1 公钥管理 1.1 公钥管理配置命令 display public-key local public display public-key local { dsa rsa } public [ { begin exclude include } regular-expression ]

目录 1 公钥管理 1-1 1.1 公钥管理配置命令 1-1 1.1.1 display public-key local public 1-1 1.1.2 display public-key peer 1-2 1.1.3 peer-public-key end 1-4 1.1.4 public-key-code begin 1-4 1.1.5 public-key-code end 1-5 1.1.6 public-key local create 1-6 1.1.7 public-key local destroy 1-7 1.1.8 public-key local export dsa 1-7 1.1.9 public-key local export rsa 1-8 1.1.10 public-key peer 1-9 1.1.11 public-key peer import sshkey 1-10 i

1 公钥管理 1.1 公钥管理配置命令 1.1.1 display public-key local public display public-key local { dsa rsa } public [ { begin exclude include } regular-expression ] 视图任意视图缺省级别 1: 监控级参数 dsa: 显示 DSA 本地密钥对中的公钥信息 rsa: 显示 RSA 本地密钥对中的公钥信息 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display public-key local public 命令用来显示本地非对称密钥对中的公钥信息相关配置可参考命令 public-key local create 举例 # 显示本地 RSA 密钥对中的公钥信息 <Sysname> display public-key local rsa public ================================================ ===== Time of Key pair created: 19: 59:16 2011/12/12 Key name: HOST_KEY Key type: RSA Encryption Key ===================================================== Key code: 30819F300D06092A864886F70D010101050003818D0030818902818100BC4C392A97734A633BA0F1DB01F84E B51228EC86ADE1DBA597E0D9066FDC4F04776CEA3610D2578341F5D049143656F1287502C06D39D39F28F0F5 CBA630DA8CD1C16ECE8A7A65282F2407E8757E7937DCCDB5DB620CD1F471401B7117139702348444A2D89004 97A87B8D5F13D61C4DEFA3D14A7DC07624791FC1D226F62DF30203010001 ================================================ ===== Time of Key pair created: 19: 59:17 2011/12/12 Key name: SERVER_KEY Key type: RSA Encryption Key =========== ========================================== Key code: 1-1

307C300D06092A864886F70D0101010500036B003068026100C51AF7CA926962284A4654B2AACC7B2AE12B2B 1EABFAC1CDA97E42C3C10D7A70D1012BF23ADE5AC4E7AAB132CFB6453B27E054BFAA0A85E113FBDE751EE0EC EF659529E857CF8C211E2A03FD8F10C5BEC162B2989ABB5D299D1E4E27A13C7DD10203010001 # 显示本地 DSA 密钥对中的公钥信息 <Sysname> display public-key local dsa public ===================================================== Time of Key pair created: 20:00:16 2011/12/12 Key name: HOST_KEY Key type: DSA Encryption Key ===================================================== Key code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表 1-1 display public-key local public 命令显示信息描述表字段描述 Time of Key pair created 本地非对称密钥对产生时间密钥名称, 取值包括 : Key name HOST_KEY: 主机公钥 SERVER_KEY: 服务器公钥只有密钥类型为 RSA 时, 才会存在 SERVER_KEY 密钥类型, 取值包括 : Key type RSA Encryption Key: 密钥类型为 RSA DSA Encryption Key: 密钥类型为 DSA Key code 公钥数据 1.1.2 display public-key peer display public-key peer [ brief name publickey-name ] [ { begin exclude include } regular-expression ] 视图任意视图缺省级别 1: 监控级参数 brief: 显示保存在本地的所有远端主机公钥的简明信息 1-2

