选择区域语言: EN CN HK

10-安全命令参考

08-公钥管理命令

本章节下载  (121.63 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CR-R2420(V1.12)/10/201212/765589_30005_0.htm

08-公钥管理命令


1 公钥管理配置命令

1.1  公钥管理配置命令

1.1.1  display public-key local

【命令】

display public-key local { dsa | rsa } public

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

dsa:显示DSA本地密钥对中的公钥部分。

rsa:显示RSA本地密钥对中的公钥部分。

【描述】

display public-key local public命令用来显示本地密钥对中的公钥部分。

相关配置可参考命令public-key local create

【举例】

# 显示RSA本地密钥对中的公钥部分。

<Sysname> display public-key local rsa public

 

=====================================================

Time of Key pair created: 19:59:16  2007/10/25

Key name: HOST_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100BC4C392A97734A633BA0F1DB01F84E

B51228EC86ADE1DBA597E0D9066FDC4F04776CEA3610D2578341F5D049143656F1287502C06D39D39F28F0F5

CBA630DA8CD1C16ECE8A7A65282F2407E8757E7937DCCDB5DB620CD1F471401B7117139702348444A2D89004

97A87B8D5F13D61C4DEFA3D14A7DC07624791FC1D226F62DF3020301

0001

 

=====================================================

Time of Key pair created: 19:59:17  2007/10/25

Key name: SERVER_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100C51AF7CA926962284A4654B2AACC7B2AE12B2B

1EABFAC1CDA97E42C3C10D7A70D1012BF23ADE5AC4E7AAB132CFB6453B27E054BFAA0A85E113FBDE751EE0EC

EF659529E857CF8C211E2A03FD8F10C5BEC162B2989ABB5D299D1E4E27A13C7DD10203010001

# 显示DSA本地密钥对中的公钥部分。

<Sysname> display public-key local dsa public

 

=====================================================

Time of Key pair created: 20:00:16  2007/10/25

Key name: HOST_KEY

Key type: DSA Encryption Key

=====================================================

Key code:

308201B83082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD96E5F061C4F0A4

23F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1EDBD13EC8B274DA9F75BA26CCB987

723602787E922BA84421F22C3C89CB9B06FD60FE01941DDD77FE6B12893DA76EEBC1D128D97F0678D7722B53

41C8506F358214B16A2FAC4B368950387811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F

0281810082269009E14EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B

20CD35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B612391C76C1FB2

E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC9B09EEF

0381850002818100CCF1F78E0860BE937FD3CA07D2F2A1B66E74E5D1E16693EB374D677A7A6124EBABD59FE4

8796C56F3FF919F999AEB97D1F2B83D9B98AC09BC1F72E80DBE337CB29989A23378EB21C38EE083F11ED6DC8

D4DBE001BA85450CEA071C2A471C83761E4CF32C174B418612CDD597B441F0CAA05DC01CB93A0ABB247C06FB

A4C79054

表1-1 display public-key local public命令显示信息描述表

字段

描述

Time of Key pair created

本地密钥对产生时间和日期

Key name

密钥名称,取值包括:

l      HOST_KEY:主机公钥

l      SERVER_KEY:服务器公钥。只有密钥类型为RSA时,才会存在SERVER_KEY

Key type

密钥类型,取值包括:

l      RSA Encryption Key:密钥类型为RSA

l      DSA Encryption Key:密钥类型为DSA

Key code

密钥数据

 

1.1.2  display public-key peer

【命令】

display public-key peer [ brief | name publickey-name ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

brief:显示所有远端主机公钥的简明信息。

name publickey-name:显示指定远端主机公钥的详细信息,publickey-name为远端主机公钥的名称,为1~64个字符的字符串,区分大小写。

【描述】

display public-key peer命令用来显示保存在本地的远端主机的公钥信息。

如果没有指定任何参数,则显示所有保存在本地的远端主机公钥的详细信息。

可以通过public-key peer命令或public-key peer import sshkey命令将远端主机的公钥配置到本地。

相关配置可参考命令public-key peerpublic-key peer import sshkey

【举例】

# 显示密钥名称为idrsa的远端主机公钥的详细信息。

<Sysname> display public-key peer name idrsa

=====================================

  Key Name  : idrsa

  Key Type  : RSA

  Key Module: 1024

=====================================

Key Code:

