Linux 代码签名答案

【问题标题】：Code Signing for LinuxLinux 代码签名
【发布时间】：2011-01-18 12:12:26
【问题描述】：

是否有任何供应商为 (Red Hat Enterprise) Linux 提供代码签名证书？我看到很多关于 Microsoft 的嗡嗡声，但对于 Linux 来说却不多。

我知道如何生成自己的证书并将公共证书嵌入到我的可执行文件中。我正在专门寻找获得由受信任的 CA 签名的证书的方法。目标系统是 RHEL 5 Server。

另一个问题：开箱即用的 RHEL 5 服务器信任哪些根证书颁发机构？

【问题讨论】：

重点是什么？您是否有一个加载程序会在执行之前检查签名，或者有任何其他系统来处理签名？对于您的第二个问题，我再次提出另一个问题：信任什么？支持 PKI 的软件组件（如浏览器）将拥有一个受信任 CA 列表，但 RH Linux 会使用这样一个列表来做什么？如果它支持的话，也许可以用于代码签名......
这基本上是我的问题：RHEL 是否支持代码签名。感谢 Greg 和 Tim 的确认。
奇怪，我不知道它不支持代码签名。
代码签名在什么级别？贝壳？存储库？核心？ UEFI？

【解决方案1】：

实际上，大多数人只是使用自签名证书。除了单个软件包的总和之外，RHEL 客户还信任整个存储库。所以，是的，你可以签署你的可执行文件，但除了让它相信自己之外，它在股票 RHEL 系统上几乎没有什么好处。

可以在 /etc 中的某处找到受信任 CA 的列表，我忘记了确切的位置，但它应该相当显眼。

【讨论】：

【解决方案2】：

商业代码签名证书没有指定它可以用于哪些应用程序。因此，可以使用来自公开信任 CA 的任何代码签名证书。对于 Linux，您需要确保依赖方可以访问验证证书。

关于信任存储库的答案可能很快就会过时，如果它还没有的话。如果软件物料清单 (SBOM) 成为标准，则构建工具必须能够验证数字签名，而自签名证书将不会被广泛信任。

【讨论】：