• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-安全命令參考

目錄

10-公鑰管理命令

本章節下載 10-公鑰管理命令  (352.63 KB)

10-公鑰管理命令


1 公鑰管理

說明

設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。

1.1  公鑰管理配置命令

1.1.1  clear master-key

clear master-key命令用來清除主密鑰。

【命令】

clear master-key

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

在如下兩種場景下,可以使用本命令對主密鑰進行清除:

·     當用戶不需要使用主密鑰功能。

·     當主密鑰存儲空間不足,用戶需要清除當前存儲空間中記錄的最早的主密鑰。

設備缺省主密鑰生成方式為默認值方式,執行本命令後將會清除設備上所有已配置的主密鑰,且將主密鑰恢複為出廠默認值。

【舉例】

# 清除主密鑰。

<Sysname> system-view

[Sysname] clear master-key

This operation will delete all history master keys, change the current master key to the default master key and save configurations. Continue? [Y/N]:y

Enter the user password:

Operating, please wait for a moment...

..............

Operation succeeded.

【相關命令】

·     set master-key

1.1.2  display master-key type

display master-key type命令用來顯示設備當前主密鑰的生成方式。

【命令】

display master-key type

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【舉例】

# 顯示設備當前主密鑰的生成方式。

<Sysname> display master-key type

The master key is the default.

表1-1 display master-key type命令顯示信息描述表

字段

描述

The master key is the default.

設備當前使用的是設備缺省主密鑰

The master key is user-defined.

設備當前使用的是手動輸入方式生成的主密鑰

The master key is random.

設備當前使用的是隨機方式生成的主密鑰

 

【相關命令】

·     clear master-key

·     set master-key

1.1.3  display public-key local public

display public-key local public命令用來顯示本地非對稱密鑰對中的公鑰信息。

【命令】

(非FIPS模式)

display public-key local { dsa | ecdsa | rsa } public [ name key-name ]

(FIPS模式)

display public-key local { ecdsa | rsa } public [ name key-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

dsa:顯示本地DSA密鑰對中的公鑰信息。

ecdsa:顯示本地ECDSA密鑰對中的公鑰信息。

rsa:顯示本地RSA密鑰對中的公鑰信息。

name key-name:顯示指定的本地非對稱密鑰對的公鑰信息。key-name為本地非對稱密鑰對的名稱,為1~64個字符的字符串,不區分大小寫,字符串中可以包含字母、數字及“-”。如果不指定本參數,則顯示指定類型的所有本地非對稱密鑰對的公鑰信息。

【使用指導】

如果通過手工配置方式將本地的主機公鑰保存到遠端設備上,則需要事先在本地設備上執行本命令顯示主機公鑰信息,並記錄該信息。

對於默認名稱的密鑰對,不能通過指定name key-name參數顯示;顯示指定類型的所有本地非對稱密鑰對時會顯示默認名稱的密鑰對。

【舉例】

# 顯示所有本地RSA密鑰對中的公鑰信息。

<Sysname> display public-key local rsa public

 

=============================================

Key name: hostkey(default)

Key type: RSA

Key length: 1024

Time when key pair created: 15:40:48 2011/05/12

Key code:

   30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9

   667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE

   C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB

   FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1

   2DA4C04EF5AE0835090203010001

 

=============================================

Key name: serverkey(default)

Key type: RSA

Key length: 768

Time when key pair created: 15:40:48 2011/05/12

Key code:

   307C300D06092A864886F70D0101010500036B003068026100CAB4CACCA16442AD5F453442

   762F03897E0D494FEDE69224F5C051A441D290976733A278C9F0C0F5A198E66143EAB54A64

   DB608269CAE844B1E7CC64AD7E808972E7CF887F3B657F056E7930FC84FBF1AD83A01CC47E

   9D85C13413996ECD093B0203010001

 

=============================================

Key name: rsa1

Key type: RSA

Key length: 1024

Time when key pair created: 15:42:26 2011/05/12

Key code:

   30819F300D06092A864886F70D010101050003818D0030818902818100DEBC46F217DDF11D

   426E7095AA45CD6BF1F87343D952569AC223A01365E0D8C91D49D347C143C5D8FAADA896AA

   1A827E580F2502F1926F52197230E1DE391A64015C43DD79DC4E9E171BAEA1DEB4C71DAED7

   9A6EDFD460D8945D27D39B7C9822D56AEA5B7C2CCFF1B6BC524AD498C3B87D4BD6EB36AF03

   92D8C6D940890BF4290203010001

# 顯示所有本地DSA密鑰對中的公鑰信息。(非FIPS模式)

<Sysname> display public-key local dsa public

 

=============================================

Key name: dsakey(default)

Key type: DSA

Key length: 1024

Time when key pair created: 15:41:37 2011/05/12

Key code:

   308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD

   96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E

   DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D

   DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038

   7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1

   4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD

   35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123

   91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1

   585DA7F42519718CC9B09EEF0381840002818041912CE34D12BCD2157E7AB1C2F03B3EF395

   100F3DB4A9E2FDFE860C1BD663D676438F7DA40A9406D61CA9079AF13E330489F1C76785DE

   52DA649AC8BC04B6D39CD7C52CD0A14F75F7491A91D31D6AC22340B5981B27A915CDEC4F09

   887E541EC1E5302D500F68E7AC29A084463C60F9EE266985A502FC92193E1CF4D265C4BA

 

