签名证书介绍
openEuler当前支持两种签名机制:openPGP和CMS,分别用于不同的文件类型:
| 文件类型 | 签名类型 | 签名格式 |
|---|---|---|
| EFI文件 | authenticode | CMS |
| 内核模块文件 | modsig | CMS |
| IMA摘要列表文件 | modsig | CMS |
| RPM软件包 | RPM | openPGP |
openPGP证书签名
openEuler通过openPGP证书实现RPM软件包的签名,签名证书随操作系统镜像发布,用户可通过两种方式获取到当前openEuler版本所使用的证书:
方法一:通过REPO源下载,以openEuler 24.03 LTS版本为例,可通过如下路径下载:
shell
https://dl-cdn.openeuler.openatom.cn/openEuler-24.03-LTS/OS/aarch64/RPM-GPG-KEY-openEuler方法二:进入系统通过指定路径获取:
shell
cat /etc/pki/rpm-gpg/RPM-GPG-KEY-openEulerCMS证书签名
openEuler签名平台采用三级证书链管理签名的私钥和证书:
根据不同等级的证书分别具有不同的有效期,当前规划为:
| 证书类型 | 有效期 |
|---|---|
| 根证书 | 30年 |
| 二级证书 | 10年 |
| 三级证书 | 3年 |
openEuler根证书可通过社区证书中心下载:
shell
https://www.openeuler.org/zh/security/certificate-center/