- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-公鑰管理配置
本章節下載: 04-公鑰管理配置 (231.82 KB)
目 錄
公鑰管理用於非對稱密鑰算法的密鑰管理與發布。
非對稱密鑰算法是數據加解密的一種方法,用來保證數據在網絡中安全傳輸、不被攻擊者非法竊聽和惡意篡改。如圖1-1所示,在非對稱密鑰算法中,加密和解密使用的密鑰一個是對外公開的公鑰,一個是由用戶秘密保存的私鑰,從公鑰很難推算出私鑰。公鑰和私鑰一一對應,二者統稱為非對稱密鑰對。通過公鑰(或私鑰)加密後的數據隻能利用對應的私鑰(或公鑰)進行解密。對稱密鑰算法中,加密和解密使用相同的密鑰。
非對稱密鑰算法包括RSA(Rivest Shamir and Adleman)、DSA(Digital Signature Algorithm,數字簽名算法)、ECDSA(Elliptic Curve Digital Signature Algorithm,橢圓曲線數字簽名算法)等。
非對稱密鑰算法主要有兩個用途:
· 對發送的數據進行加/解密:發送者利用接收者的公鑰對數據進行加密,隻有擁有對應私鑰的接收者才能使用該私鑰對數據進行解密,從而可以保證數據的機密性。目前,隻有RSA算法可以用來對發送的數據進行加/解密。
· 對數據發送者的身份進行認證:非對稱密鑰算法的這種應用,稱為數字簽名。發送者利用自己的私鑰對數據進行加密,接收者利用發送者的公鑰對數據進行解密,從而實現對數據發送者身份的驗證。由於隻能利用對應的公鑰對通過私鑰加密後的數據進行解密,因此根據解密是否成功,就可以判斷發送者的身份是否合法,如同發送者對數據進行了“簽名”。目前,RSA、DSA、ECDSA都可以用於數字簽名。
非對稱密鑰算法應用十分廣泛,例如SSH(Secure Shell,安全外殼)、SSL(Secure Sockets Layer,安全套接字層)、PKI(Public Key Infrastructure,公鑰基礎設施)中都利用了非對稱密鑰算法進行數字簽名。非對稱密鑰算法隻有與具體的應用(如SSH、SSL)配合使用,才能實現利用非對稱密鑰算法進行加/解密或數字簽名。SSH、SSL和PKI的介紹,請參見“安全配置指導”中的“SSH”、“SSL”和“PKI”。
公鑰管理配置任務如下:
(1) 生成本地非對稱密鑰對
請選擇以下一項進行配置:
為了實現遠端主機對本地設備的身份驗證,用戶需要將本地的主機公鑰保存到遠端主機上。
(3) 配置遠端主機的公鑰
請選擇以下一項進行配置:
為了實現本地設備對遠端主機的身份驗證,用戶需要在本地設備上配置遠端主機公鑰。
(4) (可選)銷毀本地非對稱密鑰對
創建RSA和DSA密鑰對時,設備會提示用戶輸入密鑰模數的長度。密鑰模數越長,安全性越好,但是生成密鑰的時間越長。創建ECDSA密鑰對時,可使用不同密鑰長度的橢圓曲線,密鑰越長,安全性越好,但是生成密鑰的時間越長。關於密鑰模數長度或密鑰長度的配置限製和注意事項請參見表1-1。
生成密鑰對時,如果不指定密鑰對名稱,係統會以缺省名稱命名密鑰對,並把該密鑰對標記為默認(default)。
用戶可以使用缺省的密鑰對名稱創建其他密鑰對,但係統不會把該密鑰對標記為默認(default)。
非默認名稱密鑰對的密鑰類型和名稱不能完全相同,否則需要用戶確認是否覆蓋原有的密鑰對。不同類型的密鑰對,名稱可以相同。
執行public-key local create命令後,生成的密鑰對將保存在設備中,設備重啟後密鑰不會丟失。
|
密鑰對類型 |
生成的密鑰對 |
密鑰模數長度/密鑰長度 |
|
RSA |
· 不指定密鑰對名稱時,將同時生成兩個密鑰對服務器密鑰對和主機密鑰對 · 指定密鑰對名稱時,隻生成一個主機密鑰對
目前,隻有SSH1.5中應用了RSA服務器密鑰對 |
密鑰模數長度取值範圍為512~2048比特,缺省值為1024比特,建議密鑰模數的長度大於或等於768比特 |
|
DSA |
隻生成一個主機密鑰對 |
密鑰模數長度取值範圍為512~2048比特,缺省值為1024比特,建議密鑰模數的長度大於或等於768比特 |
|
ECDSA |
隻生成一個主機密鑰對 |
密鑰長度取值為192、256、384或521比特 |
(1) 進入係統視圖。
system-view
(2) 生成本地非對稱密鑰對。
public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]
在某些應用(如SSH)中,為了實現遠端主機采用數字簽名方法對本地設備進行身份驗證,用戶需要將本地的主機公鑰保存到遠端主機上。
將本地的主機公鑰保存到遠端主機上,有以下三種方法:
· 在本地設備上執行public-key local export命令按照指定格式將本地主機公鑰導出到指定文件(執行命令時指定filename參數),並將該文件上傳到遠端主機上。在遠端主機上,通過從公鑰文件中導入的方式將本地的主機公鑰保存到遠端設備上。
· 在本地設備上執行public-key local export命令按照指定格式將本地主機公鑰導出到用戶界麵(執行命令時不指定filename參數),通過拷貝粘貼等方式將用戶界麵上的主機公鑰保存到文件中,並將該文件上傳到遠端主機上。在遠端主機上,通過從公鑰文件中導入的方式將本地的主機公鑰保存到遠端設備上。
