我有一个关于 GPG 证书和证书颁发机构的小问题。
我正在使用 GnuPG 对我在服务器上托管的 tarball 进行签名。我希望想要下载此 tarball 的用户能够使用我的公钥对其进行加密。目前,我将我的公钥存储在我拥有的另一台服务器上。这有两个问题:
我过去读过一些有关密码学解决方案的内容,并且知道一点 X.509 CA 的工作原理,但我不太了解 PGP 密钥的工作原理。我尝试在 GPG 中使用我的 SSL(受信任)证书,但总是失败(也许有一个选项我还没有找到?)。如果无法使用我的 SSL 证书,如何将我的 PGP 证书“注册”到 CA?
谢谢!
最好的,
蒂博。
出于所有实际目的,X.509 证书和 OpenPGP 密钥对存在于不同的世界中。X.509 证书是分层信任的(构建证书链),OpenPGP 密钥是在点对点基础上信任的。
由于这些技术不兼容,因此不易相互替代。为了让用户信任您的 OpenPGP 密钥,您可以将其发布到 OpenPPG 密钥存储库(密钥服务器)之一,并希望(或建议)用户将其用作 OpenPGP 密钥的可信来源。
或者,您可以使用服务器的证书为您分发的存档创建独立的 PKCS#7/CMS 签名,但与 OpenPGP 不同,没有可用于检查最终用户计算机上的 PKCS#7/CMS 签名的广泛工具。(好吧,也许 OpenSSL 适合您的用户群体。)请注意,服务器证书的 KeyUsage 可能不适合签名,因此用户将收到警告。
请注意,OpenPGP 密钥称为“密钥”,X.509 证书也以这种方式调用。不存在“pgp 证书”,也不存在“ssl 证书”。
| 归档时间: |
|
| 查看次数: |
2710 次 |
| 最近记录: |