目录

一、系统环境

二、常用命令（以签名密钥为例）

（1）生成密钥

（2）列出私钥

（3）列出公钥

（4）导出公钥

（5）导出私钥

（6）导入公钥/私钥

（7）删除公钥

（8）删除私钥

三、在对私钥进行操作时，避免弹窗输入密码

（1）直接输入密码

（2）将密码输入到文件里

    这里总结一下 gpg 密钥的使用，在最新的版本 2.2.x （CentOS 8）相较于之前的 2.0.x （CentOS 7）版本还是有较大的变化的，还有记录一下自动输入密钥密码的方式，虽然这种方式不提倡（不安全），但是在一些特殊情况下，比如：写脚本执行 gpg 操作的时候，总不能每次弹框手动输入命令吧，下面就来总结下。

一、系统环境

    CentOS Linux release 8.0.1905 (Core)

    注意：CentOS 7 中 gpg 的版本为 2.0.x，CentOS 8 中 gpg 为 2.2.x，还是有很大变化的，比如：签名密钥的导入和导出都需要输入密码。

二、常用命令（以签名密钥为例）

（1）生成密钥

    简单方式：gpg --generate-key 或 --gen-key : 生成 gpg 密钥，这种方式有一些参数是默认的；

  

   

    

     

    
    

     

      [root@192 ~]# gpg --gen-key
     
    
   

    

     

    
    

     

      gpg (GnuPG) 2.2.9; Copyright (C) 2018 Free Software Foundation, Inc.
     
    
   

    

     

    
    

     

      This is free software: you are free to change and redistribute it.
     
    
   

    

     

    
    

     

      There is NO WARRANTY, to the extent permitted by law.
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      Note: Use "gpg --full-generate-key" for a full featured key generation dialog.
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      You need a user ID to identify your key; the software constructs the user ID
     
    
   

    

     

    
    

     

      from the Real Name, Comment and Email Address in this form:
     
    
   

    

     

    
    

     
 "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      真实姓名：temp-key
     
    
   

    

     

    
    

     

      电子邮件地址：temp-key@163.com
     
    
   

    

     

    
    

     

      您选定了这个用户标识：
     
    
   

    

     

    
    

     

       “temp-key <temp-key@163.com>”
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      Change (N)ame, (E)mail, or (O)kay/(Q)uit? O
     
    
   

    

     

    
    

     

      我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
     
    
   

    

     

    
    

     

      鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
     
    
   

    

     

    
    

     

      我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
     
    
   

    

     

    
    

     

      鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
     
    
   

    

     

    
    

     

      gpg: 密钥 AB38BACE635A064C 被标记为绝对信任
     
    
   

    

     

    
    

     

      gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/6C8A15CECD3DCC2741A7C590AB38BACE635A064C.rev'
     
    
   

    

     

    
    

     

      公钥和私钥已经生成并经签名。
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      pub   rsa2048 2020-07-27 [SC] [有效至：2022-07-27]
     
    
   

    

     

    
    

     
 6C8A15CECD3DCC2741A7C590AB38BACE635A064C
     
    
   

    

     

    
    

     

      uid temp-key <temp-key@163.com>
     
    
   

    

     

    
    

     

      sub   rsa2048 2020-07-27 [E] [有效至：2022-07-27]
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      [root@192 ~]#
     
    
  
 

   详细的方式：gpg --full-gen-key 或 --full-generate-key ： 生成gpg密钥，有详细的配置参数；

  

   

    

     

    
    

     

      [root@localhost ~]# gpg --full-generate-key
     
    
   

    

     

    
    

     

      gpg (GnuPG) 2.2.9; Copyright (C) 2018 Free Software Foundation, Inc.
     
    
   

    

     

    
    

     

      This is free software: you are free to change and redistribute it.
     
    
   

    

     

    
    

     

      There is NO WARRANTY, to the extent permitted by law.
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      请选择您要使用的密钥种类：
     
    
   

    

     

    
    

     

         (1) RSA and RSA (default)
     
    
   

    

     

    
    

     

       (2) DSA and Elgamal
     
    
   

    

     

    
    

     

       (3) DSA (仅用于签名)
     
    
   

    

     

    
    

     

       (4) RSA (仅用于签名)
     
    
   

    

     

    
    

     

      您的选择？ 4
     
    
   

    

     

    
    

     

      RSA 密钥长度应在 1024 位与 4096 位之间。
     
    
   

    

     

    
    

     

      您想要用多大的密钥尺寸？(2048)
     
    
   

    

     

    
    

     