描述举例 name publickey-name: 显示保存在本地的指定远端主机公钥的详细信息,publickey-name 为远端主机公钥的名称, 为 1~64 个字符的字符串, 区分大小写 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display public-key peer 命令用来显示保存在本地的远端主机的公钥信息如果没有指定任何参数, 则显示所有保存在本地的远端主机公钥的详细信息可以通过 public-key peer 命令或 public-key peer import sshkey 命令将远端主机的公钥配置到本地相关配置可参考命令 public-key peer 和 public-key peer import sshkey # 显示保存在本地的密钥名称为 idrsa 的远端主机公钥的详细信息 <Sysname> display public-key peer name idrsa ===================================== Key Name : idrsa Key Type : RSA Key Module: 1024 ===================================== Key Code: 30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0C01C7CE136BA76 C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB39B3F39C5CE56C95B6AB7442D563 93BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFFB58BE6F035FAA2C596B27D1231D159846B7CB9A775 7C5800FADA9FD72F65672F4A549EE99F63095E11BD37789955020123 表 1-2 display public-key peer name 命令显示信息描述表字段描述 Key Name Key Type Key Module Key Code 远端主机公钥的名称密钥类型, 取值包括 RSA 和 DSA 密钥模数的长度, 单位为 bit 公钥数据 # 显示保存在本地的所有远端主机公钥的简明信息 <Sysname> display public-key peer brief Type Module Name --------------------------- RSA 1024 idrsa DSA 1024 10.1.1.1 表 1-3 display public-key peer brief 命令显示信息描述表字段描述 Type Module 密钥类型, 取值包括 RSA 和 DSA 密钥模数的长度, 单位为比特 1-3

字段描述 Name 远端主机公钥的名称 1.1.3 peer-public-key end peer-public-key end 视图公钥视图缺省级别 2: 系统级参数无描述 peer-public-key end 命令用来从公钥视图退回到系统视图相关配置可参考命令 public-key peer 举例 # 退出公钥视图 [Sysname] public-key peer key1 [Sysname-pkey-public-key] peer-public-key end [Sysname] 1.1.4 public-key-code begin public-key-code begin 视图公钥视图缺省级别 2: 系统级参数无描述 public-key-code begin 命令用来进入公钥编辑视图进入公钥编辑视图后, 可以开始输入密钥数据在输入密钥数据时, 字符之间可以有空格, 也可以按回车键继续输入数据保存公钥数据时, 将删除空格和回车符需要注意的是, 输入的密钥数据必须满足一定的格式要求通过 display public-key local public 命令显示的公钥可以作为输入的密钥数据相关配置可参考命令 public-key peer 和 public-key-code end 举例 # 进入公钥编辑视图, 输入密钥 1-4

[Sysname] public-key peer key1 [Sysname-pkey-public-key] public-key-code begin [Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC801 4F82515F6335A0A [Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D164313 5877E13B1C531B4 [Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80 EB5F52698FCF3D6 [Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE 675AC30CB020301 [Sysname-pkey-key-code]0001 1.1.5 public-key-code end 视图 public-key-code end 公钥编辑视图缺省级别参数 2: 系统级无描述举例 public-key-code end 命令用来从公钥编辑视图退回到公钥视图, 并保存用户输入的公钥执行此命令后, 结束公钥的编辑过程, 系统自动保存配置的公钥在存储之前, 会进行密钥合法性的检测 : 如果用户配置的公钥字符串不满足格式要求, 那么将会显示相关提示信息, 用户配置的密钥将被丢弃, 本次配置失败 ; 如果用户配置的公钥字符串合法, 则保存该公钥相关配置可参考命令 public-key peer 和 public-key-code begin # 退出公钥编辑视图, 并保存用户配置的公钥 [Sysname] public-key peer key1 [Sysname-pkey-public-key] public-key-code begin [Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC801 4F82515F6335A0A [Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D164313 5877E13B1C531B4 [Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80 EB5F52698FCF3D6 [Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE 675AC30CB020301 [Sysname-pkey-key-code]0001 [Sysname-pkey-key-code] public-key-code end [Sysname-pkey-public-key] 1-5

1.1.6 public-key local create public-key local create { dsa rsa } 视图系统视图缺省级别 2: 系统级参数 dsa: 本地密钥对类型为 DSA rsa: 本地密钥对类型为 RSA 描述 public-key local create 命令用来生成本地非对称密钥对缺省情况下, 不存在任何非对称密钥对需要注意的是 : 执行该命令后, 当本地非对称密钥对类型为 DSA 或 RSA 时, 会提示输入密钥模数的长度密钥模数的最小长度为 512 比特, 最大长度为 2048 比特, 缺省长度为 1024 比特如果已存在相应类型的密钥对, 则需要用户确认是否覆盖原有密钥对执行此命令后, 生成的密钥对将保存在设备中, 设备重启后密钥不会丢失相关配置可参考命令 public-key local destroy 和 display public-key local public 举例 # 生成本地 RSA 非对称密钥对 [Sysname] public-key local create rsa The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits of the modulus[default = 1024]: Generating Keys... ++++++++++++++++ +++++++ +++++++++ +++ # 生成本地 DSA 非对称密钥对 [Sysname] public-key local create dsa The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits of the modulus[default = 1024]: Generating Keys... ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++* ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++++++++.++++++++++++++++++++++++++++++++ 1-6