=============================================

Key name: dsa1

Key type: DSA

Key length: 1024

Time when key pair created: 15:35:42 2011/05/12

Key code:

   308201B83082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD

   96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E

   DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D

   DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038

   7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1

   4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD

   35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123

   91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1

   585DA7F42519718CC9B09EEF0381850002818100A1E456C8DA2AD1BB83B1BDF2A1A6B5A6E8

   3642B460402445DA7E4036715F468F76655E114D460B7112F57143EE020AEF4A5BFAD07B74

   0FBCB1C64DA8A2BCE619283421445EEC77D3CF0D11866E9656AD6511F4926F8376967B0AB7

   15F9FB7B514BC1174155DD6E073B1FCB3A2749E6C5FEA81003E16729497D0EAD9105E3E76A

# 顯示所有本地ECDSA密鑰對中的公鑰信息。

<Sysname> display public-key local ecdsa public

 

=============================================

Key name: ecdsakey(default)

Key type: ECDSA

Key length: 192

Time when key pair created: 15:42:04 2011/05/12

Key code:

   3049301306072A8648CE3D020106082A8648CE3D03010103320004C10CF7CE42193F7FC2AF

   68F5DC877835A43009DB6135558A7FB8316C361B0690B4FD84A14C0779C76DD6145BF9362B

   1D

 

=============================================

Key name: ecdsa1

Key type: ECDSA

Key length: 192

Time when key pair created: 15:43:33 2011/05/12

Key code:

   3049301306072A8648CE3D020106082A8648CE3D03010103320004A1FB84D92315B8DB72D1

   AE672C7CFA5135D5F5B02377F2F092F182EC83B5819795BC94CCBD3EBA7D4F0F2B2EB20C58

   4D

# 顯示名稱為rsa1的本地RSA密鑰對中的公鑰信息。

<Sysname> display public-key local rsa public name rsa1

 

=============================================

Key name: rsa1

Key type: RSA

Key length: 1024

Time when key pair created: 15:42:26 2011/05/12

Key code:

   30819F300D06092A864886F70D010101050003818D0030818902818100DEBC46F217DDF11D

   426E7095AA45CD6BF1F87343D952569AC223A01365E0D8C91D49D347C143C5D8FAADA896AA

   1A827E580F2502F1926F52197230E1DE391A64015C43DD79DC4E9E171BAEA1DEB4C71DAED7

   9A6EDFD460D8945D27D39B7C9822D56AEA5B7C2CCFF1B6BC524AD498C3B87D4BD6EB36AF03

   92D8C6D940890BF4290203010001

# 顯示名稱為dsa1的本地DSA密鑰對中的公鑰信息。(非FIPS模式)

<Sysname> display public-key local dsa public name dsa1

 

=============================================

Key name: dsa1

Key type: DSA

Key length: 1024

Time when key pair created: 15:35:42 2011/05/12

Key code:

   308201B83082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD

   96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E

   DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D

   DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038

   7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1

   4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD

   35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123

   91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1

   585DA7F42519718CC9B09EEF0381850002818100A1E456C8DA2AD1BB83B1BDF2A1A6B5A6E8

   3642B460402445DA7E4036715F468F76655E114D460B7112F57143EE020AEF4A5BFAD07B74

   0FBCB1C64DA8A2BCE619283421445EEC77D3CF0D11866E9656AD6511F4926F8376967B0AB7

   15F9FB7B514BC1174155DD6E073B1FCB3A2749E6C5FEA81003E16729497D0EAD9105E3E76A

# 顯示名稱為ecdsa1的本地ECDSA密鑰對中的公鑰信息。

<Sysname> display public-key local ecdsa public name ecdsa1

 

=============================================

Key name: ecdsa1

Key type: ECDSA

Key length: 192

Time when key pair created: 15:43:33 2011/05/12

Key code:

   3049301306072A8648CE3D020106082A8648CE3D03010103320004A1FB84D92315B8DB72D1

   AE672C7CFA5135D5F5B02377F2F092F182EC83B5819795BC94CCBD3EBA7D4F0F2B2EB20C58

   4D

表1-2 display public-key local public命令顯示信息描述表

字段

描述

Key name

本地非對稱密鑰對的名稱

default表示該名稱為密鑰對的默認名稱,即執行public-key local create命令沒有指定密鑰名稱時,生成的密鑰對的名稱

·     hostkey:RSA主機密鑰對的默認名稱

·     serverkey:RSA服務器密鑰對的默認名稱。隻有密鑰類型為RSA時,才會存在服務器密鑰對

·     dsakey:DSA主機密鑰對的默認名稱

·     ecdsakey:ECDSA主機密鑰對的默認名稱

Key type

密鑰類型,取值包括:

·     RSA:密鑰類型為RSA

·     DSA:密鑰類型為DSA

·     ECDSA:密鑰類型為ECDSA

Key length

密鑰長度,單位為比特

Time when key pair created

本地非對稱密鑰對產生的時間

Key code

本地非對稱密鑰對的公鑰數據

 

