用于Linux的代码签名

Question

有没有为(Red Hat Enterprise) Linux提供代码签名证书的提供商？我看到很多关于Microsoft-land的议论，但对Linux的议论不多。

我知道如何生成自己的证书并将公共证书嵌入到我的可执行文件中。我特别在寻找由可信的CA对证书进行签名的方法。目标系统是RHEL 5 Server。

另一个问题是: RHEL 5服务器开箱即用地信任哪些根证书颁发机构？

Answer 1

在所有的现实和实用中，大多数人只使用自签名证书。RHEL客户除了信任单个包的总和之外，还信任整个存储库。所以，是的，你可以给你的可执行文件签名，但是除了让它相信自己之外，它在一个普通的RHEL系统上也做不了什么好事。

可信can的列表可以在/etc中的某个地方找到，我忘记了确切的位置，但它应该相当明显。

Answer 2

商业代码签名证书不指定它可用于哪些应用程序。因此可以使用来自公共信任CA的任何代码签名证书。对于Linux，您需要确保依赖方能够访问验证证书。

关于信任存储库的答案可能很快就会过时，如果它还没有过时的话。如果软件物料清单(SBOM)成为标准，则构建工具将有必要能够验证数字签名，而自签名证书将不会受到广泛信任。