主页
产品
Red Hat Enterprise Linux
10
管理、监控和更新内核
24.3. 使用 OpenSSL 创建自定义 IMA 密钥

24.3. 使用 OpenSSL 创建自定义 IMA 密钥

您可以使用 OpenSSL 为您的数字证书生成一个 CSR，以保护您的代码。

内核搜索代码签名密钥的 .ima keyring，以验证 IMA 签名。在向 .ima keyring 中添加代码签名密钥前，您需要确保 IMA CA 密钥在 .builtin_trusted_keys 或 .secondary_trusted_keys keyring 中签名了这个密钥。

先决条件

自定义 IMA CA 密钥有以下扩展：
- 具有 CA 布尔值断言的基本约束扩展。
- 带有 keyCertSign 位断言，但没有 digitalSignature 断言的 KeyUsage 扩展。
自定义 IMA 代码签名密钥符合以下条件：
- IMA CA 密钥签名了这个自定义 IMA 代码签名密钥。
- 自定义密钥包括 subjectKeyIdentifier 扩展。
x86_64 或 aarch64 系统或 ppc64le 系统上的 PowerVM 安全引导启用了 UEFI 安全引导。

流程

要生成一个自定义 IMA CA 密钥对，请运行：

openssl req -new -x509 -utf8 -sha256 -days 3650 -batch -config ima_ca.conf -outform DER -out custom_ima_ca.der -keyout custom_ima_ca.priv

# openssl req -new -x509 -utf8 -sha256 -days 3650 -batch -config ima_ca.conf -outform DER -out custom_ima_ca.der -keyout custom_ima_ca.priv

Copy to Clipboard

Toggle word wrap

可选：要检查 ima_ca.conf 文件的内容，请运行：

cat ima_ca.conf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = ca

[ req_distinguished_name ]
O = YOUR_ORG
CN =  YOUR_COMMON_NAME IMA CA
emailAddress = YOUR_EMAIL

[ ca ]
basicConstraints=critical,CA:TRUE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
keyUsage=critical,keyCertSign,cRLSign

# cat ima_ca.conf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = ca

[ req_distinguished_name ]
O = YOUR_ORG
CN =  YOUR_COMMON_NAME IMA CA
emailAddress = YOUR_EMAIL

[ ca ]
basicConstraints=critical,CA:TRUE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
keyUsage=critical,keyCertSign,cRLSign

Copy to Clipboard

Toggle word wrap

要为 IMA 代码签名密钥生成一个私钥和一个签名请求的证书(CSR)，请运行：

openssl req -new -utf8 -sha256 -days 365 -batch -config ima.conf -out custom_ima.csr -keyout custom_ima.priv

# openssl req -new -utf8 -sha256 -days 365 -batch -config ima.conf -out custom_ima.csr -keyout custom_ima.priv

Copy to Clipboard

Toggle word wrap

可选：要检查 ima.conf 文件的内容，请运行：

cat ima.conf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = code_signing

[ req_distinguished_name ]
O = YOUR_ORG
CN = YOUR_COMMON_NAME IMA signing key
emailAddress = YOUR_EMAIL

[ code_signing ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer

# cat ima.conf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = code_signing

[ req_distinguished_name ]
O = YOUR_ORG
CN = YOUR_COMMON_NAME IMA signing key
emailAddress = YOUR_EMAIL

[ code_signing ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer

Copy to Clipboard

Toggle word wrap

使用 IMA CA 私钥签名 CSR ，来创建 IMA 代码签名证书：

openssl x509 -req -in custom_ima.csr -days 365 -extfile ima.conf -extensions code_signing -CA custom_ima_ca.der -CAkey custom_ima_ca.priv -CAcreateserial -outform DER -out ima.der

# openssl x509 -req -in custom_ima.csr -days 365 -extfile ima.conf -extensions code_signing -CA custom_ima_ca.der -CAkey custom_ima_ca.priv -CAcreateserial -outform DER -out ima.der

Copy to Clipboard

Toggle word wrap

返回顶部

24.3. 使用 OpenSSL 创建自定义 IMA 密钥

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links