【相關命令】

·     public-key local create

1.1.4  display public-key peer

display public-key peer命令用來顯示保存在本地的遠端主機的公鑰信息。

【命令】

display public-key peer [ brief | name publickey-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

brief:顯示保存在本地的所有遠端主機公鑰的簡要信息。

name publickey-name:顯示保存在本地的指定遠端主機公鑰的詳細信息,publickey-name為遠端主機公鑰的名稱,為1~64個字符的字符串,區分大小寫。

【使用指導】

如果沒有指定任何參數,則顯示所有保存在本地的遠端主機公鑰的詳細信息。

可以通過public-key peer命令或public-key peer import sshkey命令將遠端主機的公鑰配置到本地。

FIPS模式下不支持顯示保存在本地的遠端主機的DSA類型的公鑰信息。

【舉例】

# 顯示保存在本地的公鑰名稱為idrsa的遠端主機公鑰的詳細信息。

<Sysname> display public-key peer name idrsa

 

=============================================

Key name: idrsa

Key type: RSA

Key length: 1024

Key code:

   30819F300D06092A864886F70D010101050003818D0030818902818100C5971581A78B5388

   B3C9063EC6B53D395A6704D9752B6F9B7B1F734EEB5DD509F0B050662C46FFB8D27F797E37

   918F6270C5793F1FC63638970A0E4D51A3CEF7CFF6E92BFAFD73F530E0BDE27056E81F2525

   6D0883836FD8E68031B2C272FE2EA75C87734A7B8F85B8EBEB3BD51CC26916AF3B3FDC32C3

   42C142D41BB4884FEB0203010001

表1-3 display public-key peer name命令顯示信息描述表

字段

描述

Key name

遠端主機公鑰的名稱

Key type

密鑰類型,取值包括RSA、DSA和ECDSA

Key length

密鑰長度,單位為比特

Key code

公鑰數據

 

# 顯示保存在本地的所有遠端主機公鑰的簡要信息。

<Sysname> display public-key peer brief

Type  Modulus  Name

---------------------------

RSA   1024    idrsa

DSA   1024    10.1.1.1

表1-4 display public-key peer brief命令顯示信息描述表

字段

描述

Type

密鑰類型,取值包括RSA、DSA和ECDSA

Modulus

密鑰模數的長度,單位為比特

Name

遠端主機公鑰的名稱

 

【相關命令】

·     public-key peer

·     public-key peer import sshkey

1.1.5  peer-public-key end

peer-public-key end命令用來從公鑰視圖退回到係統視圖,並保存用戶輸入的公鑰。

【命令】

peer-public-key end

【視圖】

公鑰視圖

【缺省用戶角色】

network-admin

【使用指導】

本命令用於通過手工配置方式將遠端主機的公鑰保存到本地設備上。手工配置方式是指:

(1)     執行public-key peer命令進入公鑰視圖。

(2)     在公鑰視圖手工輸入遠端主機的公鑰。

(3)     執行peer-public-key end命令退出公鑰視圖,並保存輸入的公鑰。

輸入的公鑰數據必須滿足一定的格式要求。在保存公鑰之前,設備會進行公鑰合法性的檢測:

·     如果用戶配置的公鑰字符串不滿足格式要求,那麼將會顯示相關提示信息,用戶配置的公鑰將被丟棄,本次配置失敗;

·     如果用戶配置的公鑰字符串合法,例如輸入的公鑰數據為通過display public-key local public命令顯示的公鑰,則保存該公鑰。

【舉例】

# 退出公鑰視圖,並保存用戶輸入的公鑰。

<Sysname> system-view

[Sysname] public-key peer key1

Enter public key view. Return to system view with "peer-public-key end" command.

[Sysname-pkey-public-key-key1]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8014F82515F6335A0A

[Sysname-pkey-public-key-key1]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643135877E13B1C531B4

[Sysname-pkey-public-key-key1]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80EB5F52698FCF3D6

[Sysname-pkey-public-key-key1]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE675AC30CB020301

[Sysname-pkey-public-key-key1]0001

[Sysname-pkey-public-key-key1] peer-public-key end

[Sysname]

【相關命令】

·     display public-key local public

·     display public-key peer

·     public-key peer

1.1.6  public-key local create

public-key local create命令用來生成本地非對稱密鑰對。

【命令】

(非FIPS模式)

public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]

(FIPS模式)

public-key local create { ecdsa [ secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]

【缺省情況】

不存在本地非對稱密鑰對。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

dsa:本地密鑰對類型為DSA。

ecdsa:本地密鑰對類型為ECDSA。

·     secp192r1:采用名稱為secp192r1的橢圓曲線生成本地ECDSA密鑰對,密鑰長度為192比特。

·     secp256r1:采用名稱為secp256r1的橢圓曲線生成本地ECDSA密鑰對,密鑰長度為256比特。

·     secp384r1:采用名稱為secp384r1的橢圓曲線生成本地ECDSA密鑰對,密鑰長度為384比特。

·     secp521r1:采用名稱為secp521r1的橢圓曲線生成本地ECDSA密鑰對,密鑰長度為521比特。

如果不指定以上任一種密鑰對算法參數,非FIPS模式下,則采用名稱為secp192r1的橢圓曲線生成本地ECDSA密鑰對,密鑰長度為192比特;FIPS模式下,采用名稱為secp256r1的橢圓曲線生成本地ECDSA密鑰對,密鑰長度為256比特。

rsa:本地密鑰對類型為RSA。

name key-name:生成指定名稱的本地非對稱密鑰對。key-name為本地非對稱密鑰對的名稱,為1~64個字符的字符串,不區分大小寫,字符串中隻能包含字母、數字及“-”。如果不指定本參數,則生成的RSA主機密鑰對的默認名稱為hostkey,RSA服務器密鑰對的默認名稱為serverkey,DSA密鑰對的默認名稱為dsakey,ECDSA密鑰對的默認名稱為ecdsakey。

