17-公钥管理
本章节下载: 17-公钥管理 (240.30 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 非对称密钥算法
¡ 管理远端主机公钥
公钥管理用于非对称密钥算法的密钥管理与发布。
非对称密钥算法是数据加解密的一种方法,用来保证数据在网络中安全传输、不被攻击者非法窃听和恶意篡改。如图-1所示,在非对称密钥算法中,加密和解密使用的密钥一个是对外公开的公钥,一个是由用户秘密保存的私钥,从公钥很难推算出私钥。公钥和私钥一一对应,二者统称为非对称密钥对。通过公钥(或私钥)加密后的数据只能利用对应的私钥(或公钥)进行解密。对称密钥算法中,加密和解密使用相同的密钥。
非对称密钥算法包括RSA(Rivest Shamir and Adleman)、DSA(Digital Signature Algorithm,数字签名算法)、ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法)和SM2算法等。
非对称密钥算法既可以用来对发送的数据进行加/解密,也可以用来对数据发送者的身份进行认证。非对称密钥算法广泛应用于各种应用中,例如SSH(Secure Shell,安全外壳)、SSL(Secure Sockets Layer,安全套接字层)、PKI(Public Key Infrastructure,公钥基础设施)。
在本地设备上,可以生成RSA、DSA、ECDSA和SM2四种类型的本地非对称密钥对。
在本地设备上,可以对本地非对称密钥对进行查看和导出操作,具体包括:
· 直接查看非对称密钥对中的公钥信息。记录下该主机公钥数据后,在远端主机上,可以通过文本粘贴的方式将记录的本地主机公钥导入到远端设备上。
· 按照指定格式将本地主机公钥导出到指定文件。将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
· 按照指定格式将本地主机公钥导出到页面上显示。通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
在如下几种情况下,建议用户删除旧的非对称密钥对,并生成新的密钥对:
· 本地设备的私钥泄露。这种情况下,非法用户可能会冒充本地设备访问网络。
· 保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名。
· 本地证书到达有效期,需要删除对应的本地密钥对。
在本地设备上,可以对远端非对称密钥对的公钥进行导入、查看和删除操作。
在某些应用(如SSH)中,为了实现本地设备对远端主机的身份验证,需要在本地设备上保存远端主机的RSA或DSA主机公钥,即将远端主机公钥导入到本地设备。导入远端主机公钥的方式有如下两种:
· 从公钥文件中获取:事先将远端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入远端主机的公钥。导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。
· 文本输入:事先在远端主机上查看其公钥信息,并记录远端主机公钥的内容。在本地设备上采用手工输入的方式将远端主机的公钥数据输入到本地。手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。
· 手工配置远端主机的公钥时,输入的主机公钥必须满足一定的格式要求。设备上查看到的主机公钥信息可以作为输入的公钥内容;通过其他方式显示的公钥可能不满足格式要求,导致主机公钥保存失败。因此,建议选用从公钥文件导入的方式配置远端主机的公钥。
· SM2类型的公钥不支持导入。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!