国家 / 地区

11-安全配置指导

08-公钥管理配置

本章节下载  (269.78 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2516-V1.16/11/201807/1094146_30005_0.htm

08-公钥管理配置


1 公钥管理

1.1  简介

图1-1所示,为了保证数据在网络中安全传输、不被攻击者非法窃听和恶意篡改,发送方在发送数据之前需要对数据进行加密处理,即通过一定的算法,利用密钥将明文数据变换为密文数据;接收方接收到密文数据后,需要对其进行解密处理,即通过一定的算法,利用密钥将密文数据恢复为明文数据,以获得原始数据。其中,密钥是一组特定的字符串,是控制明文和密文转换的唯一参数,起到“钥匙”的作用。

图1-1 加密和解密转换关系示意图

 

如果数据加密和解密时使用不同的密钥,则该加/解密算法称为非对称密钥算法。在非对称密钥算法中,加密和解密使用的密钥一个是对外公开的公钥,一个是由用户秘密保存的私钥,从公钥很难推算出私钥。公钥和私钥一一对应,二者统称为非对称密钥对。通过公钥(或私钥)加密后的数据只能利用对应的私钥(或公钥)进行解密。

说明

如果数据加密和解密时使用相同的密钥,则该加/解密算法称为对称密钥算法。

 

非对称密钥算法包括RSA(Rivest Shamir and Adleman)和DSA(Digital Signature Algorithm,数字签名算法)等。

非对称密钥算法主要有两个用途:

·     对发送的数据进行加/解密:发送者利用接收者的公钥对数据进行加密,只有拥有对应私钥的接收者才能使用该私钥对数据进行解密,从而可以保证数据的机密性。目前,只有RSA算法可以用来对发送的数据进行加/解密。

·     对数据发送者的身份进行认证:非对称密钥算法的这种应用,称为数字签名。发送者利用自己的私钥对数据进行加密,接收者利用发送者的公钥对数据进行解密,从而实现对数据发送者身份的验证。由于只能利用对应的公钥对通过私钥加密后的数据进行解密,因此根据解密是否成功,就可以判断发送者的身份是否合法,如同发送者对数据进行了“签名”。例如,用户1使用自己的私钥对数据进行签名后,发给用户2,用户2利用用户1的公钥验证签名,如果签名是正确的,那么就能够确认该数据来源于用户1。目前,RSA和DSA都可以用于数字签名。

非对称密钥算法应用十分广泛,例如SSH(Secure Shell,安全外壳)、SSL(Secure Sockets Layer,安全套接字层)、PKI(Public Key Infrastructure,公钥基础设施)中都利用了非对称密钥算法进行数字签名。SSH、SSL和PKI的介绍,请参见“安全配置指导”中的“SSH”、“SSL”和“PKI”。

1.2  公钥管理配置任务简介

本章主要介绍如何管理非对称密钥对,包括:

·     本地非对称密钥对的管理:即管理设备自身的非对称密钥对,包括本地密钥对的生成、销毁、本地主机公钥的显示和导出。

·     远端主机公钥的管理:即将远端主机的主机公钥保存到本地设备。

完成本章中的配置后,并不能实现利用非对称密钥算法进行加/解密和数字签名,只是为其提供了必要的准备。本章中的配置只有与具体的应用(如SSH、SSL)配合使用,才能实现利用非对称密钥算法进行加/解密或数字签名。

表1-1 公钥管理配置任务简介

配置任务

说明

详细配置

配置本地非对称密钥对

生成本地非对称密钥对

根据实际情况选择需要的配置

1.3.1 

显示或导出本地非对称密钥对中的主机公钥

1.3.2 

销毁本地非对称密钥对

1.3.3 

配置申请证书使用的本地RSA密钥对

1.3.4 

导出本地非对称密钥对

1.3.5 

导入密钥对作为设备的本地非对称密钥对

1.3.6 

配置远端主机的公钥

1.4 

 

1.3  配置本地非对称密钥对

1.3.1  生成本地非对称密钥对

·     生成RSA密钥对时,将同时生成两个密钥对——服务器密钥对和主机密钥对,二者都包括一个公钥和一个私钥。RSA服务器密钥和主机密钥模数的最小长度均为512比特,最大长度为2048比特,缺省长度为1024比特。生成RSA密钥对时会提示用户输入密钥模数的长度,建议密钥模数的长度大于或等于768比特,以提高安全性。

说明

目前,只有SSH1.5中应用了RSA服务器密钥对。

 