【使用指導】

創建RSA和DSA密鑰對時,設備會提示用戶輸入密鑰模數的長度。密鑰模數越長,安全性越好,但是生成密鑰的時間越長。創建ECDSA密鑰對時,可使用不同密鑰長度的橢圓曲線,密鑰越長,安全性越好,但是生成密鑰的時間越長。關於密鑰模數長度的配置限製和注意事項請參見表1-5

生成密鑰對時,如果不指定密鑰對名稱,係統會以缺省名稱命名密鑰對,並把該密鑰對標記為默認(default)。

用戶可以使用缺省的密鑰對名稱創建其他密鑰對,但係統不會把該密鑰對標記為默認(default)。

非默認名稱密鑰對的密鑰類型和名稱不能完全相同,否則需要用戶確認是否覆蓋原有的密鑰對。不同類型的密鑰對,名稱可以相同。

執行此命令後,生成的密鑰對將保存在設備中,設備重啟後密鑰不會丟失。

表1-5 不同類型密鑰對對比

密鑰對類型

生成的密鑰對

密鑰模數長度

RSA

·     非FIPS模式下:

¡     不指定密鑰對名稱時,將同時生成兩個密鑰對服務器密鑰對和主機密鑰對

¡     指定密鑰對名稱時,隻生成一個主機密鑰對

·     FIPS模式下:隻生成一個主機密鑰對,包括一個公鑰和一個私鑰

說明

目前,隻有SSH1.5中應用了RSA服務器密鑰對

·     非FIPS模式下:長度取值範圍為512~4096比特,缺省值為1024比特,建議密鑰模數的長度大於或等於768比特

·     FIPS模式下:長度取值範圍為2048~4096比特,取值為256的倍數,缺省值為2048比特

DSA

隻生成一個主機密鑰對

·     非FIPS模式下:長度取值範圍為512~2048比特,缺省值為1024比特,建議密鑰模數的長度大於或等於768比特

·     FIPS模式下:不支持

ECDSA

隻生成一個主機密鑰對

·     非FIPS模式下:長度取值為192、256、384或521比特

·     FIPS模式下:長度取值為256、384或521比特

【舉例】

# 生成默認名稱的本地RSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local create rsa

The range of public key modulus is (512 ~ 4096).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

....

Create the key pair successfully.

# 生成默認名稱的本地DSA非對稱密鑰對。(非FIPS模式)

<Sysname> system-view

[Sysname] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

....

Create the key pair successfully.

# 生成默認名稱的本地ECDSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local create ecdsa

Generating Keys...

Create the key pair successfully.

# 生成名稱為rsa1的本地RSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local create rsa name rsa1

The range of public key modulus is (512 ~ 4096).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..

Create the key pair successfully.

# 生成名稱為dsa1的本地DSA非對稱密鑰對。(非FIPS模式)

<Sysname> system-view

[Sysname] public-key local create dsa name dsa1

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.....

Create the key pair successfully.

# 生成名稱為ecdsa1的本地ECDSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local create ecdsa name ecdsa1

Generating Keys...

Create the key pair successfully.

# 生成默認名稱的本地RSA非對稱密鑰對。(FIPS模式下)

<Sysname> system-view

[Sysname] public-key local create rsa

The range of public key modulus is (2048 ~ 4096), a multiple of 256.

It will take a few minutes.Press CTRL+C to abort.

Input the modulus length [default = 2048]:

Generating Keys...

....

Create the key pair successfully.

【相關命令】

·     display public-key local public

·     public-key local destroy

1.1.7  public-key local destroy

public-key local destroy命令用來銷毀本地非對稱密鑰對。

【命令】

(非FIPS模式)

public-key local destroy { dsa | ecdsa | rsa } [ name key-name ]

(FIPS模式)

public-key local destroy { ecdsa | rsa } [ name key-name ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

dsa:本地密鑰對類型為DSA。

ecdsa:本地密鑰對類型為ECDSA。

rsa:本地密鑰對類型為RSA。

name key-name:銷毀指定名稱的本地非對稱密鑰對。key-name為本地非對稱密鑰對名稱,為1~64個字符的字符串,不區分大小寫,字符串中可以包含字母、數字及“-”。如果不指定本參數,則銷毀指定類型默認名稱的本地非對稱密鑰對。

【使用指導】

在如下幾種情況下,建議用戶銷毀舊的非對稱密鑰對,並生成新的密鑰對:

