选择区域语言: EN CN HK

10-安全命令参考

09-公钥管理命令

本章节下载  (151.80 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/10/201702/973904_30005_0.htm

09-公钥管理命令


1 公钥管理

1.1  公钥管理配置命令

1.1.1  display public-key local public

【命令】

display public-key local { dsa | rsa } public [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

dsa:显示DSA本地密钥对中的公钥信息。

rsa:显示RSA本地密钥对中的公钥信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display public-key local public命令用来显示本地非对称密钥对中的公钥信息。

相关配置可参考命令public-key local create

【举例】

# 显示本地RSA密钥对中的公钥信息。

<Sysname> display public-key local rsa public

 

=====================================================

Time of Key pair created: 19:59:16  2007/10/25

Key name: HOST_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100BC4C392A97734A633BA0F1DB01F84EB51228EC86ADE1DBA597E0D9066FDC4F04776CEA3610D2578341F5D049143656F1287502C06D39D39F28F0F5CBA630DA8CD1C16ECE8A7A65282F2407E8757E7937DCCDB5DB620CD1F471401B7117139702348444A2D8900497A87B8D5F13D61C4DEFA3D14A7DC07624791FC1D226F62DF30203010001

 

=====================================================

Time of Key pair created: 19:59:17  2007/10/25

Key name: SERVER_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100C51AF7CA926962284A4654B2AACC7B2AE12B2B1EABFAC1CDA97E42C3C10D7A70D1012BF23ADE5AC4E7AAB132CFB6453B27E054BFAA0A85E113FBDE751EE0ECEF659529E857CF8C211E2A03FD8F10C5BEC162B2989ABB5D299D1E4E27A13C7DD10203010001

# 显示本地DSA密钥对中的公钥信息。

<Sysname> display public-key local dsa public

 

=====================================================

Time of Key pair created: 20:00:16  2007/10/25

Key name: HOST_KEY

Key type: DSA Encryption Key

=====================================================

Key code:

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

A4C79054

表1-1 display public-key local public命令显示信息描述表

字段

描述

Time of Key pair created

本地非对称密钥对产生时间

Key name

密钥名称,取值包括:

·     HOST_KEY:主机公钥

·     SERVER_KEY:服务器公钥。只有密钥类型为RSA时,才会存在SERVER_KEY

·     用户自定义公钥名称

Key type

密钥类型,取值包括:

·     RSA Encryption Key:密钥类型为RSA

·     DSA Encryption Key:密钥类型为DSA

Key code

公钥数据

 

1.1.2  display public-key peer

【命令】

display public-key peer [ brief | name publickey-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

brief:显示保存在本地的所有远端主机公钥的简明信息。

name publickey-name:显示保存在本地的指定远端主机公钥的详细信息,publickey-name为远端主机公钥的名称,为1~64个字符的字符串,区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display public-key peer命令用来显示保存在本地的远端主机的公钥信息。

如果没有指定任何参数,则显示所有保存在本地的远端主机公钥的详细信息。

可以通过public-key peer命令或public-key peer import sshkey命令将远端主机的公钥配置到本地。

相关配置可参考命令public-key peerpublic-key peer import sshkey

【举例】

# 显示保存在本地的密钥名称为idrsa的远端主机公钥的详细信息。

<Sysname> display public-key peer name idrsa

=====================================

  Key Name  : idrsa

  Key Type  : RSA

  Key Module: 1024

=====================================

Key Code:

30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0C01C7CE136BA76C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB39B3F39C5CE56C95B6AB7442D56393BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFFB58BE6F035FAA2C596B27D1231D159846B7CB9A7757C5800FADA9FD72F65672F4A549EE99F63095E11BD37789955020123

表1-2 display public-key peer name命令显示信息描述表

字段

描述

Key Name

远端主机公钥的名称

Key Type

密钥类型,取值包括RSA和DSA

Key Module

密钥模数的长度,单位为bit

Key Code

公钥数据

 

# 显示保存在本地的所有远端主机公钥的简明信息。

<Sysname> display public-key peer brief

Type  Module  Name

---------------------------

RSA   1024    idrsa

DSA   1024    10.1.1.1

表1-3 display public-key peer brief命令显示信息描述表

字段

描述

Type

密钥类型,取值包括RSA和DSA

Module

密钥模数的长度,单位为比特

Name

远端主机公钥的名称

 