·     生成DSA密钥对时,只生成一个主机密钥对。DSA主机密钥模数的最小长度为512比特,最大长度为2048比特,缺省长度为1024比特。生成DSA密钥对时会提示用户输入密钥模数的长度,建议密钥模数的长度大于或等于768比特,以提高安全性。

·     在FIPS模式下执行此命令后,当本地非对称密钥对类型为DSA时,密钥模数的长度至少为1024比特;当本地非对称密钥对类型为RSA时,密钥模数的长度必须为2048比特。

表1-2 生成本地非对称密钥对

操作

命令

说明

进入系统视图

system-view

-

生成本地非对称密钥对

public-key local create { dsa | rsa | sm2 } [ name key-name ]

必选

缺省情况下,不存在任何非对称密钥对

 

说明

执行public-key local create命令后,生成的密钥对将保存在设备中,设备重启后密钥不会丢失。

 

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

1.3.2  显示或导出本地非对称密钥对中的主机公钥

在某些应用(如SSH)中,为了实现远端主机采用数字签名方法对本地设备进行身份验证,用户需要将本地的主机公钥保存到远端主机上。

将本地的主机公钥保存到远端主机上,有以下三种方法:

·     如表1-3所示,在本地设备上执行display public-key local public命令显示非对称密钥对中的公钥信息,并记录主机公钥数据。如表1-11所示,在远端主机上,通过手工配置的方式将记录的本地主机公钥保存到远端设备上。

·     如表1-4所示,在本地设备上执行public-key local export public命令按照指定格式显示本地主机公钥(执行命令时不指定filename参数),通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到远端主机上。如表1-10所示,在远端主机上,通过从公钥文件中导入的方式将本地的主机公钥保存到远端设备上。

·     如表1-5所示,在本地设备上执行public-key local export public命令按照指定格式将本地主机公钥导出到指定文件(执行命令时指定filename参数),并将该文件上传到远端主机上。如表1-10所示,在远端主机上,通过从公钥文件中导入的方式将本地的主机公钥保存到远端设备上。

说明

远端主机上的配置方法,请参见“1.4  配置远端主机的公钥”。“1.4  配置远端主机的公钥”中描述了如何将远端主机的公钥配置到本地主机上,将本地主机公钥配置到远端主机上的过程与此类似,只不过前者需要在本地主机上执行“1.4  配置远端主机的公钥”中的配置,后者需要在远端主机上执行该配置。

 

表1-3 显示本地非对称密钥对中的公钥信息

操作

命令

说明

显示本地RSA密钥对中的公钥信息

display public-key local rsa public [ | { begin | exclude | include } regular-expression ]

三者至少选择其一

可以在任意视图下执行这两条命令

显示本地DSA密钥对中的公钥信息

display public-key local dsa public [ | { begin | exclude | include } regular-expression ]

显示本地SM2密钥对中的公钥信息

display public-key local sm2 public [ | { begin | exclude | include } regular-expression ]

 

说明

执行display public-key local rsa public命令后,会同时显示RSA服务器密钥对和主机密钥对的公钥信息。用户只需记录主机密钥对的公钥信息。

 

表1-4 按照指定格式显示本地非对称密钥对中的主机公钥

操作

命令

说明

进入系统视图

system-view

-

按照指定格式显示本地RSA主机公钥

public-key local export public rsa { openssh | ssh1 | ssh2 }

二者至少选择其一

按照指定格式显示本地DSA主机公钥

public-key local export public dsa { openssh | ssh2 }

 

表1-5 按照指定格式导出本地非对称密钥对中的主机公钥

操作

命令

说明

进入系统视图

system-view

-

按照指定格式将本地RSA主机公钥导出到指定文件

public-key local export rsa { openssh | ssh1 | ssh2 } filename

二者至少选择其一

按照指定格式将本地DSA主机公钥导出到指定文件

public-key local export dsa { openssh | ssh2 } filename

 

1.3.3  销毁本地非对称密钥对

在如下几种情况下,建议用户销毁旧的非对称密钥对,并生成新的密钥对:

·     本地设备的私钥泄露。这种情况下,非法用户可能会冒充本地设备访问网络。

·     保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名。

·     密钥对使用了较长时间,可能存在密钥泄露或破译的风险。

·     本地证书到达有效期,需要删除对应的本地密钥对。本地证书的详细介绍,请参见“安全配置指导”中的“PKI”。

表1-6 销毁本地非对称密钥对

操作

命令

说明

进入系统视图

system-view

-

销毁本地非对称密钥对

public-key local destroy { dsa | rsa | sm2 } [ name key-name ]

