Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

OpenPGP

为了便于安全添加客户软件包,可以使用 OpenPGP(相当好的隐私)对瞻博网络设备上的安装或更新过程中涉及的软件或固件文件进行自签名和验证。OpenPGP 是一种被广泛采用的加密标准,它使用非对称加密来提供数据的机密性、完整性和不可否认性。

注意:

将需要安装了 GPG 的 签名 计算机来生成私钥并对包进行签名。

创建的 OpenPGP密钥 应保持安全。任何有权访问私钥的人都可以对可在客户设备上运行的代码进行签名。

Junos OS 上的 Veriexec 功能强制所有软件均由有效颁发机构(通常是瞻博网络公司)签名。客户可以使用 OpenPGP(相当好的隐私)对自己的软件包进行签名,以允许软件包在 Junos OS 上运行。

注意:

目前,OpenPGP 功能仅在 Junos OS 上受支持。

本节提供有关如何将 OpenPGP 用于 veriexec 的分步演练,包括密钥生成、Junos 设备上的密钥安装、对清单进行签名以及使用 OpenPGP 签名验证已签名的清单。

在生成 OpenPGP 密钥之前,请将 veriexec-openpgp.tgz 扩展 添加到 Junos。要添加扩展,请在 Junos 设备上执行命令 request system software add veriexec-openpgp.tgz 。此命令可确保安装 OpenPGP 集成所需的组件,使其可供使用。

一旦添加了veriexec-openpgp.tgz扩展,我们就可以继续在签名者机器中生成OpenPGP密钥。

  1. 生成 OpenPGP 密钥:
    1. 打开终端或命令提示符。
    2. 执行以下命令以生成 RSA 密钥对:
    3. 这将生成一个密钥对并显示密钥 ID,稍后将用于验证。
  2. 在签名者计算机上导出公钥和私钥:
    1. 执行以下命令以导出签名者计算机上的公钥和私钥:
      注意:

      将扩展名为“.sec.asc”的导出私钥文件保密。

    2. 将ACA72B4719FD2523替换为在步骤 1 中获取的密钥 ID。
    3. 这些命令将生成公钥和私钥的 ASCII 装甲版本。
  3. 在 Junos 上安装公钥:
    1. 将公钥文件 (ACA72B4719FD2523.pub.asc) 复制到 Junos 设备。
    2. 在 Junos 设备上执行以下命令以安装公钥。
    3. 这会将公钥添加到 veriexec 使用的信任存储区。
  4. 签名清单:

    要对清单进行签名,您有两个选项,具体取决于您的要求。

    • 选项 1:利用签名服务器

      如果您有权访问 签名服务器,请按照下列步骤操作:

      • 创建或获取需要签名的清单文件(例如清单)。

      • 执行以下命令为清单生成和 OpenPGP 签名:

      • 替换为 server:port 实际的签名服务器和端口。

      • 此命令使用 OpenPGP 对清单进行签名并生成签名文件 (manifest.asc)

    • 选项 2:在签名者计算机上使用 GPG 执行自签名

      如果您希望使用 GPG 进行自签名,请按照以下步骤操作:

      • 创建或获取需要签名的清单文件(例如清单)。

      • 执行以下命令以使用 OpenPGP 对清单进行签名并生成签名文件 (manifest.asc):

      • 替换为 server:port 实际的签名服务器和端口。

      • 此命令使用 OpenPGP 对清单进行签名并生成签名文件 (manifest.asc)

  5. 验证已签名的清单:
    1. 将已签名的清单文件 (清单和清单.asc) 复制到 Junos 设备。
    2. 在 Junos 设备上打开 Unix 外壳或命令提示符。
    3. 执行以下命令以验证已签名的清单:
      注意:

      /path/to/directory 替换为清单和关联文件所在的实际目录路径,将 /path/to/manifest 替换为清单文件的路径。

    4. Veriexec 将使用公钥和相应的签名自动验证清单(包)。

    通过执行以下步骤,您可以利用 veriexec-openpgp 软件包来控制 Junos 使用的签名密钥和信任锚点,从而为客户软件包提供更多的安全性和自定义选项。