1.1.3  peer-public-key end

【命令】

peer-public-key end

【视图】

公钥视图

【缺省级别】

2:系统级

【参数】

【描述】

peer-public-key end命令用来从公钥视图退回到系统视图。

相关配置可参考命令public-key peer

【举例】

# 退出公钥视图。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key] peer-public-key end

[Sysname]

1.1.4  public-key-code begin

【命令】

public-key-code begin

【视图】

公钥视图

【缺省级别】

2:系统级

【参数】

【描述】

public-key-code begin命令用来进入公钥编辑视图。

进入公钥编辑视图后,可以开始输入密钥数据。在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据。保存公钥数据时,将删除空格和回车符。

需要注意的是,输入的密钥数据必须满足一定的格式要求。通过display public-key local public命令显示的公钥可以作为输入的密钥数据。

相关配置可参考命令public-key peerpublic-key-code end

【举例】

# 进入公钥编辑视图,输入密钥。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key] public-key-code begin

[Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8014F82515F6335A0A

[Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643135877E13B1C531B4

[Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80EB5F52698FCF3D6

[Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE675AC30CB020301

[Sysname-pkey-key-code]0001

1.1.5  public-key-code end

【命令】

public-key-code end

【视图】

公钥编辑视图

【缺省级别】

2:系统级

【参数】

【描述】

public-key-code end命令用来从公钥编辑视图退回到公钥视图,并保存用户输入的公钥。

执行此命令后,结束公钥的编辑过程,系统自动保存配置的公钥。在存储之前,会进行密钥合法性的检测:

·     如果用户配置的公钥字符串不满足格式要求,那么将会显示相关提示信息,用户配置的密钥将被丢弃,本次配置失败;

·     如果用户配置的公钥字符串合法,则保存该公钥。

相关配置可参考命令public-key peerpublic-key-code begin

【举例】

# 退出公钥编辑视图,并保存用户配置的公钥。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key] public-key-code begin

[Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8014F82515F6335A0A

[Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643135877E13B1C531B4

[Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80EB5F52698FCF3D6

[Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE675AC30CB020301

[Sysname-pkey-key-code]0001

[Sysname-pkey-key-code] public-key-code end

[Sysname-pkey-public-key]

1.1.6  public-key local create

【命令】

public-key local create { dsa | rsa } [ name key-name ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dsa:本地密钥对类型为DSA。

rsa:本地密钥对类型为RSA。

name key-name:生成指定名称的本地非对称密钥对。key-name为本地非对称密钥对的名称,为1~64个字符的字符串,不区分大小写,字符串中可以包含字母、数字及“-”。如果不指定本参数,则生成的RSA主机密钥对的默认名称为hostkey,RSA服务器密钥对的默认名称为serverkey,DSA密钥对的默认名称为dsakey。

【描述】

public-key local create命令用来生成本地非对称密钥对。

缺省情况下,不存在任何非对称密钥对。

需要注意的是:

·     执行此命令后,当本地非对称密钥对类型为DSA或RSA时,会提示输入密钥模数的长度。密钥模数的最小长度为512比特,最大长度为2048比特,缺省长度为1024比特。

·     在FIPS模式下执行此命令后,当本地非对称密钥对类型为DSA时,密钥模数的长度至少为1024比特;当本地非对称密钥对类型为RSA时,密钥模数的长度必须为2048比特。

·     执行此命令后,生成的密钥对将保存在设备中,设备重启后密钥不会丢失。

相关配置可参考命令public-key local destroydisplay public-key local public

【举例】

# 生成默认的本地RSA非对称密钥对。

<Sysname> system-view

[Sysname] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 生成默认的本地DSA非对称密钥对。

<Sysname> system-view

[Sysname] public-key local create dsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++.++++++++++++++++++++++++++++++++

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

# 生成名称为rsa1的本地RSA非对称密钥对。

<Sysname> system-view

[Sysname] public-key local create rsa name rsa1

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

1.1.7  public-key local destroy

【命令】

public-key local destroy { dsa | rsa } [ name key-name ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dsa:本地密钥对类型为DSA。

rsa:本地密钥对类型为RSA。

name key-name:销毁指定名称的本地非对称密钥对。key-name为本地非对称密钥对名称,为1~64个字符的字符串,不区分大小写,字符串中可以包含字母、数字及“-”。如果不指定本参数,则销毁指定类型默认名称的本地非对称密钥对。

