公钥管理
特性简介
公钥管理用于非对称密钥算法的密钥管理与发布。
非对称密钥算法
非对称密钥算法是数据加解密的一种方法,用来保证数据在网络中安全传输、不被攻击者非法窃听和恶意篡改。如图-1所示,在非对称密钥算法中,加密和解密使用的密钥一个是对外公开的公钥,一个是由用户秘密保存的私钥,从公钥很难推算出私钥。公钥和私钥一一对应,二者统称为非对称密钥对。通过公钥(或私钥)加密后的数据只能利用对应的私钥(或公钥)进行解密。对称密钥算法中,加密和解密使用相同的密钥。
非对称密钥算法包括RSA(Rivest Shamir and Adleman)、DSA(Digital Signature Algorithm,数字签名算法)、ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法)和SM2算法等。
非对称密钥算法既可以用来对发送的数据进行加/解密,也可以用来对数据发送者的身份进行认证。非对称密钥算法广泛应用于各种应用中,例如SSH(Secure Shell,安全外壳)、SSL(Secure Sockets Layer,安全套接字层)、PKI(Public Key Infrastructure,公钥基础设施)。
管理本地非对称密钥对
生成本地非对称密钥对
在本地设备上,可以生成RSA、DSA、ECDSA和SM2四种类型的本地非对称密钥对,生成SM2类型的本地密钥对时,支持选择加密设备。
导入本地密钥对
在本地设备上,支持通过文件导入本地密钥对,如果导入的文件中密钥对是加密后的密钥对,需要输入密钥对口令才能成功导入。
显示或导出本地非对称密钥对中的主机公钥
在本地设备上,可以对本地非对称密钥对进行查看和导出操作,具体包括:
直接查看非对称密钥对中的公钥信息。记录下该主机公钥数据后,在远端主机上,可以通过文本粘贴的方式将记录的本地主机公钥导入到远端设备上。
按照指定格式将本地主机公钥导出到指定文件。将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
按照指定格式将本地主机公钥导出到页面上显示。通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
删除本地非对称密钥对
在如下几种情况下,建议用户删除旧的非对称密钥对,并生成新的密钥对:
本地设备的私钥泄露。这种情况下,非法用户可能会冒充本地设备访问网络。
保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名。
本地证书到达有效期,需要删除对应的本地密钥对。
管理远端主机公钥
在本地设备上,可以对远端非对称密钥对的公钥进行导入、查看和删除操作。
在某些应用(如SSH)中,为了实现本地设备对远端主机的身份验证,需要在本地设备上保存远端主机的RSA或DSA主机公钥,即将远端主机公钥导入到本地设备。导入远端主机公钥的方式有如下两种:
从公钥文件中获取:事先将远端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入远端主机的公钥。导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。
文本输入:事先在远端主机上查看其公钥信息,并记录远端主机公钥的内容。在本地设备上采用手工输入的方式将远端主机的公钥数据输入到本地。手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
手工配置远端主机的公钥时,输入的主机公钥必须满足一定的格式要求。设备上查看到的主机公钥信息可以作为输入的公钥内容;通过其他方式显示的公钥可能不满足格式要求,导致主机公钥保存失败。因此,建议选用从公钥文件导入的方式配置远端主机的公钥。
配置指南
配置本地密钥对
生成本地密钥对
在本地设备上,可以生成RSA、DSA、ECDSA和SM2四种类型的本地非对称密钥对。
生成本地密钥对的具体配置步骤如下:
选择“对象 > 证书与密钥 > 公钥管理 > 本地密钥对”。
在“本地密钥对”页面单击<新建>按钮,进入“生成本地密钥对”页面。
图-2 本地密钥对
图-3 生成本地密钥对
在“生成本地密钥对”页面的具体配置内容如下表所示:
表-1 生成本地密钥对参数表
参数
说明
名称
生成本地密钥对的名称
算法
生成本地密钥对的算法,取值包括:
RSA
DSA
ECDSA
SM2
密钥长度
创建RSA和DSA密钥对时,需要输入密钥长度。密钥长度越长,安全性越好,但是生成密钥的时间越长。
