gpg 密钥生成、导入、导出、自动输入密码

目录

一、系统环境

二、常用命令（以签名密钥为例）

（1）生成密钥

（2）列出私钥

（3）列出公钥

（4）导出公钥

（5）导出私钥

（6）导入公钥/私钥

（7）删除公钥

（8）删除私钥

三、在对私钥进行操作时，避免弹窗输入密码

（1）直接输入密码

（2）将密码输入到文件里

---

这里总结一下 gpg 密钥的使用，在最新的版本 2.2.x （CentOS 8）相较于之前的 2.0.x （CentOS 7）版本还是有较大的变化的，还有记录一下自动输入密钥密码的方式，虽然这种方式不提倡（不安全），但是在一些特殊情况下，比如：写脚本执行 gpg 操作的时候，总不能每次弹框手动输入命令吧，下面就来总结下。

一、系统环境

CentOS Linux release 8.0.1905 (Core)**注意：**CentOS 7 中 gpg 的版本为 2.0.x，CentOS 8 中 gpg 为 2.2.x，还是有很大变化的，比如：签名密钥的导入和导出都需要输入密码。

二、常用命令（以签名密钥为例）

（1）生成密钥

**简单方式：**gpg --generate-key 或 --gen-key : 生成 gpg 密钥，这种方式有一些参数是默认的；

[root@192 ~]# gpg --gen-keygpg (GnuPG) 2.2.9; Copyright (C) 2018 Free Software Foundation, Inc.This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law.Note: Use "gpg --full-generate-key" for a full featured key generation dialog.You need a user ID to identify your key; the software constructs the user IDfrom the Real Name, Comment and Email Address in this form:"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"真实姓名：temp-key电子邮件地址：temp-key@163.com您选定了这个用户标识：“temp-key <temp-key@163.com>”Change (N)ame, (E)mail, or (O)kay/(Q)uit? O我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。gpg: 密钥 AB38BACE635A064C 被标记为绝对信任gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/6C8A15CECD3DCC2741A7C590AB38BACE635A064C.rev'公钥和私钥已经生成并经签名。pub   rsa2048 2020-07-27 [SC] [有效至：2022-07-27]6C8A15CECD3DCC2741A7C590AB38BACE635A064Cuid temp-key <temp-key@163.com>sub   rsa2048 2020-07-27 [E] [有效至：2022-07-27][root@192 ~]#

**详细的方式：**gpg --full-gen-key 或 --full-generate-key ： 生成gpg密钥，有详细的配置参数；

[root@localhost ~]# gpg --full-generate-keygpg (GnuPG) 2.2.9; Copyright (C) 2018 Free Software Foundation, Inc.This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law.请选择您要使用的密钥种类：(1) RSA and RSA (default)(2) DSA and Elgamal(3) DSA (仅用于签名)(4) RSA (仅用于签名)您的选择？ 4RSA 密钥长度应在 1024 位与 4096 位之间。您想要用多大的密钥尺寸？(2048)您所要求的密钥尺寸是 2048 位请设定这把密钥的有效期限。0 = 密钥永不过期<n>  = 密钥在 n 天后过期<n>w = 密钥在 n 周后过期<n>m = 密钥在 n 月后过期<n>y = 密钥在 n 年后过期密钥的有效期限是？(0) 0密钥永远不会过期以上正确吗？(y/n)yYou need a user ID to identify your key; the software constructs the user IDfrom the Real Name, Comment and Email Address in this form:"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"真实姓名：Search2016电子邮件地址：Search2016@163.com注释：Search2016您选定了这个用户标识：“Search2016 (Search2016) <Search2016@163.com>”更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？O我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。gpg: 密钥 894EC1384177F643 被标记为绝对信任gpg: directory '/root/.gnupg/openpgp-revocs.d' createdgpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/00BF891AC03B546DE9FCEDDC894EC1384177F643.rev'公钥和私钥已经生成并经签名。请注意这把密钥还不能用来加密，您必须先用“--edit-key”指令生成用于加密的子钥。pub   rsa2048 2020-07-26 [SC]00BF891AC03B546DE9FCEDDC894EC1384177F643uid Search2016 (Search2016) <Search2016@163.com>[root@localhost ~]#

（2）列出私钥

gpg -K 或 --list-secret-keys : 查看私钥，参数后面没有指定私钥，则输出所有私钥；

[root@192 ~]# gpg -K/root/.gnupg/pubring.kbx------------------------sec   rsa2048 2020-07-27 [SC]8AC0AB86C34ADC6ED110A5A9E6730F4374866065uid [ 绝对 ] Search2016 (Search2016) <Search2016@163.com>

（3）列出公钥

gpg -k 或 --list-public-keys : 查看公钥，参数后面没有指定公钥，则输出所有公钥;