【描述】

public-key local destroy命令用来销毁本地非对称密钥对。

相关配置可参考命令public-key local create

【举例】

# 销毁默认的本地RSA非对称密钥对。

<Sysname> system-view

[Sysname] public-key local destroy rsa

Warning: Confirm to destroy these keys? [Y/N]:y

# 销毁默认的本地DSA非对称密钥对。

<Sysname> system-view

[Sysname] public-key local destroy dsa

Warning: Confirm to destroy these keys? [Y/N] :y

# 销毁名称为rsa1的本地RSA非对称密钥对。

<Sysname> system-view

[Sysname] public-key local destroy rsa name rsa1

Warning: Destroy the key pair. Continue? [Y/N]:y

1.1.8  public-key local export

【命令】

public-key local export rsa name key-name pem { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc } password

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

rsa:本地密钥对类型为RSA。

name key-name:将被导出的本地密钥对的名字。key-name为1~64个字符的字符串,不区分大小写,字符串中可以包含字母、数字及“-”。

pem:将本地密钥对导出为PEM格式。

3des-cbc:导出本地密钥对时所使用的加密算法为CBC模式的3DES。

aes-cbc-128:导出本地密钥对时所使用的加密算法为CBC模式的AES,密钥长度为128比特。

aes-cbc-192:导出本地密钥对时所使用的加密算法为CBC模式的AES,密钥长度为192比特。

aes-cbc-256:导出本地密钥对时所使用的加密算法为CBC模式的AES,密钥长度为256比特。

des-cbc:导出本地密钥对时所使用的加密算法为CBC模式的DES。

password:导出本地密钥对时,对其加密所使用的口令。

【描述】

public-key local export命令用于导出本地非对称密钥对。

导出的密钥对为PEM格式,这是因为PEM编码为可打印字符,可以通过终端输出。执行此命令后,RSA本地密钥对的公钥和私钥内容都会打印到终端。

导出的本地密钥对必须通过口令password加密保护,不支持导出明文的本地密钥对。

不支持导出默认的密钥对。

相关配置可参考命令public-key local import

【举例】

# 以PEM格式显示名字为mykey的本地非对称密钥对,加密口令为12345678。

<Sysname> system-view

[Sysname] public-key local export rsa name mykey pem 3des-cbc 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

 

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

1.1.9  public-key local export public dsa

【命令】

public-key local export public dsa { openssh | ssh2 } [ filename ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

openssh:主机公钥格式为OpenSSH。

ssh2:主机公钥格式为SSH2.0。

filename:指定导出公钥存储的文件名。文件名的详细介绍,请参见“基础配置指导”中的“文件系统管理”。

【描述】

public-key local export public dsa命令用来根据指定格式显示本地DSA主机公钥或将其导出到指定文件。

如果执行本命令时没有指定文件名,则按照指定格式显示本地DSA主机公钥;如果指定了文件名,则将本地DSA主机公钥导出到指定文件并保存。

SSH2.0和OpenSSH是两种不同类型的公钥格式,用户需要根据服务器端支持的对端公钥格式,来选择导出的主机公钥格式。

相关配置可参考命令public-key local createpublic-key local destroy

【举例】

# 以OpenSSH格式导出本地DSA主机公钥,文件名为key.pub。

<Sysname> system-view

[Sysname] public-key local export public dsa openssh key.pub

# 以SSH2.0格式显示本地DSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export public dsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "dsa-key-20070625"

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

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式显示本地DSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export public dsa openssh

ssh-dss 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 dsa-key

1.1.10  public-key local export public rsa

【命令】

public-key local export public rsa { openssh | ssh1 | ssh2 } [ filename ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

openssh:主机公钥格式为OpenSSH。

ssh1:主机公钥格式为SSH1.5。

ssh2:主机公钥格式为SSH2.0。

filename:指定导出公钥存储的文件名。文件名的详细介绍,请参见“基础配置指导”中的“文件系统管理”。

【描述】

public-key local export public rsa命令用来根据指定格式显示本地RSA主机公钥或将其导出到指定文件。

如果执行本命令时没有指定文件名,则显示本地RSA主机公钥;如果指定了文件名,则将本地RSA主机公钥导出到指定文件并保存。

SSH1.5、SSH2.0和OpenSSH是三种不同类型的公钥格式,用户需要根据服务器端支持的对端公钥格式,来选择导出的主机公钥格式。

相关配置可参考命令public-key local createpublic-key local destroy

【举例】

# 以OpenSSH格式导出本地RSA主机公钥,文件名为key.pub。

<Sysname> system-view

[Sysname] public-key local export public rsa openssh key.pub

# 以SSH2.0格式显示本地RSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export public rsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-20070625"