      您所要求的密钥尺寸是 2048 位
     
    
   

    

     

    
    

     

      请设定这把密钥的有效期限。
     
    
   

    

     

    
    

     

       0 = 密钥永不过期
     
    
   

    

     

    
    

     

       <n>  = 密钥在 n 天后过期
     
    
   

    

     

    
    

     

       <n>w = 密钥在 n 周后过期
     
    
   

    

     

    
    

     

       <n>m = 密钥在 n 月后过期
     
    
   

    

     

    
    

     

       <n>y = 密钥在 n 年后过期
     
    
   

    

     

    
    

     

      密钥的有效期限是？(0) 0
     
    
   

    

     

    
    

     

      密钥永远不会过期
     
    
   

    

     

    
    

     

      以上正确吗？(y/n)y
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      You need a user ID to identify your key; the software constructs the user ID
     
    
   

    

     

    
    

     

      from the Real Name, Comment and Email Address in this form:
     
    
   

    

     

    
    

     
 "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      真实姓名：Search2016
     
    
   

    

     

    
    

     

      电子邮件地址：Search2016@163.com
     
    
   

    

     

    
    

     

      注释：Search2016
     
    
   

    

     

    
    

     

      您选定了这个用户标识：
     
    
   

    

     

    
    

     

       “Search2016 (Search2016) <Search2016@163.com>”
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？O
     
    
   

    

     

    
    

     

      我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
     
    
   

    

     

    
    

     

      鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
     
    
   

    

     

    
    

     

      gpg: 密钥 894EC1384177F643 被标记为绝对信任
     
    
   

    

     

    
    

     

      gpg: directory '/root/.gnupg/openpgp-revocs.d' created
     
    
   

    

     

    
    

     

      gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/00BF891AC03B546DE9FCEDDC894EC1384177F643.rev'
     
    
   

    

     

    
    

     

      公钥和私钥已经生成并经签名。
     
    
   

    

     

    
    

     
 
     
    
   

    

     

    
    

     

      请注意这把密钥还不能用来加密，您必须先用“--edit-key”指令
     
    
   

    

     

    
    

     

      生成用于加密的子钥。
     
    
   

    

     

    
    

     

      pub   rsa2048 2020-07-26 [SC]
     
    
   

    

     

    
    

     
 00BF891AC03B546DE9FCEDDC894EC1384177F643
     
    
   

    

     

    
    

     

      uid Search2016 (Search2016) <Search2016@163.com>
     
    
   

    

     

    
    

     

      
     
    
   

    

     

    
    

     

      [root@localhost ~]#
     
    
   

    

     

    
    

     

      
     
    
  
 

（2）列出私钥

    gpg -K 或 --list-secret-keys : 查看私钥，参数后面没有指定私钥，则输出所有私钥；

  

   

    

     

    
    

     

      [root@192 ~]# gpg -K
     
    
   

    

     

    
    

     

      /root/.gnupg/pubring.kbx
     
    
   

    

     

    
    

     

      ------------------------
     
    
   

    

     

    
    

     

      sec   rsa2048 2020-07-27 [SC]
     
    
   

    

     

    
    

     
 8AC0AB86C34ADC6ED110A5A9E6730F4374866065
     
    
   

    

     

    
    

     

      uid [ 绝对 ] Search2016 (Search2016) <Search2016@163.com>
     
    
  
 

（3）列出公钥

    gpg -k 或 --list-public-keys : 查看公钥，参数后面没有指定公钥，则输出所有公钥;

  

   

    

     

    
    

     

      [root@192 ~]# gpg -k
     
    
   

    

     

    
    

     

      /root/.gnupg/pubring.kbx
     
    
   

    

     

    
    

     

      ------------------------
     
    
   

    

     

    
    

     

      pub   rsa2048 2020-07-27 [SC]
     
    
   

    

     

    
    

     
 8AC0AB86C34ADC6ED110A5A9E6730F4374866065
     
    
   

    

     

    
    

     

      uid [ 绝对 ] Search2016 (Search2016) <Search2016@163.com>
     
    
  
 

（4）导出公钥

        gpg -a -o public-file.key --export keyId : 导出公钥keyId 到 文件 public-file.key中；

    其中：

    -a 为 --armor 的简写，表示密钥以ASCII的形式输出，默认以二进制的形式输出；

    -o 为 --output 的简写，指定写入的文件；

[root@192 ~]# gpg -a -o public-file.key --export 8AC0AB86C34ADC6ED110A5A9E6730F4374866065
 