创建SM2密钥对时,使用固定密钥长度的椭圆曲线 椭圆曲线
创建ECDSA密钥对时,可以选择不同类型的椭圆曲线,密钥越长,安全性越好,但是生成密钥的时间越长
存储设备
创建SM2密钥对时,可以选择存储设备
单击<确定>按钮,完成配置。
导入本地密钥对
在本地设备上,支持通过文件导入本地密钥对,如果导入的文件中密钥对是加密后的密钥对,需要输入密钥对口令才能成功导入。
导入本地密钥对的具体配置步骤如下:
选择“对象 > 证书与密钥 > 公钥管理 > 本地密钥对”。
在“本地密钥对”页面单击<导入>按钮,进入“导入本地密钥对”页面。
图-4 本地密钥对
图-5 导入本地密钥对
在“导入本地密钥对”页面的具体配置内容如下表所示:
表-2 导入本地密钥对参数表
参数
说明
名称
导入本地密钥对的名称
算法
导入本地密钥对的算法,取值包括:
RSA
ECDSA
SM2
导入文件
选择导入的密钥文件
覆盖原有密钥对
非默认名称密钥对的密钥类型和名称不能完全相同,否则需要确认是否覆盖原有的密钥对
密钥对口令
如果导入的文件中密钥对是加密后的密钥对,需要输入密钥对口令才能成功导入
单击<确定>按钮,完成配置。
显示或导出本地非对称密钥对中的主机公钥
在本地设备上,可以对本地非对称密钥对进行查看和导出操作,具体包括:
直接查看非对称密钥对中的公钥信息。记录下该主机公钥数据后,在远端主机上,可以通过文本粘贴的方式将记录的本地主机公钥导入到远端设备上。
按照指定格式将本地主机公钥导出到指定文件。将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
按照指定格式将本地主机公钥导出到页面上显示。通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
导出本地密钥对的具体配置步骤如下:
选择“对象 > 证书与密钥 > 公钥管理 > 本地密钥对”。
选择待导出的本地密钥对。
图-6 选择待导出的本地密钥对
在“本地密钥对”页面单击<导出>按钮,进入“导出本地密钥”页面。
图-7 导出本地密钥
在“导出本地密钥”页面的具体配置内容如下表所示:
表-3 导出本地密钥参数表
参数
说明
名称
需要导出的本地密钥的名称
算法
导出本地密钥的算法,取值包括:
RSA
DSA
ECDSA
SM2
导出格式
可以选择导出格式为OpenSSH、SSH1或者SSH2
导出到
可以选择导出到文件或者页面
文件名
将本地密钥导出到指定的文件
覆盖原有文件
需要选择当文件名称相同时,是否覆盖原有文件
单击<确定>按钮,完成配置。
删除本地非对称密钥对
在如下几种情况下,建议用户删除旧的非对称密钥对,并生成新的密钥对:
本地设备的私钥泄露。这种情况下,非法用户可能会冒充本地设备访问网络。
保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名。
本地证书到达有效期,需要删除对应的本地密钥对。
配置远端公钥
在本地设备上,可以对远端非对称密钥对的公钥进行导入、查看和删除操作。
在某些应用(如SSH)中,为了实现本地设备对远端主机的身份验证,需要在本地设备上保存远端主机的RSA或DSA主机公钥,即将远端主机公钥导入到本地设备。导入远端主机公钥的方式有如下两种:
从公钥文件中获取:事先将远端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入远端主机的公钥。导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。
文本输入:事先在远端主机上查看其公钥信息,并记录远端主机公钥的内容。在本地设备上采用手工输入的方式将远端主机的公钥数据输入到本地。手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。
配置步骤
导入远端公钥的具体配置步骤如下:
选择“对象 > 证书与密钥 > 公钥管理 > 远端公钥”。
在“远端公钥”页面单击<导入>按钮,进入“导入远端公钥”页面。
图-8 远端公钥页面
图-9 导入远端公钥
在“导入远端公钥”页面的具体配置内容如下表所示:
表-4 导入远端公钥参数表
参数
说明
公钥名称
导入的远端公钥的名称
导入方式
可以选择导入方式为文件或者文本
导入文件
当选择导入方式为文件时,需要选择文件进行导入
公钥数据
当选择导入方式为文本时,需要将公钥粘贴到公钥数据文本框中
单击<确定>按钮,完成配置。