交换机修改公钥算法，禁用rsa和dsa后，crt不发登录设备

您好，客户禁用了 RSA、DSA 公钥算法后，设备仅保留 ECDSA（nistp256/nistp384） 密钥交换方式，但：

1. SecureCRT 未启用 / 优先 ECDSA 公钥算法，导致协商失败无法登录
2. 其他交换机 SSH 登录提示 “密钥不匹配”，本质是旧主机密钥缓存与新 ECDSA 密钥冲突，并非真的密钥错误

你需要确保客户端（CRT 或另一台交换机）主动选择 ECDSA 算法进行连接，同时服务端（目标交换机）已正确生成并启用了 ECDSA 主机密钥。

1. 在目标交换机上，确保已生成 ECDSA 主机密钥

这是最关键的一步。交换机作为 SSH 服务器，需要有对应的主机密钥来证明自己的身份。

• 检查现有密钥：使用 display public-key local ecdsa public 命令查看是否已有 ECDSA 密钥对。

• 如果没有或想重新生成：通过 Console 口登录交换机，在系统视图下执行以下命令生成一个 256 位的 ECDSA 密钥对：

  system-view

  public-key local create ecdsa secp256r1
• 生成后，交换机会自动将新的 ECDSA 主机密钥用于 SSH 协商。

2. 确认 SSH 算法列表已包含 ECDSA

检查你之前配置的 ssh2 algorithm public-key 命令，确保 ECDSA 算法在列表中。正确的配置应类似如下：

3. 配置 SSH 客户端使用 ECDSA 算法

这是解决“秘钥不匹配”和“无法登录”的直接手段。客户端和服务器必须“说同一种语言”。

• 对于 SecureCRT 客户端：

  1. 打开会话的“属性”对话框。

  2. 导航到 SSH2 下的 密钥交换 (Key Exchange) 设置。

  3. 确保列表中的算法包含 ecdh-sha2-nistp256、ecdh-sha2-nistp384 等基于 ECDSA 的算法。你可以取消勾选 diffie-hellman 开头的选项，强制使用 ECDSA 进行协商。

  4. 保存设置后重试连接。

• 对于作为 SSH 客户端的另一台 H3C 交换机：
  当你从交换机 A SSH 登录到交换机 B 时，可以在命令中直接指定使用 ECDSA 作为身份验证密钥算法：

  ssh2 192.168.1.1 identity-key ecdsa
• 这条命令告诉客户端交换机，在连接时使用 ECDSA 算法进行主机身份验证。