（5）导出私钥

     gpg -a -o private-file.key --export-secret-keys keyId : 导出私钥 keyId 到文件 private-file.key中，导出的时候需要输入密钥密码；

    其中，导出私钥需要输入保护私钥的密码；

[root@192 ~]# gpg -a -o private-file.key --export-secret-keys 8AC0AB86C34ADC6ED110A5A9E6730F4374866065
 

（6）导入公钥/私钥

    gpg --import public-file.key / private-file.key : 导入公钥或私钥，其中，导入私钥需要输入保护私钥的密码；

  

   

    

     

    
    

     

      [root@192 ~]# gpg --import public-file.key
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：公钥“Search2016 (Search2016) <Search2016@163.com>”已导入
     
    
   

    

     

    
    

     

      gpg: 合计被处理的数量：1
     
    
   

    

     

    
    

     

      gpg: 已导入：1
     
    
   

    

     

    
    

     

      [root@192 ~]# gpg -k
     
    
   

    

     

    
    

     

      /root/.gnupg/pubring.kbx
     
    
   

    

     

    
    

     

      ------------------------
     
    
   

    

     

    
    

     

      pub   rsa2048 2020-07-27 [SC]
     
    
   

    

     

    
    

     
 8AC0AB86C34ADC6ED110A5A9E6730F4374866065
     
    
   

    

     

    
    

     

      uid [ 未知 ] Search2016 (Search2016) <Search2016@163.com>
     
    
   

    

     

    
    

     

      [root@192 ~]# gpg --import private-file.key
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：“Search2016 (Search2016) <Search2016@163.com>”未改变
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：私钥已导入
     
    
   

    

     

    
    

     

      gpg: 合计被处理的数量：1
     
    
   

    

     

    
    

     

      gpg: 未改变：1
     
    
   

    

     

    
    

     

      gpg: 读取的私钥：1
     
    
   

    

     

    
    

     

      gpg: 导入的私钥：1
     
    
   

    

     

    
    

     

      [root@192 ~]#
     
    
  
 

（7）删除公钥

    gpg --delete-keys keyId : 删除公钥；

[root@192 ~]# gpg --delete-keys 6C8A15CECD3DCC2741A7C590AB38BACE635A064C
 

（8）删除私钥

    gpg --delete-secret-keys : 删除私钥；

[root@192 ~]# gpg --delete-secret-keys 6C8A15CECD3DCC2741A7C590AB38BACE635A064C
 

三、在对私钥进行操作时，避免弹窗输入密码

     gpg 在新的版本中，在对私钥进行操作的时候（签名、导入等）需要输入密钥的密码，但是有时候我们并不希望弹框输入密码，更希望是通过脚本等方式执行 gpg 的一些操作，方法如下：

（1）直接输入密码

    gpg --import  --pinentry-mode loopback --batch --passphrase password  private-file.key

  

   

    

     

    
    

     

      [root@localhost ~]# gpg --import --pinentry-mode loopback --batch --passphrase 123456 private-file.key
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：“Search2016 (Search2016) <Search2016@163.com>”未改变
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：私钥已导入
     
    
   

    

     

    
    

     

      gpg: 合计被处理的数量：1
     
    
   

    

     

    
    

     

      gpg: 未改变：1
     
    
   

    

     

    
    

     

      gpg: 读取的私钥：1
     
    
   

    

     

    
    

     

      gpg: 导入的私钥：1
     
    
   

    

     

    
    

     

      [root@localhost ~]#
     
    
  
 

（2）将密码输入到文件里

    gpg --import  --pinentry-mode loopback --batch --passphrase-file password-file  private-file.key

  

   

    

     

    
    

     

      [root@localhost ~]# gpg --import --pinentry-mode loopback --batch --passphrase-file password-file private-file.key
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：“Search2016 (Search2016) <Search2016@163.com>”未改变
     
    
   

    

     

    
    

     

      gpg: 密钥 E6730F4374866065：私钥已导入
     
    
   

    

     

    
    

     

      gpg: 合计被处理的数量：1
     
    
   

    

     

    
    

     

      gpg: 未改变：1
     
    
   

    

     

    
    

     

      gpg: 读取的私钥：1
     
    
   

    

     

    
    

     

      gpg: 导入的私钥：1
     
    
   

    

     

    
    

     

      [root@localhost ~]#
     
    
  
 

文件  password-file 第一行为设置的密码，这两种方式都不提倡使用，如果真要使用建议使用第二中。

文章来源: blog.csdn.net，作者：Linux猿，版权归原作者所有，如需转载，请联系作者。

原文链接：blog.csdn.net/nyist_zxp/article/details/107597626