2020網(wǎng)絡(luò)公鑰管理故障排查

公鑰管理故障排查一、開(kāi)始公鑰問(wèn)題定位故障的思路是：查看本地是否創(chuàng)建生成了符合要求的非對(duì)稱密鑰對(duì)，對(duì)于需要使用遠(yuǎn)端主機(jī)公鑰的，還需要進(jìn)一步排查預(yù)先配置的遠(yuǎn)端主機(jī)公鑰信息是否正確。1、查看本地非對(duì)稱密鑰對(duì)查看本端設(shè)備當(dāng)前是否存在本地RSA/DSA命令：displaypublic-keylocalrsapublicdisplaypublic-keylocaldsapublic若執(zhí)行命令后，命令行界面上無(wú)任何對(duì)應(yīng)輸出，則說(shuō)明系統(tǒng)當(dāng)前沒(méi)有生成相應(yīng)的非對(duì)稱密鑰對(duì)。例如：通過(guò)命令查看當(dāng)前設(shè)備的RSA密鑰對(duì)。2、查看遠(yuǎn)程主機(jī)公鑰信息查看本端是否正確配置了遠(yuǎn)程主機(jī)的公鑰信息。命令：displaypublic-keypeernameXXX版權(quán)所有:杭州華三通信技術(shù)有限公司例如：通過(guò)命令查看當(dāng)前系統(tǒng)中配置的名稱為“rsa_peer_a”的遠(yuǎn)程主機(jī)其RSA公鑰為：3、創(chuàng)建本地非對(duì)稱密鑰對(duì)當(dāng)系統(tǒng)中尚未創(chuàng)建本地密鑰對(duì)時(shí)，可以直接在設(shè)備上通過(guò)命令創(chuàng)建。當(dāng)出現(xiàn)如下幾種情況時(shí)，也需要重新生成新的本地密鑰對(duì)：1、本地設(shè)備的私鑰泄露。這種情況下，非法用戶可能會(huì)冒充本地設(shè)備訪問(wèn)網(wǎng)絡(luò)。2、鑰，無(wú)法再利用舊的非對(duì)稱密鑰對(duì)進(jìn)行加/解密和數(shù)字簽名。3、密鑰使用了較長(zhǎng)時(shí)間，可能存在密鑰泄露或破譯的風(fēng)險(xiǎn)。4、本地證書到達(dá)有效期，需要?jiǎng)h除對(duì)應(yīng)的本地密鑰對(duì)。命令：public-keylocalcreatersapublic-keylocalcreatedsa例如：通過(guò)命令創(chuàng)建模數(shù)長(zhǎng)度為2048位的RSA公私鑰對(duì)。4、配置遠(yuǎn)程主機(jī)公鑰信息當(dāng)系統(tǒng)其他軟件模塊需要提前知曉相關(guān)遠(yuǎn)程主機(jī)的非對(duì)稱密鑰公鑰信息時(shí)，需預(yù)先配置其公鑰信息。配置遠(yuǎn)端主機(jī)公鑰的方式有如下兩種：1、從公鑰文件中導(dǎo)入：首先將遠(yuǎn)端主機(jī)的公鑰文件保存到本地設(shè)備注意，通過(guò)FTP或TFTP的公鑰文件保存到本地設(shè)備），然后從該公鑰文件中導(dǎo)入遠(yuǎn)端主機(jī)的公鑰。導(dǎo)入公鑰時(shí)，系統(tǒng)會(huì)自動(dòng)將遠(yuǎn)端主機(jī)的公鑰文件轉(zhuǎn)換為ublicKeyCryptographyStandards，公共密鑰加密標(biāo)準(zhǔn)）編碼形式。2、手工配置：首先在遠(yuǎn)端主機(jī)上查看其公鑰信息，并記錄遠(yuǎn)端主機(jī)公鑰的內(nèi)容。然后在本地設(shè)備上采用手工輸入的方式將遠(yuǎn)端主機(jī)的公鑰配置到本地。手工輸入遠(yuǎn)端主機(jī)公鑰時(shí)，可以逐個(gè)字符輸入，也可以一次拷貝粘貼多個(gè)字符。命令：public-keylocalexportrsa{openssh|ssh1|ssh2}XXXpublic-keypeerXXXimportsshkeyXXX例如：通過(guò)命令將遠(yuǎn)程主機(jī)的公鑰信息導(dǎo)出至文件，然后通過(guò)文件導(dǎo)入至本