公鑰管理故障排查一、開始公鑰問題定位故障的思路是：查看本地是否創(chuàng)建生成了符合要求的非對稱密鑰對，對于需要使用遠(yuǎn)端主機(jī)公鑰的，還需要進(jìn)一步排查預(yù)先配置的遠(yuǎn)端主機(jī)公鑰信息是否正確。1、查看本地非對稱密鑰對查看本端設(shè)備當(dāng)前是否存在本地RSA/DSA命令：displaypublic-keylocalrsapublicdisplaypublic-keylocaldsapublic若執(zhí)行命令后，命令行界面上無任何對應(yīng)輸出，則說明系統(tǒng)當(dāng)前沒有生成相應(yīng)的非對稱密鑰對。例如：通過命令查看當(dāng)前設(shè)備的RSA密鑰對。2、查看遠(yuǎn)程主機(jī)公鑰信息查看本端是否正確配置了遠(yuǎn)程主機(jī)的公鑰信息。命令：displaypublic-keypeernameXXX版權(quán)所有:杭州華三通信技術(shù)有限公司例如：通過命令查看當(dāng)前系統(tǒng)中配置的名稱為“rsa_peer_a”的遠(yuǎn)程主機(jī)其RSA公鑰為：3、創(chuàng)建本地非對稱密鑰對當(dāng)系統(tǒng)中尚未創(chuàng)建本地密鑰對時，可以直接在設(shè)備上通過命令創(chuàng)建。當(dāng)出現(xiàn)如下幾種情況時，也需要重新生成新的本地密鑰對：1、本地設(shè)備的私鑰泄露。這種情況下，非法用戶可能會冒充本地設(shè)備訪問網(wǎng)絡(luò)。2、鑰，無法再利用舊的非對稱密鑰對進(jìn)行加/解密和數(shù)字簽名。3、密鑰使用了較長時間，可能存在密鑰泄露或破譯的風(fēng)險。4、本地證書到達(dá)有效期，需要刪除對應(yīng)的本地密鑰對。命令：public-keylocalcreatersapublic-keylocalcreatedsa例如：通過命令創(chuàng)建模數(shù)長度為2048位的RSA公私鑰對。4、配置遠(yuǎn)程主機(jī)公鑰信息當(dāng)系統(tǒng)其他軟件模塊需要提前知曉相關(guān)遠(yuǎn)程主機(jī)的非對稱密鑰公鑰信息時，需預(yù)先配置其公鑰信息。配置遠(yuǎn)端主機(jī)公鑰的方式有如下兩種：1、從公鑰文件中導(dǎo)入：首先將遠(yuǎn)端主機(jī)的公鑰文件保存到本地設(shè)備注意，通過FTP或TFTP的公鑰文件保存到本地設(shè)備），然后從該公鑰文件中導(dǎo)入遠(yuǎn)端主機(jī)的公鑰。導(dǎo)入公鑰時，系統(tǒng)會自動將遠(yuǎn)端主機(jī)的公鑰文件轉(zhuǎn)換為ublicKeyCryptographyStandards，公共密鑰加密標(biāo)準(zhǔn)）編碼形式。2、手工配置：首先在遠(yuǎn)端主機(jī)上查看其公鑰信息，并記錄遠(yuǎn)端主機(jī)公鑰的內(nèi)容。然后在本地設(shè)備上采用手工輸入的方式將遠(yuǎn)端主機(jī)的公鑰配置到本地。手工輸入遠(yuǎn)端主機(jī)公鑰時，可以逐個字符輸入，也可以一次拷貝粘貼多個字符。命令：public-keylocalexportrsa{openssh|ssh1|ssh2}XXXpublic-keypeerXXXimportsshkeyXXX例如：通過命令將遠(yuǎn)程主機(jī)的公鑰信息導(dǎo)出至文件，然后通過文件導(dǎo)入至本