· 在本地設備上執行display public-key local public命令顯示非對稱密鑰對中的公鑰信息,並記錄主機公鑰數據。在遠端主機上,通過手工配置的方式將記錄的本地主機公鑰保存到遠端設備上。
(1) 進入係統視圖。
system-view
(2) 導出本地非對稱密鑰對中的主機公鑰。
¡ 按照指定格式將本地RSA主機公鑰導出到指定文件或用戶界麵。
public-key local export rsa [ name key-name ] { openssh | ssh1 | ssh2 } [ filename ]
¡ 按照指定格式將本地ECDSA主機公鑰導出到指定文件或用戶界麵。
public-key local export ecdsa [ name key-name ] { openssh | ssh2 } [ filename ]
¡ 按照指定格式將本地DSA主機公鑰導出到指定文件或用戶界麵。
public-key local export dsa [ name key-name ] { openssh | ssh2 } [ filename ]
請在任意視圖下執行以下命令。
· 顯示本地RSA密鑰對中的公鑰信息。
display public-key local rsa public [ name key-name ]
若執行本命令時,同時顯示了RSA服務器密鑰對和主機密鑰對的公鑰信息,用戶隻需記錄主機密鑰對的公鑰信息。
· 顯示本地ECDSA密鑰對中的公鑰信息。
display public-key local ecdsa public [ name key-name ]
· 顯示本地DSA密鑰對中的公鑰信息。
display public-key local dsa public [ name key-name ]
在某些應用(如SSH)中,為了實現本地設備對遠端主機的身份驗證,需要在本地設備上配置遠端主機的RSA、ECDSA、DSA主機公鑰。用戶可以使用以下方法配置遠端主機公鑰:
· 導入遠端主機公鑰。
· 手工配置遠端主機公鑰。
遠端主機公鑰信息的獲取方法,請參見“1.4 將本地非對稱密鑰中的主機公鑰分發到遠端主機”。
手工配置遠端主機的公鑰時,輸入的主機公鑰必須滿足一定的格式要求。通過display public-key local public命令顯示的公鑰可以作為輸入的公鑰內容;通過其他方式(如public-key local export命令)顯示的公鑰可能不滿足格式要求,導致主機公鑰保存失敗。因此,建議選用從公鑰文件導入的方式配置遠端主機的公鑰。
用戶事先將遠端主機的公鑰文件保存到本地設備(例如,通過FTP或TFTP,以二進製方式將遠端主機的公鑰文件保存到本地設備),本地設備從該公鑰文件中導入遠端主機的公鑰。導入公鑰時,係統會自動將遠端主機的公鑰文件轉換為PKCS(Public Key Cryptography Standards,公共密鑰加密標準)編碼形式。
(1) 進入係統視圖。
system-view
(2) 從公鑰文件中導入遠端主機的公鑰。
public-key peer keyname import sshkey filename
用戶事先在遠端主機上通過display public-key local public命令查看其公鑰信息,並記錄遠端主機公鑰的內容。在本地設備上采用手工輸入的方式將遠端主機的公鑰配置到本地。
(1) 進入係統視圖。
system-view
(2) 指定遠端主機公鑰的名稱,並進入公鑰視圖。
public-key peer keyname
(3) 手工輸入遠端主機的公鑰。
逐個字符輸入或拷貝粘貼公鑰內容。
在輸入公鑰內容時,字符之間可以有空格,也可以按回車鍵繼續輸入數據。保存公鑰數據時,將刪除空格和回車符。
(4) 退出公鑰視圖時,保存配置的主機公鑰。
peer-public-key end
在如下幾種情況下,建議用戶銷毀舊的非對稱密鑰對,並生成新的密鑰對:
· 本地設備的私鑰泄露。這種情況下,非法用戶可能會冒充本地設備訪問網絡。
· 保存密鑰對的存儲設備出現故障,導致設備上沒有公鑰對應的私鑰,無法再利用舊的非對稱密鑰對進行加/解密和數字簽名。
· 本地證書到達有效期,需要刪除對應的本地密鑰對。本地證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
(1) 進入係統視圖。
system-view
(2) 銷毀本地非對稱密鑰對。
public-key local destroy { dsa | ecdsa | rsa } [ name key-name ]
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後公鑰管理的信息,通過查看顯示信息驗證配置的效果。
表1-2 公鑰管理顯示和維護
|
操作 |
命令 |
|
顯示本地非對稱密鑰對中的公鑰信息 |
display public-key local { dsa | ecdsa | rsa } public [ name key-name ] |
|
顯示保存在本地的遠端主機的公鑰信息 |
display public-key peer [ brief | name publickey-name ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