必选

 

1.3.4  配置申请证书使用的本地RSA密钥对

在配置自动申请证书方式后,如果有业务触发自动申请证书,会按指定的key-name创建RSA密钥对。本地证书的详细介绍,请参见“安全配置指导”中的“PKI”。

表1-7 配置申请证书使用的本地RSA密钥对

操作

命令

说明

进入系统视图

system-view

-

进入PKI域视图

pki domain domain-name

-

配置申请证书使用的本地RSA密钥对

public-key rsa general name key-name

可选

 

1.3.5  导出本地非对称密钥对

执行public-key local export rsa命令后,系统会将指定名称的本地密钥中的公钥部分和私钥部分输出到终端上。其中,私钥部分的数据是加密的,使用的算法和密钥由本命令中的参数指定。

说明

将导出的本地非对称密钥对导入到目标设备的配置方法,请参见“导入密钥对作为设备的本地非对称密钥对”。

 

表1-8 导出本地非对称密钥对

操作

命令

说明

进入系统视图

system-view

-

导出本地非对称密钥对

public-key local export rsa name key-name pem { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc } password

必选

不支持导出默认的非对称密钥对

目前只支持导出PEM格式的RSA密钥对

 

1.3.6  导入密钥对作为设备的本地非对称密钥对

执行public-key local import rsa命令后,系统会在终端提示用户输入密钥对的内容。用户可将从另一个设备导出的密钥对的密钥内容粘贴到本设备的终端。粘贴完成后,以Ctrl+C表示输入结束,终端会再提示输入口令,用户应把导出该密钥对时输入的加密口令再次输入,即可完成导入过程。由于密钥对中的私钥部分已经包含了公钥的所有信息,因此导入过程中只需要粘贴导出时显示在终端的私钥部分,不需要粘贴公钥部分。导入完成后,该设备即拥有了与导出密钥对的设备相同的密钥对。

表1-9 导入密钥对作为设备的本地非对称密钥对

操作

命令

说明

进入系统视图

system-view

-

导入密钥对作为设备的本地非对称密钥对

public-key local import rsa name key-name pem

必选

不支持将导入的密钥对存为默认的非对称密钥对

目前只支持导入PEM格式的RSA密钥对

 

1.4  配置远端主机的公钥

在某些应用(如SSH)中,为了实现本地设备对远端主机的身份验证,需要在本地设备上配置远端主机的RSA或DSA主机公钥。

配置远端主机公钥的方式有如下两种:

·     从公钥文件中导入:用户事先将远端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入远端主机的公钥。导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。

·     手工配置:用户事先在远端主机上查看其公钥信息,并记录远端主机公钥的内容。在本地设备上采用手工输入的方式将远端主机的公钥配置到本地。手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。

说明

·     手工配置远端主机的公钥时,输入的主机公钥必须满足一定的格式要求。通过display public-key local public命令显示的公钥可以作为输入的公钥内容;通过其他方式(如public-key local export命令)显示的公钥可能不满足格式要求,导致主机公钥保存失败。因此,建议选用从公钥文件导入的方式配置远端主机的公钥。

远端主机公钥信息的获取方法,请参见“1.3.2  显示或导出本地非对称密钥的主机公钥”。

·     设备上最多可以配置20个远端主机的公钥。

 

表1-10 从公钥文件中导入远端主机的公钥

操作

命令

说明

进入系统视图

system-view

-

从公钥文件中导入远端主机的公钥

public-key peer keyname import sshkey filename

必选

 

表1-11 手工配置远端主机的公钥

操作

命令

说明

进入系统视图

system-view

-

指定远端主机公钥的名称,并进入公钥视图

public-key peer keyname

必选

进入公钥编辑视图

public-key-code begin

-

配置远端主机的公钥

逐个字符输入或拷贝粘贴公钥内容

必选

在输入公钥内容时,字符之间可以有空格,也可以按回车键继续输入数据。保存公钥数据时,将删除空格和回车符

退回公钥视图,并保存配置的主机公钥

public-key-code end

必选

退出公钥编辑视图时,系统自动保存配置的主机公钥

退回系统视图

peer-public-key end

-

 

1.5  公钥管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后公钥管理的信息,通过查看显示信息验证配置的效果。

表1-12 公钥管理显示和维护

操作

命令

显示本地非对称密钥对中的公钥信息

display public-key local { dsa | rsa | sm2 } public [ | { begin | exclude | include } regular-expression ]