·     本地設備的私鑰泄露。這種情況下,非法用戶可能會冒充本地設備訪問網絡。

·     保存密鑰對的存儲設備出現故障,導致設備上沒有公鑰對應的私鑰,無法再利用舊的非對稱密鑰對進行加解密和數字簽名。

·     本地證書到達有效期,需要刪除對應的本地密鑰對。本地證書的詳細介紹,請參見“安全配置指導”中的“PKI”。

【舉例】

# 銷毀默認名稱的本地RSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local destroy rsa

Confirm to destroy the key pair? [Y/N]:y

# 銷毀默認名稱的本地DSA非對稱密鑰對。(非FIPS模式)

<Sysname> system-view

[Sysname] public-key local destroy dsa

Confirm to destroy the key pair? [Y/N] :y

# 銷毀默認名稱的本地ECDSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local destroy ecdsa

Confirm to destroy the key pair? [Y/N]:y

# 銷毀名稱為rsa1的本地RSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local destroy rsa name rsa1

Confirm to destroy the key pair? [Y/N]:y

# 銷毀名稱為dsa1的本地DSA非對稱密鑰對。(非FIPS模式)

<Sysname> system-view

[Sysname] public-key local destroy dsa name dsa1

Confirm to destroy the key pair? [Y/N] :y

# 銷毀名稱為ecdsa1的本地ECDSA非對稱密鑰對。

<Sysname> system-view

[Sysname] public-key local destroy ecdsa name ecdsa1

Confirm to destroy the key pair? [Y/N]:y

【相關命令】

·     public-key local create

1.1.8  public-key local export dsa

public-key local export dsa命令用來根據指定格式顯示本地DSA主機公鑰或將其導出到指定文件。

【命令】

public-key local export dsa [ name key-name ] { openssh | ssh2 } [ filename ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

name key-name:顯示或導出指定本地DSA密鑰對的主機公鑰。key-name為本地密鑰對的名稱,為1~64個字符的字符串,不區分大小寫,字符串中可以包含字母、數字及“-”。如果不指定本參數,則顯示或導出默認名稱的本地DSA密鑰對的主機公鑰。

openssh:主機公鑰格式為OpenSSH。

ssh2:主機公鑰格式為SSH2.0。

filename:指定存儲導出公鑰的文件的名稱,不區分大小寫,取值不能為“hostkey”、“serverkey”、“dsakey”和“ecdsakey”,不能全部為“.”,並且第一個字符不能為“/”,不能包含字符“./”和“../”。文件名為取值1~128個字符的字符串。文件名的詳細介紹,請參見“基礎配置指導”中的“文件係統管理”。如果不指定本參數,則按照指定格式顯示本地DSA主機公鑰。

【使用指導】

本命令僅在非FIPS模式下支持。

本命令用於采用從公鑰文件中導入的方式將本地的主機公鑰保存到遠端設備上:

(1)     使用下列任一方法把導出的公鑰保存到文件中:

·     在本地設備上執行public-key local export命令按照指定格式顯示本地主機公鑰(執行命令時不指定filename參數),再通過粘貼複製方式將顯示的主機公鑰保存到文件中。

·     在本地設備上執行public-key local export命令按照指定格式將本地主機公鑰導出到指定文件(執行命令時指定filename參數)。需要注意的是,不能將主機公鑰導出到工作路徑pkey目錄以及pkey的子目錄中。

(2)     將所獲得的證書文件通過FTP的二進製模式或TFTP上傳到遠端主機。有關FTP和TFTP的詳細使用請參見“基礎配置指導”中的“FTP和TFTP”。

(3)     在遠端主機上,執行public-key peer import sshkey命令將本地的主機公鑰保存到遠端設備上。

SSH2.0和OpenSSH是兩種不同類型的公鑰格式,用戶需要根據服務器端支持的對端公鑰格式,來選擇導出的主機公鑰格式。

【舉例】

# 以OpenSSH格式導出默認名稱的本地DSA密鑰對的主機公鑰,文件名為key.pub。

<Sysname> system-view

[Sysname] public-key local export dsa openssh key.pub

# 以SSH2.0格式顯示默認名稱的本地DSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export dsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "dsa-key-2011/05/12"

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

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式顯示默認名稱的本地DSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export dsa openssh

ssh-dss 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 dsa-key

# 以OpenSSH格式導出名稱為dsa1的本地DSA密鑰對的主機公鑰,文件名為dsa1.pub。

<Sysname> system-view

[Sysname] public-key local export dsa name dsa1 openssh dsa1.pub

# 以SSH2.0格式顯示名稱為dsa1的本地DSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export dsa name dsa1 ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "dsa-key-2011/05/12"

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

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式顯示名稱為dsa1的本地DSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export dsa name dsa1 openssh

ssh-dss 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 dsa-key

【相關命令】

·     public-key local create

·     public-key peer import sshkey

1.1.9  public-key local export ecdsa

public-key local export ecdsa命令用來根據指定格式顯示本地ECDSA主機公鑰或將其導出到指定文件。

【命令】

public-key local export ecdsa [ name key-keyname ] { openssh | ssh2 } [ filename ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

name key-name:顯示或導出指定本地ECDSA密鑰對的主機公鑰。key-name為本地密鑰對的名稱,為1~64個字符的字符串,不區分大小寫,字符串中可以包含字母、數字及“-”。如果不指定本參數,則顯示或導出默認名稱的本地ECDSA密鑰對的主機公鑰。

openssh:主機公鑰格式為OpenSSH。

ssh2:主機公鑰格式為SSH2.0。

filename:指定存儲導出公鑰的文件的名稱,不區分大小寫,取值不能為“hostkey”、“serverkey”、“dsakey”和“ecdsakey”,不能全部為“.”,並且第一個字符不能為“/”,不能包含字符“./”和“../”。文件名為取值1~128個字符的字符串。文件名的詳細介紹,請參見“基礎配置指導”中的“文件係統管理”。如果不指定本參數,則按照指定格式顯示本地ECDSA主機公鑰。