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1.1.7 public-key local destroy public-key local destroy { dsa rsa } 视图系统视图缺省级别 2: 系统级参数 dsa: 本地密钥对类型为 DSA rsa: 本地密钥对类型为 RSA 描述 public-key local destroy 命令用来销毁本地非对称密钥对相关配置可参考命令 public-key local create 举例 # 销毁本地 RSA 非对称密钥对 [Sysname] public-key local destroy rsa Warning: Confirm to destroy these keys? [Y/N]:y # 销毁本地 DSA 非对称密钥对 [Sysname] public-key local destroy dsa Warning: Confirm to destroy these keys? [Y/N] :y 1.1.8 public-key local export dsa public-key local export dsa { openssh ssh2 } [ filename ] 视图系统视图缺省级别 2: 系统级参数 openssh: 主机公钥格式为 OpenSSH ssh2: 主机公钥格式为 SSH2.0 filename: 指定导出公钥存储的文件名文件名的详细介绍, 请参见基础配置指导中的文件系统管理描述 public-key local export dsa 命令用来根据指定格式显示本地 DSA 主机公钥或将其导出到指定文件如果执行本命令时没有指定文件名, 则按照指定格式显示本地 DSA 主机公钥 ; 如果指定了文件名, 则将本地 DSA 主机公钥导出到指定文件并保存 1-7

举例 SSH2.0 和 OpenSSH 是两种不同类型的公钥格式, 用户需要根据服务器端支持的对端公钥格式, 来选择导出的主机公钥格式相关配置可参考命令 public-key local create 和 public-key local destroy # 以 OpenSSH 格式导出本地 DSA 主机公钥, 文件名为 key.pub [Sysname] public-key local export dsa openssh key.pub # 以 SSH2.0 格式显示本地 DSA 主机公钥 [Sysname] public-key local export dsa ssh2 ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "dsa-key-20070625" AAAAB3NzaC1kc3MAAACBANdXJixFhMRMIR8YvZbl8GHE8KQj9/5ra4WzTO9yzhSg06UiL+CM7OZb5sJlhUiJ3B7b 0T7IsnTan3W6Jsy5h3I2Anh+kiuoRCHyLDyJy5sG/WD+AZQd3Xf+axKJPadu68HRKNl/BnjXcitTQchQbzWCFLFq L6xLNolQOHgRx9ozAAAAFQDHcyGMc37I7pk7Ty3tMPSO2s6RXwAAAIEAgiaQCeFOxHS68pMuadOx8YUXrZWUGEzN /OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5xsCAhcJGscXthI5HHbB+y6IMXwb2B cdqey4piema8ybmugqvhwhyhxz1tqsao9lfyxaf0jrlxjmmwnu8aaacbanvclnekddt6xcatprjxssrhxfvidrjx w59qznkhl87gsbgp4ccup3kmcrzuqpz1qntfgozolzhng1ygxpp7q2k/uruuhn0bjfbkolo2/rygqdjiqb4fqwmr kwjuauygqqy+mge6dmhn0vg4gakx9mqxdibjzbzrx0bvxmdnkr22 ---- END SSH2 PUBLIC KEY ---- # 以 OpenSSH 格式显示本地 DSA 主机公钥 [Sysname] public-key local export dsa openssh ssh-dss AAAAB3NzaC1kc3MAAACBANdXJixFhMRMIR8YvZbl8GHE8KQj9/5ra4WzTO9yzhSg06UiL+CM7OZb5sJlhUiJ3B7b 0T7IsnTan3W6Jsy5h3I2Anh+kiuoRCHyLDyJy5sG/WD+AZQd3Xf+axKJPadu68HRKNl/BnjXcitTQchQbzWCFLFq L6xLNolQOHgRx9ozAAAAFQDHcyGMc37I7pk7Ty3tMPSO2s6RXwAAAIEAgiaQCeFOxHS68pMuadOx8YUXrZWUGEzN /OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5xsCAhcJGscXthI5HHbB+y6IMXwb2B cdqey4piema8ybmugqvhwhyhxz1tqsao9lfyxaf0jrlxjmmwnu8aaacbanvclnekddt6xcatprjxssrhxfvidrjx w59qznkhl87gsbgp4ccup3kmcrzuqpz1qntfgozolzhng1ygxpp7q2k/uruuhn0bjfbkolo2/rygqdjiqb4fqwmr kwjuauygqqy+mge6dmhn0vg4gakx9mqxdibjzbzrx0bvxmdnkr22 dsa-key 1.1.9 public-key local export rsa 视图 public-key local export rsa { openssh ssh1 ssh2 } [ filename ] 系统视图缺省级别参数描述 2: 系统级 openssh: 主机公钥格式为 OpenSSH ssh1: 主机公钥格式为 SSH1.5 ssh2: 主机公钥格式为 SSH2.0 filename: 指定导出公钥存储的文件名文件名的详细介绍, 请参见基础配置指导中的文件系统管理 public-key local export rsa 命令用来根据指定格式显示本地 RSA 主机公钥或将其导出到指定文件 1-8