30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0C01C7CE136BA76

C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB39B3F39C5CE56C95B6AB7442D563

93BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFFB58BE6F035FAA2C596B27D1231D159846B7CB9A775

7C5800FADA9FD72F65672F4A549EE99F63095E11BD37789955020123

表1-2 display public-key peer name命令显示信息描述表

字段

描述

Key Name

密钥名称

Key Type

密钥的类型

Key Module

密钥模数的长度,单位为bit

Key Code

密钥数据

 

# 显示保存在本地的所有远端主机公钥的简明信息。

<Sysname> display public-key peer brief

Type  Module  Name

---------------------------

RSA   1024    idrsa

DSA   1024    10.1.1.1

表1-3 display public-key peer brief命令显示信息描述表

字段

描述

Type

密钥类型

Module

密钥模数的长度,单位为bit

Name

远端主机公钥的名称

 

1.1.3  peer-public-key end

【命令】

peer-public-key end

【视图】

公钥视图

【缺省级别】

2:系统级

【参数】

【描述】

peer-public-key end命令用来从公钥视图退回到系统视图。

相关配置可参考命令public-key peer

【举例】

# 退出公钥视图。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key] peer-public-key end

[Sysname]

1.1.4  public-key-code begin

【命令】

public-key-code begin

【视图】

公钥视图

【缺省级别】

2:系统级

【参数】

【描述】

public-key-code begin命令用来进入公钥编辑视图。

进入公钥编辑视图后,可以开始输入密钥数据。在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据。

输入的密钥数据必须满足一定的格式要求。通过display public-key local public命令显示的公钥可以作为输入的密钥数据。

相关配置可参考命令public-key peerpublic-key-code end

【举例】

# 进入公钥编辑视图,输入密钥。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key] public-key-code begin

[Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC801

4F82515F6335A0A

[Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D164313

5877E13B1C531B4

[Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80

EB5F52698FCF3D6

[Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE

675AC30CB020301

[Sysname-pkey-key-code]0001

1.1.5  public-key-code end

【命令】

public-key-code end

【视图】

公钥编辑视图

【缺省级别】

2:系统级

【参数】

【描述】

public-key-code end命令用来从公钥编辑视图退回到公钥视图,并保存用户输入的公钥。

执行此命令后,结束公钥的编辑过程,系统自动保存配置的公钥。在存储之前,会进行密钥合法性的检测:

l              如果用户配置的公钥字符串不满足格式要求,那么将会显示相关提示信息,用户配置的密钥将被丢弃,本次配置失败;

l              如果用户配置的公钥字符串合法,则保存该公钥。

相关配置可参考命令public-key peerpublic-key-code begin

【举例】

# 退出公钥编辑视图,并保存用户配置的公钥。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key] public-key-code begin

[Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC801

4F82515F6335A0A

[Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D164313

5877E13B1C531B4

[Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80

EB5F52698FCF3D6

[Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE

675AC30CB020301

[Sysname-pkey-key-code]0001

[Sysname-pkey-key-code] public-key-code end

[Sysname-pkey-public-key]

1.1.6  public-key local create

【命令】

public-key local create { dsa | rsa }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dsa:本地密钥对类型为DSA。

rsa:本地密钥对类型为RSA。

【描述】

public-key local create用来生成本地密钥对。

需要注意的是:

l              执行该命令后,当本地密钥对类型为DSA或RSA时,会提示输入密钥模数的长度。密钥模数的最小长度为512比特,最大长度为2048比特,缺省长度为1024比特。如果已存在相应类型的密钥对,则需要用户确认是否进行修改。

l              执行此命令后,生成的密钥对将保存在设备中,设备重启后不会丢失。

相关配置可参考命令public-key local destroydisplay public-key local public

【举例】

# 生成RSA本地密钥对。

<Sysname> system-view

[Sysname] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++

++++++

++++++++

++++++++

# 生成DSA本地密钥对。

<Sysname> system-view

[Sysname] public-key local create dsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