【使用指導】

本命令用於采用從公鑰文件中導入的方式將本地的主機公鑰保存到遠端設備上:

(1)     使用下列任一方法把導出的公鑰保存到文件中:

·     在本地設備上執行public-key local export命令按照指定格式顯示本地主機公鑰(執行命令時不指定filename參數),再通過粘貼複製方式將顯示的主機公鑰保存到文件中。

·     在本地設備上執行public-key local export命令按照指定格式將本地主機公鑰導出到指定文件(執行命令時指定filename參數)。需要注意的是,不能將主機公鑰導出到工作路徑pkey目錄以及pkey的子目錄中。

(2)     將所獲得的證書文件通過FTP的二進製模式或TFTP上傳到遠端主機。有關FTP和TFTP的詳細使用請參見“基礎配置指導”中的“FTP和TFTP”。

(3)     在遠端主機上,執行public-key peer import sshkey命令將本地的主機公鑰保存到遠端設備上。

SSH2.0和OpenSSH是兩種不同類型的公鑰格式,用戶需要根據服務器端支持的對端公鑰格式,來選擇導出的主機公鑰格式。

【舉例】

# 以OpenSSH格式導出本地ECDSA主機公鑰,文件名為key.pub。

<Sysname> system-view

[Sysname] public-key local export ecdsa openssh key.pub

# 以SSH2.0格式顯示本地ECDSA主機公鑰。

<Sysname> system-view

[Sysname] public-key local export ecdsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "ecdsa-sha2-nistp256-2014/07/06"

AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBREw5tkARpbV+sYArt/xcW+UJEAevx7OckTtTLPBiLP5bWkSdKbvo+3oHRuIyZqmNTIcxuBjuBap+pHc919C58=

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式顯示本地ECDSA主機公鑰。

<Sysname> system-view

[Sysname] public-key local export ecdsa openssh

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBREw5tkARpbV+sYArt/xcW+UJEAevx7OckTtTLPBiLP5bWkSdKbvo+3oHRuIyZqmNTIcxuBjuBap+pHc919C58=

 ecdsa-key

【相關命令】

public-key local create

public-key peer import sshkey

1.1.10  public-key local export rsa

public-key local export rsa命令用來根據指定格式顯示本地RSA主機公鑰或將其導出到指定文件。

【命令】

(非FIPS模式)

public-key local export rsa [ name key-name ] { openssh | ssh1 | ssh2 } [ filename ]

(FIPS模式)

public-key local export rsa [ name key-name ] { openssh | ssh2 } [ filename ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

name key-name:顯示或導出指定本地RSA密鑰對的主機公鑰。key-name為本地密鑰對的名稱,為1~64個字符的字符串,不區分大小寫,字符串中可以包含字母、數字及“-”。如果不指定本參數,則顯示或導出默認名稱的本地RSA密鑰對的主機公鑰。

openssh:主機公鑰格式為OpenSSH。

ssh1:主機公鑰格式為SSH1.5。

ssh2:主機公鑰格式為SSH2.0。

filename:指定存儲導出公鑰的文件的名稱,不區分大小寫,取值不能為“hostkey”、“serverkey”、“dsakey”和“ecdsakey”,不能全部為“.”,並且第一個字符不能為“/”,不能包含字符“./”和“../”。文件名為取值1~128個字符的字符串。文件名的詳細介紹,請參見“基礎配置指導”中的“文件係統管理”。如果不指定本參數,則按照指定格式顯示本地RSA主機公鑰。

【使用指導】

本命令用於采用從公鑰文件中導入的方式將本地的主機公鑰保存到遠端設備上:

(1)     使用下列任一方法把導出的公鑰保存到文件中:

·     在本地設備上執行public-key local export命令按照指定格式顯示本地主機公鑰(執行命令時不指定filename參數),再通過粘貼複製方式將顯示的主機公鑰保存到文件中。

·     在本地設備上執行public-key local export命令按照指定格式將本地主機公鑰導出到指定文件(執行命令時指定filename參數)。需要注意的是,不能將主機公鑰導出到工作路徑pkey目錄以及pkey的子目錄中。

(2)     將所獲得的證書文件通過FTP的二進製模式或TFTP上傳到遠端主機。有關FTP和TFTP的詳細使用請參見“基礎配置指導”中的“FTP和TFTP”。

(3)     在遠端主機上,執行public-key peer import sshkey命令將本地的主機公鑰保存到遠端設備上。

SSH1.5、SSH2.0和OpenSSH是三種不同類型的公鑰格式,用戶需要根據服務器端支持的對端公鑰格式,來選擇導出的主機公鑰格式。FIPS模式下隻支持SSH2.0和OpenSSH。

【舉例】

# 以OpenSSH格式導出默認名稱的本地RSA密鑰對的主機公鑰,文件名為key.pub。

<Sysname> system-view

[Sysname] public-key local export rsa openssh key.pub

# 以SSH2.0格式顯示默認名稱的本地RSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export rsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-2011/05/12"