显示保存在本地的远端主机的公钥信息

display public-key peer [ brief | name publickey-name ] [ | { begin | exclude | include } regular-expression ]

 

1.6  公钥管理典型配置举例

1.6.1  手工配置远端主机的公钥

1. 组网需求

图1-2所示,为了防止非法用户访问,Device B(本地设备)采用数字签名方法对访问它的Device A(远端设备)进行身份验证。进行身份验证前,需要在Device B上配置Device A的公钥。

本例中要求:

·     Device B采用的非对称密钥算法为RSA算法。

·     采用手工配置方式在Device B上配置Device A的主机公钥。

2. 组网图

图1-2 手工配置远端主机的公钥组网图

 

3. 配置步骤

(1)     配置Device A

# 在Device A上生成本地RSA非对称密钥对,密钥模数的长度采用缺省值1024比特。

<DeviceA> system-view

[DeviceA] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++

++++++

++++++++

++++++++

# 显示生成的本地RSA密钥对的公钥信息。

[DeviceA] display public-key local rsa public

 

=====================================================

Time of Key pair created: 09:50:06  2007/08/07

Key name: HOST_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

 

=====================================================

Time of Key pair created: 09:50:07  2007/08/07

Key name: SERVER_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100999089E7AEE9802002D9EB2D0433B87BB6158E35000AFB3FF310E42F109829D65BF70F7712507BE1A3E0BC5C2C03FAAF00DFDDC63D004B4490DACBA3CFA9E84B9151BDC7EECE1C8770D961557D192DE2B36CAF9974B7B293363BB372771C2C1F0203010001

(2)     配置Device B

# 在Device B上配置Device A的主机公钥:在公钥编辑视图输入Device A的主机公钥,即在Device A上通过display public-key local dsa public命令显示的主机公钥HOST_KEY内容。

<DeviceB> system-view

[DeviceB] public-key peer devicea

Public key view: return to System View with "peer-public-key end".

[DeviceB-pkey-public-key] public-key-code begin

Public key code view: return to last view with "public-key-code end".

[DeviceB-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

[DeviceB-pkey-key-code] public-key-code end

[DeviceB-pkey-public-key] peer-public-key end

# 显示Device B上保存的Device A的主机公钥信息。

[DeviceB] display public-key peer name devicea

 

=====================================

  Key Name  : devicea

  Key Type  : RSA

  Key Module: 1024

=====================================

Key Code:

30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

通过对比可以看出,Device B上保存的Device A的主机公钥信息与Device A实际的主机公钥信息一致。

1.6.2  从公钥文件中导入远端主机的公钥

1. 组网需求

图1-3所示,为了防止非法用户访问,Device B(本地设备)采用数字签名方法对访问它的Device A(远端设备)进行身份验证。进行身份验证前,需要在Device B上配置Device A的公钥。

本例中要求:

·     Device B采用的非对称密钥算法为RSA算法。

·     采用从公钥文件中导入的方式在Device B上配置Device A的主机公钥。

2. 组网图

图1-3 从公钥文件中导入远端主机的公钥组网图

 

3. 配置步骤

(1)     在Device A上生成密钥对,并导出公钥

# 在Device A上生成默认的本地RSA非对称密钥对,密钥模数的长度采用缺省值1024比特。

<DeviceA> system-view

[DeviceA] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++

++++++

++++++++

++++++++

# 显示生成的默认的本地RSA密钥对的公钥信息。

[DeviceA] display public-key local rsa public

 

=====================================================

Time of Key pair created: 09:50:06  2007/08/07

Key name: HOST_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

 

=====================================================

Time of Key pair created: 09:50:07  2007/08/07

Key name: SERVER_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100999089E7AEE9802002D9EB2D0433B87BB6158E35000AFB3FF310E42F109829D65BF70F7712507BE1A3E0BC5C2C03FAAF00DFDDC63D004B4490DACBA3CFA9E84B9151BDC7EECE1C8770D961557D192DE2B36CAF9974B7B293363BB372771C2C1F0203010001

# 将生成的RSA主机公钥HOST_KEY导出到指定文件devicea.pub中。

[DeviceA] public-key local export public rsa ssh2 devicea.pub

(2)     在Device A上启动FTP服务器功能

# 启动FTP服务器功能,并创建FTP用户,用户名为ftp,密码为123,用户级别为3(以便FTP用户具有足够的权限执行FTP操作)。

[DeviceA] ftp server enable

[DeviceA] local-user ftp

[DeviceA-luser-ftp] password simple 123

[DeviceA-luser-ftp] service-type ftp

[DeviceA-luser-ftp] authorization-attribute level 3

[DeviceA-luser-ftp] quit

(3)     Device B获取Device A的公钥文件

# Device B通过FTP以二进制方式从Device A获取公钥文件devicea.pub。

<DeviceB> ftp 10.1.1.1

Trying 10.1.1.1 ...

