签名证书介绍
openEuler当前支持两种签名机制:openPGP和CMS,分别用于不同的文件类型:
文件类型 | 签名类型 | 签名格式 |
---|---|---|
EFI文件 | authenticode | CMS |
内核模块文件 | modsig | CMS |
IMA摘要列表文件 | modsig | CMS |
RPM软件包 | RPM | openPGP |
openPGP证书签名
openEuler通过openPGP证书实现RPM软件包的签名,签名证书随操作系统镜像发布,用户可通过两种方式获取到当前openEuler版本所使用的证书:
方法一:通过REPO源下载,以openEuler 24.03 LTS版本为例,可通过如下路径下载:
https://repo.openeuler.org/openEuler-24.03-LTS/OS/aarch64/RPM-GPG-KEY-openEuler
方法二:进入系统通过指定路径获取:
cat /etc/pki/rpm-gpg/RPM-GPG-KEY-openEuler
CMS证书签名
openEuler签名平台采用三级证书链管理签名的私钥和证书:
根据不同等级的证书分别具有不同的有效期,当前规划为:
证书类型 | 有效期 |
---|---|
根证书 | 30年 |
二级证书 | 10年 |
三级证书 | 3年 |
openEuler根证书可通过社区证书中心下载:
https://www.openeuler.org/zh/security/certificate-center/
文档捉虫