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDapKr+/gTCyWZyabuCJuJjMeMPQaj/kixzOCCAl+hDMmEGMrSfddq/bYcbgM7Buit1AgB3x0dFyTPi85DcCznTW4goPXAKFjuzCbGfj4chakSr+/aj1k3rM+XOvyvPJilneKJqhPT0xdv4tlas+mLNloY0dImbwS2kwE71rgg1CQ==

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式顯示默認名稱的本地RSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export rsa openssh

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDapKr+/gTCyWZyabuCJuJjMeMPQaj/kixzOCCAl+hDMmEGMrSfddq/bYcbgM7Buit1AgB3x0dFyTPi85DcCznTW4goPXAKFjuzCbGfj4chakSr+/aj1k3rM+XOvyvPJilneKJqhPT0xdv4tlas+mLNloY0dImbwS2kwE71rgg1CQ== rsa-key

# 以OpenSSH格式導出名稱為rsa1的本地RSA密鑰對的主機公鑰,文件名為rsa1.pub。

<Sysname> system-view

[Sysname] public-key local export rsa name rsa1 openssh rsa1.pub

# 以SSH2.0格式顯示名稱為rsa1的本地RSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export rsa name rsa1 ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-2011/05/12"

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDevEbyF93xHUJucJWqRc1r8fhzQ9lSVprCI6ATZeDYyR1J00fBQ8XY+q2olqoagn5YDyUC8ZJvUhlyMOHeORpkAVxD3XncTp4XG66h3rTHHa7Xmm7f1GDYlF0n05t8mCLVaupbfCzP8ba8UkrUmMO4fUvW6zavA5LYxtlAiQv0KQ==

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式顯示名稱為rsa1的本地RSA密鑰對的主機公鑰。

<Sysname> system-view

[Sysname] public-key local export rsa name rsa1 openssh

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDevEbyF93xHUJucJWqRc1r8fhzQ9lSVprCI6ATZeDYyR1J00fBQ8XY+q2olqoagn5YDyUC8ZJvUhlyMOHeORpkAVxD3XncTp4XG66h3rTHHa7Xmm7f1GDYlF0n05t8mCLVaupbfCzP8ba8UkrUmMO4fUvW6zavA5LYxtlAiQv0KQ== rsa-key

【相關命令】

·     public-key local create

·     public-key peer import sshkey

1.1.11  public-key peer

public-key peer命令用來指定遠端主機公鑰的名稱,並進入公鑰視圖。如果指定的遠端主機公鑰名稱已經存在,則直接接進入該公鑰視圖。

undo public-key peer命令用來刪除指定的遠端主機公鑰。

【命令】

public-key peer keyname

undo public-key peer keyname

【缺省情況】

不存在遠端主機公鑰。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

keyname:遠端主機公鑰的名稱,為1~64個字符的字符串,區分大小寫。

【使用指導】

進入公鑰視圖後,可以開始輸入公鑰數據。在輸入公鑰數據時,字符之間可以有空格,也可以按回車鍵繼續輸入數據。保存公鑰數據時,將刪除空格和回車符。

通過手工配置方式創建遠端主機公鑰時,用戶需要事先獲取並記錄遠端主機十六進製形式的公鑰,並在本地設備上執行以下操作:

(1)     執行本命令進入公鑰視圖。

(2)     在公鑰視圖,手工輸入遠端主機的公鑰。

(3)     執行peer-public-key end命令,保存輸入的遠端主機公鑰,並從公鑰視圖退回到係統視圖。

輸入的公鑰數據必須滿足一定的格式要求。通過display public-key local public命令顯示的公鑰可以作為輸入的公鑰數據。

FIPS模式下不支持手工配置方式創建遠端DSA主機公鑰。

【舉例】

# 指定遠端主機公鑰名稱為key1,並進入公鑰視圖。

<Sysname> system-view

[Sysname] public-key peer key1

Enter public key view. Return to system view with "peer-public-key end" command.

[Sysname-pkey-public-key-key1]

【相關命令】

·     display public-key local public

·     display public-key peer

·     peer-public-key end

1.1.12  public-key peer import sshkey

public-key peer import sshkey命令用來配置從公鑰文件中導入遠端主機的公鑰。

undo public-key peer命令用來刪除指定的遠端主機公鑰。

【命令】

public-key peer keyname import sshkey filename

undo public-key peer keyname

【缺省情況】

不存在遠端主機公鑰。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

keyname:遠端主機公鑰的名稱,為1~64個字符的字符串,區分大小寫。

filename:指定導入公鑰數據的文件名,不區分大小寫,取值不能為“hostkey”、“serverkey”、“dsakey”和“ecdsakey”,不能全部為“.”,並且第一個字符不能為“/”,不能包含字符“./”和“../”。文件名為取值1~128個字符的字符串。文件名的詳細介紹,請參見“基礎配置指導”中的“文件係統管理”。

【使用指導】

執行本命令後,係統會對指定公鑰文件中的公鑰進行格式轉換,將其轉換為PKCS標準編碼格式,並將該遠端主機的公鑰保存到本地設備。

從公鑰文件中導入遠端主機的公鑰前,需要遠端主機將其公鑰保存到公鑰文件中,並將該公鑰文件上傳到本地設備。例如,在遠端主機上執行public-key local export命令將其公鑰導出到公鑰文件中,並通過FTP或TFTP,以二進製方式將該公鑰文件保存到本地設備。