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut5NIc5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o0MpOpzh3W768/+u1riz+1LcwVTs51Q==

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式显示本地RSA主机公钥。

<Sysname> system-view

[Sysname] public-key local export public rsa openssh

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut5NIc5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o0MpOpzh3W768/+u1riz+1LcwVTs51Q== rsa-key

1.1.11  public-key local import

【命令】

public-key local import rsa name key-name pem

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

rsa:本地密钥对类型为RSA。

name key-name:导入的本地密钥对以指定的名称保存,key-name为本地非对称密钥对名称,为1~64个字符的字符串,不区分大小写,字符串中可以包含字母、数字及“-”。

pem:导入的本地密钥对的格式为PEM。

【描述】

public-key local import命令用于导入密钥对作为设备的本地非对称密钥对。

导入密钥对时需要指定密钥对的名称key-name,当导入完成后,存储在设备上的本地密钥对以该指定的名称作为其名字。由于默认密钥对与导入的密钥对的保存路径不同,因此导入的密钥对并不会覆盖默认的密钥对。

导入的本地密钥对必须是PEM格式,这是因为PEM编码为可打印字符,可以通过终端输入。

执行此命令后,请根据提示,在终端上粘贴密钥对的内容。该内容必须包含密钥的私钥部分,可以不包含公钥部分,因为PEM编码的私钥中已经包含了相应的公钥信息。

导入的本地密钥对必须是通过口令加密保护的密钥对,不支持导入未加密的密钥对。

相关配置可参考命令public-key local export

【举例】

# 导入PEM格式的密钥对作为本地非对称密钥对,取名字为mykey,加密口令为12345678。

<Sysname> system-view

[Sysname] public-key local import rsa name mykey pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

 

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

^C

Please input the password:12345678

[Sysname]

# 导入本地非对称密钥对时,如果已经存在相同名称的密钥对,则提示是否覆盖。

Warning: The device already has a key pair with the same name. If you choose to continue, the existing key pair will be overwritten.

Continue? [Y/N]:

1.1.12  public-key peer

【命令】

public-key peer keyname

undo public-key peer keyname

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

keyname:远端主机公钥的名称,为1~64个字符的字符串,区分大小写。

【描述】

public-key peer命令用来指定远端主机公钥的名称,并进入公钥视图。undo public-key peer命令用来删除远端主机公钥。

通过手工配置方式创建远端主机公钥时,用户需要事先获取并记录远端主机十六进制形式的公钥,并在本地设备上执行以下操作:

(1)     执行本命令和public-key-code begin命令进入公钥编辑视图。

(2)     在公钥编辑视图,手工输入远端主机的公钥。

(3)     执行public-key-code end命令,自动保存输入的远端主机公钥,并退回到公钥视图。

(4)     执行peer-public-key end命令,从公钥视图退回到系统视图。

相关配置可参考命令public-key-code beginpublic-key-code endpeer-public-key enddisplay public-key peer

【举例】

# 指定远端主机公钥名称为key1,并进入公钥视图。

<Sysname> system-view

[Sysname] public-key peer key1

[Sysname-pkey-public-key]

1.1.13  public-key peer import sshkey

【命令】

public-key peer keyname import sshkey filename

undo public-key peer keyname

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

keyname:公钥名,为1~64个字符的字符串,区分大小写。

filename:指定导入公钥数据的文件名。文件名的详细介绍,请参见“基础配置指导”中的“文件系统管理”。

【描述】

public-key peer import sshkey命令用来配置从公钥文件中导入远端主机的公钥。undo public-key peer命令用来删除远端主机公钥。

执行本命令后,系统会自动对指定的公钥文件中的公钥进行格式转换(转换为PKCS标准编码形式),并将该远端主机的公钥保存到本地设备。这种方式需要远端主机事先将其公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备)。

目前,设备能够自动识别的公钥格式为SSH1.5、SSH2.0和OpenSSH。

相关配置可参考命令display public-key peer

【举例】

# 配置从公钥文件key.pub中导入远端主机的公钥,公钥名称为key2。

<Sysname> system-view

[Sysname] public-key peer key2 import sshkey key.pub

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!