OpenPGP
为了便于安全添加客户软件包,可以使用 OpenPGP(相当好的隐私)对瞻博网络设备上的安装或更新过程中涉及的软件或固件文件进行自签名和验证。OpenPGP 是一种被广泛采用的加密标准,它使用非对称加密来提供数据的机密性、完整性和不可否认性。
注意:
将需要安装了 GPG 的 签名 计算机来生成私钥并对包进行签名。
创建的 OpenPGP密钥 应保持安全。任何有权访问私钥的人都可以对可在客户设备上运行的代码进行签名。
Junos OS 上的 Veriexec 功能强制所有软件均由有效颁发机构(通常是瞻博网络公司)签名。客户可以使用 OpenPGP(相当好的隐私)对自己的软件包进行签名,以允许软件包在 Junos OS 上运行。
注意:
目前,OpenPGP 功能仅在 Junos OS 上受支持。
本节提供有关如何将 OpenPGP 用于 veriexec 的分步演练,包括密钥生成、Junos 设备上的密钥安装、对清单进行签名以及使用 OpenPGP 签名验证已签名的清单。
在生成 OpenPGP 密钥之前,请将
veriexec-openpgp.tgz 扩展 添加到 Junos。要添加扩展,请在 Junos 设备上执行命令
request system software add veriexec-openpgp.tgz
。此命令可确保安装 OpenPGP 集成所需的组件,使其可供使用。
一旦添加了veriexec-openpgp.tgz扩展,我们就可以继续在签名者机器中生成OpenPGP密钥。