举例如果执行本命令时没有指定文件名, 则显示本地 RSA 主机公钥 ; 如果指定了文件名, 则将本地 RSA 主机公钥导出到指定文件并保存 SSH1.5 SSH2.0 和 OpenSSH 是三种不同类型的公钥格式, 用户需要根据服务器端支持的对端公钥格式, 来选择导出的主机公钥格式相关配置可参考命令 public-key local create 和 public-key local destroy # 以 OpenSSH 格式导出本地 RSA 主机公钥, 文件名为 key.pub [Sysname] public-key local export rsa openssh key.pub # 以 SSH2.0 格式显示本地 RSA 主机公钥 [Sysname] public-key local export rsa ssh2 ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "rsa-key-20070625" AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut5N Ic5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o0MpO pzh3w768/+u1riz+1lcwvts51q== ---- END SSH2 PUBLIC KEY ---- # 以 OpenSSH 格式显示本地 RSA 主机公钥 [Sysname] public-key local export rsa openssh ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut5N Ic5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o0MpO pzh3w768/+u1riz+1lcwvts51q== rsa-key 1.1.10 public-key peer 视图 public-key peer keyname undo public-key peer keyname 系统视图缺省级别参数描述 2: 系统级 keyname: 远端主机公钥的名称, 为 1~64 个字符的字符串, 区分大小写 public-key peer 命令用来指定远端主机公钥的名称, 并进入公钥视图 undo public-key peer 命令用来删除远端主机公钥通过手工配置方式创建远端主机公钥时, 用户需要事先获取并记录远端主机十六进制形式的公钥, 并在本地设备上执行以下操作 : (1) 执行本命令和 public-key-code begin 命令进入公钥编辑视图 (2) 在公钥编辑视图, 手工输入远端主机的公钥 (3) 执行 public-key-code end 命令, 自动保存输入的远端主机公钥, 并退回到公钥视图 (4) 执行 peer-public-key end 命令, 从公钥视图退回到系统视图 1-9

相关配置可参考命令 public-key-code begin public-key-code end peer-public-key end 和 display public-key peer 举例 # 指定远端主机公钥名称为 key1, 并进入公钥视图 [Sysname] public-key peer key1 [Sysname-pkey-public-key] 1.1.11 public-key peer import sshkey public-key peer keyname import sshkey filename undo public-key peer keyname 视图系统视图缺省级别 2: 系统级参数 keyname: 公钥名, 为 1~64 个字符的字符串, 区分大小写 filename: 指定导入公钥数据的文件名文件名的详细介绍, 请参见基础配置指导中的文件系统管理描述 public-key peer import sshkey 命令用来配置从公钥文件中导入远端主机的公钥 undo public-key peer 命令用来删除远端主机公钥执行本命令后, 系统会自动对指定的公钥文件中的公钥进行格式转换 ( 转换为 PKCS 标准编码形式 ), 并将该远端主机的公钥保存到本地设备这种方式需要远端主机事先将其公钥文件保存到本地设备 ( 例如, 通过 FTP 或 TFTP, 以二进制方式将远端主机的公钥文件保存到本地设备 ) 目前, 设备能够自动识别的公钥格式为 SSH1.5 SSH2.0 和 OpenSSH 相关配置可参考命令 display public-key peer 举例 # 配置从公钥文件 key.pub 中导入远端主机的公钥, 公钥名称为 key2 [Sysname] public-key peer key2 import sshkey key.pub 1-10