Linux 代码签名

Question

是否有任何提供商为（Red Hat Enterprise）Linux 提供代码签名证书？我看到有关 Microsoft 领域的讨论很多，但有关 Linux 的讨论不多。

我知道如何生成自己的证书并将公共证书嵌入到我的可执行文件中。我正在专门寻找获得受信任的 CA 签名的证书的方法。目标系统是 RHEL 5 服务器。

另一个问题： RHEL 5 Server 开箱即用地信任哪些根证书颁发机构？

Answer 1

在所有现实和实用性中，大多数人只使用自签名证书。除了单个软件包的总和之外，RHEL 客户还信任整个存储库。所以，是的，您可以对可执行文件进行签名，但除了让它信任自己之外，它对现有的 RHEL 系统没有什么好处。

可以在 /etc 中找到受信任的 CA 列表，我忘记了确切的位置，但它应该相当明显。

Answer 2

商业代码签名证书没有指定它可以用于哪些应用程序。因此，可以使用来自公共信任的 CA 的任何代码签名证书。对于 Linux，您需要确保依赖方可以访问验证证书。

关于信任存储库的答案可能很快就会过时（如果还没有的话）。如果软件物料清单 (SBOM) 成为标准，构建工具就必须能够验证数字签名，而自签名证书将不会受到广泛信任。