存到本地设备(注意,通过FTP或TFTP方式传输文件时,必须以二进制方式将远端主机的公钥文件保存到本地设备),然后从该公钥文件中导入远端主机的公钥导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(P ublicKeyCryptographyStandards,公共密钥加密标准)编码形式
2、手工配置首先在远端主机上查看其公钥信息,并记录远端主机公钥的内容然后在本地设备上采用手工输入的方式将远端主机的公钥配置到本地手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符命令public-key localexport rsa{openssh\sshl\ssh2}XXXpublic-key peerXXX importsshkey XXX例如通过命令将远程主机的公钥信息导出至文件,然后通过文件导入至本地设备[RerooteJevice]public-key localexport rsassh2key.pub[H3C]public-key peerrerote.device inportsshkey key.pub命令public-key peerXXX例如通过命令配置名称为“rsa_peer_a”的远程主机公钥信息[H3C1public-key peerPublic keyview return to SystemView withpeer-public*key end•[H3C-pkey-public-key]public-key-code beginPublickey codeview:returntolast viewwith*public-key-code end”.[H3C-pkey-key-code]药E353B3A9AM6C9E766M9%0669A784AD597D01rB3M9F7202U507072B19c X50A0D7AD3994E14ABC62DB125035EA32M70034DC07882BAA38C3BCA80AAB5EE0198湖届急此ft公钥仅为不例[H3C-pkey-key-code]publie-key-code end[H3C-pkey-public-key]peer-public-key end。