[root@192 ~]# gpg -k/root/.gnupg/pubring.kbx------------------------pub   rsa2048 2020-07-27 [SC]8AC0AB86C34ADC6ED110A5A9E6730F4374866065uid [ 绝对 ] Search2016 (Search2016) <Search2016@163.com>

（4）导出公钥

    gpg -a -o public-file.key --export keyId : 导出公钥keyId 到 文件 public-file.key中；其中：-a 为 --armor 的简写，表示密钥以ASCII的形式输出，默认以二进制的形式输出；-o 为 --output 的简写，指定写入的文件；

[root@192 ~]# gpg -a -o public-file.key --export 8AC0AB86C34ADC6ED110A5A9E6730F4374866065

（5）导出私钥

 gpg -a -o private-file.key --export-secret-keys keyId : 导出私钥 keyId 到文件 private-file.key中，导出的时候需要输入密钥密码；其中，导出私钥需要输入保护私钥的密码；

[root@192 ~]# gpg -a -o private-file.key --export-secret-keys 8AC0AB86C34ADC6ED110A5A9E6730F4374866065

（6）导入公钥/私钥

gpg --import public-file.key / private-file.key : 导入公钥或私钥，其中，导入私钥需要输入保护私钥的密码；

[root@192 ~]# gpg --import public-file.keygpg: 密钥 E6730F4374866065：公钥“Search2016 (Search2016) <Search2016@163.com>”已导入gpg: 合计被处理的数量：1gpg: 已导入：1[root@192 ~]# gpg -k/root/.gnupg/pubring.kbx------------------------pub   rsa2048 2020-07-27 [SC]8AC0AB86C34ADC6ED110A5A9E6730F4374866065uid [ 未知 ] Search2016 (Search2016) <Search2016@163.com>[root@192 ~]# gpg --import private-file.keygpg: 密钥 E6730F4374866065：“Search2016 (Search2016) <Search2016@163.com>”未改变gpg: 密钥 E6730F4374866065：私钥已导入gpg: 合计被处理的数量：1gpg: 未改变：1gpg: 读取的私钥：1gpg: 导入的私钥：1[root@192 ~]#

（7）删除公钥

gpg --delete-keys keyId : 删除公钥；

[root@192 ~]# gpg --delete-keys 6C8A15CECD3DCC2741A7C590AB38BACE635A064C

（8）删除私钥

gpg --delete-secret-keys : 删除私钥；

[root@192 ~]# gpg --delete-secret-keys 6C8A15CECD3DCC2741A7C590AB38BACE635A064C

三、在对私钥进行操作时，避免弹窗输入密码

 gpg 在新的版本中，在对私钥进行操作的时候（签名、导入等）需要输入密钥的密码，但是有时候我们并不希望弹框输入密码，更希望是通过脚本等方式执行 gpg 的一些操作，方法如下：

（1）直接输入密码

gpg --import  **\--pinentry-mode loopback --batch --passphrase password**  private-file.key

[root@localhost ~]# gpg --import --pinentry-mode loopback --batch --passphrase 123456 private-file.keygpg: 密钥 E6730F4374866065：“Search2016 (Search2016) <Search2016@163.com>”未改变gpg: 密钥 E6730F4374866065：私钥已导入gpg: 合计被处理的数量：1gpg: 未改变：1gpg: 读取的私钥：1gpg: 导入的私钥：1[root@localhost ~]#

（2）将密码输入到文件里

gpg --import  **\--pinentry-mode loopback --batch --passphrase-file password-file**  private-file.key

[root@localhost ~]# gpg --import --pinentry-mode loopback --batch --passphrase-file password-file private-file.keygpg: 密钥 E6730F4374866065：“Search2016 (Search2016) <Search2016@163.com>”未改变gpg: 密钥 E6730F4374866065：私钥已导入gpg: 合计被处理的数量：1gpg: 未改变：1gpg: 读取的私钥：1gpg: 导入的私钥：1[root@localhost ~]#

文件 password-file 第一行为设置的密码，这两种方式都不提倡使用，如果真要使用建议使用第二中。

文章来源: blog.csdn.net，作者：Linux猿，版权归原作者所有，如需转载，请联系作者。

原文链接：blog.csdn.net/nyist_zxp/article/details/107597626

推荐

华为开发者空间发布

让每位开发者拥有一台云主机

【版权声明】本文为华为云社区用户转载文章，如果您发现本社区中有涉嫌抄袭的内容，欢迎发送邮件进行举报，并提供相关证据，一经查实，本社区将立刻删除涉嫌侵权内容，举报邮箱： cloudbbs@huaweicloud.com

Linux

.pep-ad-img-wrapper{ box-sizing: border-box; display: block; position: relative; text-decoration: none; overflow: hidden; margin:0px auto; } .pep-smart-recommend-img-card img { width: 100%; height: auto; }

转至：https://bbs.huaweicloud.com/blogs/290331