问

H3C msr5560系列交换机配置公钥问题

2018-09-21提问

0关注
1收藏，1636浏览

Crystal

Crystal 二段

粉丝：1人关注：0人

问题描述：

1.5 公钥管理典型配置举例

1.5.1 手工配置远端主机的公钥

1. 组网需求

如图1-2所示，为了防止非法用户访问，Device B采用数字签名方法对访问它的Device A进行身份验证。进行身份验证前，需要在Device B上配置Device A的公钥。

本例中：

l Device B采用非对称密钥算法RSA验证Device A的身份。

l 采用手工方式在Device B上配置Device A的主机公钥。

2. 组网图

图1-2 手工配置远端主机的公钥组网图

3. 配置步骤

(1) 配置Device A

# 在Device A上生成RSA密钥对。

<DeviceA> system-view

[DeviceA] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++

++++++++

# 显示生成的RSA密钥对的公钥部分。

[DeviceA] display public-key local rsa public

=====================================================

Time of Key pair created: 09:50:06 2007/08/07

Key name: HOST_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

=====================================================

Time of Key pair created: 09:50:07 2007/08/07

Key name: SERVER_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100999089E7AEE9802002D9EB2D0433B87BB6158E35000AFB3FF310E42F109829D65BF70F7712507BE1A3E0BC5C2C03FAAF00DFDDC63D004B4490DACBA3CFA9E84B9151BDC7EECE1C8770D961557D192DE2B36CAF9974B7B293363BB372771C2C1F0203010001

(2) 配置Device B

# 在Device B上配置Device A的主机公钥：在公钥编辑视图输入Device A的主机公钥，即在Device A上通过display public-key local dsa public命令显示的主机公钥HOST_KEY内容。

<DeviceB> system-view

[DeviceB] public-key peer devicea

Public key view: return to System View with "peer-public-key end".

[DeviceB-pkey-public-key] public-key-code begin

Public key code view: return to last view with "public-key-code end".

[DeviceB-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C3C50A0D7AD3994E14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AAB5EE01986BD1EF64B42F17CCAE4A77F1EF999B2BF9C4A10203010001

[DeviceB-pkey-key-code] public-key-code end

[DeviceB-pkey-public-key] peer-public-key end

# 显示Device B上保存的Device A的主机公钥信息。

[DeviceB] display public-key peer name devicea

=====================================

Key Name : devicea

Key Type : RSA

Key Module: 1024

=====================================

Key Code:

30819F300D06092A864886F70D010101050003818D0030818902818100D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0

上面的是公钥配置的一个具体实例，我想问下配置公钥的目的是为了防止非法用户访问，那么这个公钥实际上只是针对访问设备进行一个身份验证（比如这里是A访问B，在B上面配置A的公钥），如果是有流量要通过B到其他地方去，那么这个公钥实际上不会生效的，也就是说公钥只是一个简单的白名单，允许哪些设备访问，可以这样理解吗？请知道的告诉下谢谢