*

*

1.1.7  public-key local destroy

【命令】

public-key local destroy { dsa | rsa }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dsa:本地密钥对类型为DSA。

rsa:本地密钥对类型为RSA。

【描述】

public-key local destroy命令用来销毁本地密钥对。

相关配置可参考命令public-key local create

【举例】

# 销毁RSA本地密钥对。

<Sysname> system-view

[Sysname] public-key local destroy rsa

Warning: Confirm to destroy these keys? [Y/N]:y

# 销毁DSA本地密钥对。

<Sysname> system-view

[Sysname] public-key local destroy dsa

Warning: Confirm to destroy these keys? [Y/N] :y

1.1.8  public-key local export dsa

【命令】

public-key local export dsa { openssh | ssh2 } [ filename ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

openssh:主机公钥格式为OpenSSH。

ssh2:主机公钥格式为SSH2.0。

filename:指定导出公钥存储的文件名,不同型号的设备支持的取值范围不同,请以设备的实际情况为准。文件名的详细介绍,请参见“基础配置命令参考”中的“文件系统管理”。

【描述】

public-key local export dsa命令用来根据指定格式在屏幕上显示本地DSA主机公钥或导出本地DSA主机公钥到指定文件。

当不指定文件名时,则在屏幕上显示本地DSA公钥;如果指定了文件名则将本地DSA公钥导出到指定文件并保存。

SSH2和OpenSSH是两种不同类型的公钥格式,根据不同的应用需求显示主机公钥或生成不同格式的公钥文件。

相关配置可参考命令public-key local createpublic-key local destroy

【举例】

# 以OpenSSH格式导出DSA主机公钥,文件名为key.pub。

<Sysname> system-view

[Sysname] public-key local export dsa openssh key.pub

# 以SSH2.0格式在屏幕上显示DSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export dsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "dsa-key-20070625"

AAAAB3NzaC1kc3MAAACBANdXJixFhMRMIR8YvZbl8GHE8KQj9/5ra4WzTO9yzhSg06UiL+CM7OZb5sJlhUiJ3B7b

0T7IsnTan3W6Jsy5h3I2Anh+kiuoRCHyLDyJy5sG/WD+AZQd3Xf+axKJPadu68HRKNl/BnjXcitTQchQbzWCFLFq

L6xLNolQOHgRx9ozAAAAFQDHcyGMc37I7pk7Ty3tMPSO2s6RXwAAAIEAgiaQCeFOxHS68pMuadOx8YUXrZWUGEzN

/OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5xsCAhcJGscXthI5HHbB+y6IMXwb2B

cdQey4PiEMA8ybMugQVhwhYhxz1tqsAo9LFYXaf0JRlxjMmwnu8AAACBANVcLNEKdDt6xcatpRjxsSrhXFVIdRjx

w59qZnKhl87GsbgP4ccUp3KmcRzuqpz1qNtfgoZOLzHnG1YGxPp7Q2k/uRuuHN0bJfBkOLo2/RyGqDJIqB4FQwmr

kwJuauYGqQy+mgE6dmHn0VG4gAkx9MQxDIBjzbZRX0bvxMdNKR22

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式显示DSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export dsa openssh

ssh-dss

AAAAB3NzaC1kc3MAAACBANdXJixFhMRMIR8YvZbl8GHE8KQj9/5ra4WzTO9yzhSg06UiL+CM7OZb5sJlhUiJ3B7b

0T7IsnTan3W6Jsy5h3I2Anh+kiuoRCHyLDyJy5sG/WD+AZQd3Xf+axKJPadu68HRKNl/BnjXcitTQchQbzWCFLFq

L6xLNolQOHgRx9ozAAAAFQDHcyGMc37I7pk7Ty3tMPSO2s6RXwAAAIEAgiaQCeFOxHS68pMuadOx8YUXrZWUGEzN

/OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5xsCAhcJGscXthI5HHbB+y6IMXwb2B

cdQey4PiEMA8ybMugQVhwhYhxz1tqsAo9LFYXaf0JRlxjMmwnu8AAACBANVcLNEKdDt6xcatpRjxsSrhXFVIdRjx

w59qZnKhl87GsbgP4ccUp3KmcRzuqpz1qNtfgoZOLzHnG1YGxPp7Q2k/uRuuHN0bJfBkOLo2/RyGqDJIqB4FQwmr

kwJuauYGqQy+mgE6dmHn0VG4gAkx9MQxDIBjzbZRX0bvxMdNKR22 dsa-key

1.1.9  public-key local export rsa

【命令】

public-key local export rsa { openssh | ssh1 | ssh2 } [ filename ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

openssh:主机公钥格式为OpenSSH。

ssh1:主机公钥格式为SSH1.5。

ssh2:主机公钥格式为SSH2.0。

filename:指定导出公钥存储的文件名,不同型号的设备支持的取值范围不同,请以设备的实际情况为准。文件名的详细介绍,请参见“基础配置命令参考”中的“文件系统管理”。

【描述】

public-key local export rsa命令用来根据指定格式在屏幕上显示本地RSA主机公钥或导出本地RSA主机公钥到指定文件。

当不指定文件名时,则在屏幕上显示本地RSA公钥;如果指定了文件名则将本地RSA公钥导出到指定文件并保存。

SSH1、SSH2和OpenSSH是三种不同类型的公钥格式,根据不同的应用需求显示主机公钥或生成不同格式的公钥文件。

相关配置可参考命令public-key local createpublic-key local destroy

【举例】

# 以OpenSSH格式导出RSA主机公钥,文件名为key.pub。

<Sysname> system-view

[Sysname] public-key local export rsa openssh key.pub

# 以SSH2.0格式在屏幕上显示RSA主机公钥。

[Sysname]public-key local export rsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-20070625"

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut5N

Ic5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o0MpO

pzh3W768/+u1riz+1LcwVTs51Q==

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式显示RSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export rs openssh

ssh-rsa

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut5N

Ic5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o0MpO

pzh3W768/+u1riz+1LcwVTs51Q== rsa-key

1.1.10  public-key peer

【命令】

public-key peer keyname

undo public-key peer keyname

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

keyname:公钥名,为1~64个字符的字符串,区分大小写。

【描述】

public-key peer命令用来配置公钥名称,并进入公钥视图。undo public-key peer命令用来删除远端主机公钥的配置。

进入公钥视图后,配合public-key-code beginpublic-key-code end命令,用户可以对远端的公钥进行配置。这种方式需要事先获取远端产生的十六进制形式的公钥。

相关配置可参考命令public-key-code beginpublic-key-code enddisplay public-key peer

【举例】

# 进入公钥视图,公钥名称为key1。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key]

1.1.11  public-key peer import sshkey

【命令】

public-key peer keyname import sshkey filename

undo public-key peer keyname

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

keyname:公钥名,为1~64个字符的字符串,区分大小写。

filename:指定导入公钥数据的文件名,不同型号的设备支持的取值范围不同,请以设备的实际情况为准。文件名的详细介绍,请参见“基础配置命令参考”中的“文件系统管理”。

【描述】

public-key peer import sshkey命令用来配置从公钥文件中导入远端主机的公钥。undo public-key peer命令用来删除远端主机公钥的配置。

执行本命令后,系统会自动对指定的公钥文件(支持自动识别的公钥格式SSH1、SSH2、OpenSSH)进行格式转换(转换为PKCS标准编码形式),并实现远端主机公钥的配置。这种方式需要远端主机事先通过FTP/TFTP方式,将公钥文件上传到本地设备。

相关配置可参考命令display public-key peer

【举例】

# 配置从公钥文件key.pub中导入远端主机的公钥,公钥名称为key2。

<Sysname> system-view

[Sysname] public-key peer key2 import sshkey key.pub

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!