Press CTRL+K to abort

Connected to 10.1.1.1.

220 FTP service ready.

User(10.1.1.1:(none)):ftp

331 Password required for ftp.

Password:

230 User logged in.

[ftp] binary

200 Type set to I.

[ftp] get devicea.pub

227 Entering Passive Mode (10,1,1,1,5,148).

125 BINARY mode data connection already open, transfer starting for /devicea.pub.

226 Transfer complete.

FTP: 299 byte(s) received in 0.189 second(s), 1.00Kbyte(s)/sec.

[ftp] quit

221 Server closing.

(4)     Device B从公钥文件中导入公钥

# Device B从公钥文件中导入Device A的主机公钥。

<DeviceB> system-view

[DeviceB] public-key peer devicea import sshkey devicea.pub

# 显示Device B上保存的Device A的主机公钥信息。

[DeviceB] display public-key peer name devicea

 

=====================================

  Key Name  : devicea

  Key Type  : RSA

  Key Module: 1024

=====================================

Key Code:

30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

通过对比可以看出,Device B上保存的Device A的主机公钥信息与Device A实际的主机公钥信息一致。

1.6.3  密钥对的导出、导入

1. 组网需求

如组网图所示,Device A上生成一个本地RSA密钥对,需要通过密钥对导入的方式使得Device B上也拥有与Device A相同的密钥对。

2. 组网图

图1-4 密钥对的导出、导入组网图

 

3. 配置步骤

(1)     在Device A上生成密钥对,并导出公钥

# 在Device A上生成本地RSA非对称密钥对,名称为rsa1,密钥模数的长度采用缺省值1024比特。

<DeviceA> system-view

[DeviceA] public-key local create rsa name rsa1

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 导出名称为rsa1的本地密钥对,导出时使用的加密算法为3DES CBC,加密口令为12345678。

[DeviceA] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

 

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

将以上终端上显示的私钥内容进行拷贝操作,以供在其它设备上粘贴。

(2)     在Device B上导入密钥对

# 将从Device A导出的RSA密钥以PEM格式导入到Device B,并命名为rsa1。

·     执行完导入命令后,根据系统提示,将从Device A上拷贝的私钥内容粘贴到终端上。

·     粘贴完成后,以Ctrl+C表示输入结束。

·     终端提示输入口令后,输入Device A上导出该密钥对时输入的加密口令。

[DeviceB] public-key local import rsa name rsa1 pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

 

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

^C

Please input the password:

(3)     验证导入成功

# 在Device B上显示RSA本地密钥对,其公钥内容与Device A上相应的RSA本地密钥对的公钥内容一致。

<DeviceB> display public-key local rsa public

Time of Key pair created: 14:42:29  2013/03/21

Key name: rsa1

Key type: RSA

=====================================================

Key code:30819F300D06092A864886F70D010101050003818D0030818902818100CD7891BEB84FE

E1F6ECF45C4D533B03BAFD73A983D3DEA9FE362C153D6E2BEB80DD234E749A42A5541F23B6C45AEC

04C7F80D81F40B18105A88DFDE1802279062906F8DC65872A1F763F7BF471548D709118494C5F622

0E58D5F2722A7A183999075EB494828DB7843855A81A0E701C1CDC15BBEF136329308DC179CD9D38

BB30203010001

 

<DeviceB>

# 在Device A上显示RSA本地密钥对。

<DeviceA> display public-key local rsa public

Time of Key pair created: 14:42:29  2013/03/21

Key name: rsa1

Key type: RSA

=====================================================

Key code:30819F300D06092A864886F70D010101050003818D0030818902818100CD7891BEB84FE

E1F6ECF45C4D533B03BAFD73A983D3DEA9FE362C153D6E2BEB80DD234E749A42A5541F23B6C45AEC

04C7F80D81F40B18105A88DFDE1802279062906F8DC65872A1F763F7BF471548D709118494C5F622

0E58D5F2722A7A183999075EB494828DB7843855A81A0E701C1CDC15BBEF136329308DC179CD9D38

BB30203010001

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!