目前,非FIPS模式下,設備支持的公鑰格式為SSH1.5、SSH2.0和OpenSSH;FIPS模式下,設備支持的格式為SSH2.0和OpenSSH。

FIPS模式下不支持從DSA公鑰文件中導入遠端主機的公鑰。

【舉例】

# 配置從公鑰文件key.pub中導入遠端主機的公鑰,公鑰名稱為key2。

<Sysname> system-view

[Sysname] public-key peer key2 import sshkey key.pub

【相關命令】

·     display public-key peer

·     public-key local export dsa

·     public-key local export ecdsa

·     public-key local export rsa

1.1.13  set master-key

set master-key命令用來設置主密鑰功能。

【命令】

set master-key

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

工作機製

缺省情況下,設備上為各業務模塊配置的密鑰字符串將通過設備缺省的主密鑰進行加密後存儲。此時,將一台設備上的配置文件導出後,在另一台設備上加載,通過對稱密鑰可以解密出配置的密鑰字符串,使得密鑰可以在設備間互相拷貝,存在安全隱患。

為了提升數據的安全性和可靠性,可在設備上配置本命令修改主密鑰。在設備上執行本命令後,命令行界麵上將出現交互式信息:

(1)     根據用戶登錄設備的認證方式分為如下兩種:

¡     若用戶登錄設備的認證方式為password或者scheme,界麵上將提示用戶輸入用戶密碼,驗證用戶身份,身份驗證成功後,進入步驟(2)

¡     若用戶登錄設備的認證方式為none,則直接進入步驟(2)

有關用戶登錄設備認證方式的詳細介紹,請參見“基礎配置指導”中的“登錄設備”。

(2)     界麵上將提示用戶選擇隨機方式或者手動方式設置主密鑰

¡     若用戶選擇隨機方式設置主密鑰,則設備將隨機自動設置主密鑰。

¡     若用戶選擇手動方式設置主密鑰,請手動輸入事先準備的主密鑰後,再確認輸入一遍。

主密鑰存儲在非易失存儲介質中,設備下電或重啟均不會改變已配置的主密鑰。用戶僅可通過display master-key type命令查看係統當前主密鑰的生成方式,且無法通過任何手段獲取主密鑰,該機製能夠達到防止設備間密鑰互相拷貝的目的。

配置準備

若選擇手動輸入方式設置主密鑰,請在配置本命令前,準備好即將設置的主密鑰。

注意事項

主密鑰長度為20~32個字符串,必須包含大寫字母、小寫字母、數字和特殊字符。

當主密鑰存儲空間不足時,設備將提示用戶確認是否刪除當前存儲空間中記錄的最早的主密鑰。

當用戶登錄設備的認證方式為password或者scheme時,若登錄設備身份認證失敗超過三次,則會強製用戶重新登錄上線,無法繼續執行下發主密鑰相關操作。

多次執行本命令,最後一次執行的命令生效。

兩次設置主密鑰時間間隔必須大於三分鍾。

【舉例】

# 當用戶登錄設備的認證方式為password或者scheme時,使用隨機方式設置主密鑰。

<Sysname> system-view

[Sysname] set master-key

This operation will automatically save configurations. Continue? [Y/N]:y

Enter the user password:

Enter the master key? (If you enter Y, you need to enter the master key. If you enter N, the system will automatically generate the master key.) [Y/N]:N

Operating, please wait for a moment...

..............

Operation succeeded.

# 當用戶登錄設備的認證方式為password或者scheme時,使用手動輸入方式設置主密鑰。

<Sysname> system-view

[Sysname] set master-key

This operation will automatically save configurations. Continue? [Y/N]:y

Enter the user password:

Enter the master key? (If you enter Y, you need to enter the master key. If you enter N, the system will automatically generate the master key.) [Y/N]:Y

Enter a master key (20-32 characters):

Confirm the master key:

Operating, please wait for a moment...

..............

Operation succeeded.

# 當用戶登錄設備的認證方式為none時,使用手動輸入方式設置主密鑰。

<Sysname> system-view

[Sysname] set master-key

This operation will automatically save configurations. Continue? [Y/N]:y

Enter the master key? (If you enter Y, you need to enter the master key. If you enter N, the system will automatically generate the master key.) [Y/N]:Y

Enter a master key (20-32 characters):

Confirm the master key:

Operating, please wait for a moment...

..............

Operation succeeded.

# 當主密鑰存儲空間不足時設置新的主密鑰,設備將提示用戶確認是否刪除當前存儲空間中記錄的最早的主密鑰。

<Sysname> system-view

[Sysname] set master-key

This operation will automatically save configurations. Continue? [Y/N]:y

Enter the master key? (If you enter Y, you need to enter the master key. If you enter N, the system will automatically generate the master key.) [Y/N]:Y

Enter a master key (20-32 characters):

Confirm the master key:

The storage space for history master keys is insufficient. Overwrite the oldest master key? [Y/N]:y

Operating, please wait for a moment...

..............

Operation succeeded.

【相關命令】

·     clear master-key

·     display master-key type

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們