关于公钥使用的问题

531207502

请问公钥配置在一台设备上是可以配置多个公钥还是一个公钥？比如A---B---C，A上配置了public-key local公钥，然后再B上配置了 public-key peer xx公钥，把A上配置的公钥复制到B上，那么这个时候从A发送的数据加密后到B解密，使用的公钥都是一样的，但是从B发给A的数据就不会加密，因为B上没有相应的配置，换句话说，是不是如果要实现收发数据都加密的话，是不是必须同时配置 public-key peer和 public-key local？
另外，我在实际配置中也没有看到公钥应用到某个接口的配置，那么是不是配置了公钥后，直接全局生效，比如配置本地公钥的设备是一台路由器，那么所有接口出去的数据都是加密的，同时对端的设备也要配置 public-key peer xx公钥进行解密才行？请知道的告诉下，谢谢了

alejandro111

配置上面还需要再研究一下，但是从传统的C-S架构上来说，公钥在初始阶段(SSL未握手前）只存在在Server端， client端在完成与Server端的SSL/TLS握手后（即Client或得Server的公钥，同时C-S双方完成SSL协商的整个过程后），双端双向数据通信即可完成加解密。基本的SSL建立过程如下：
1. Client端向Server端发出SSL握手信息（Client Hello），其中包含Client的浏览器版本及所支持的所有加密算法，如DES,3DES.
2. Server端收到Client发来的SSL Client-hello后，查询自身所支持的加密算法，通过向Client端回复Server-Hello的方式，告诉Client最终决定使用的具体加密算法， 如3DES。
3. Server端向Client端发送自身的公钥证书。
4. Client端收到Server端的公钥证书后，随机产生一个经过3DES加密过的秘钥，并用server发过来的公钥证书对该秘钥进行加密，得到秘钥包，
5. Client将上述秘钥包发送给Server
6. Server使用本身的私钥对上述Client发送过来的秘钥包进行解密，得到第4步中Client随机产生的经3DES加密过的秘钥
7. 此时，C-S双端都使用上述秘钥对数据进行加密，并在对端进行解密。双端双向实现了同时的加解密，不存在单方向不加密的问题