我对GPG证书和证书颁发机构提出了一个小问题。
我正在使用GnuPG签署我在服务器上托管的tarball。我希望那些想要下载此tarball的用户能够使用我的公钥加密它。 目前,我将我的公钥存储在我拥有的另一台服务器上。这有两个问题:
我过去曾经读过一些关于加密解决方案的内容,并且对X.509 CA的工作原理有所了解,但我并不真正了解PGP密钥是如何工作的。我曾尝试在GPG中使用我的SSL(可信)证书,但它总是失败(也许我找不到一个选项?)。 如果无法使用我的SSL证书,我怎样才能注册"我的PGP证书到CA?
谢谢!
最佳,
巴尔。
答案 0 :(得分:3)
OpenPGP和X.509本质上是两个相似但技术上不兼容的格式。 X.509证书是分层可信的(构建证书链),并且OpenPGP密钥在对等的基础上受信任。
由于技术不兼容,它们不容易互相替换。要让用户信任您的OpenPGP密钥,您可以将其发布到OpenPPG密钥存储库(密钥服务器)之一,并希望(或建议)用户将其用作OpenPGP密钥的可信来源。
或者,您可以使用服务器的证书创建您分发的存档的分离的PKCS#7 / CMS签名,但与OpenPGP不同,没有广泛的工具可用于检查PKCS#7 / CMS签名 - 用户计算机(好吧,也许OpenSSL可以为您的用户提供服务)。请注意,服务器证书的KeyUsage可能不适合签名,因此用户将收到警告。
请注意,OpenPGP密钥被称为"密钥",并且也以这种方式调用X.509证书。没有" pgp证书"以及没有" ssl证书"。