B.4. 生成一份废弃证书

在你生成了钥匙对之后,你应该为你的公钥创建一份废弃证书。如果你忘记了你的口令句,或该口令句已被窃取,你应该公布这份证书来通知用户你的公钥不应该再被使用。

注记注记
 

在你生成废弃证书时,你不是在废弃你刚刚生成的钥匙,相反,你给自己提供了一种停止钥匙被继续公开使用的安全方法。在你忘记了口令、更换了 ISP(地址),或硬盘驱动器崩溃的情况下,这份废弃证书就可以用来宣告你原来的公钥无效。

在钥匙被废弃之前,你的签名对那些阅读你发出的信件的人有效,并可以被他们用来解密收到的消息。要生成废弃证书,使用 --gen-revoke 选项:

gpg --output revoke.asc --gen-revoke  <you@example.com>

注意,如果你在上面省略了 --output revoke.asc 选项,你的废弃证书就会被显示在标准输出,即显示屏幕上。虽然你可以使用文本编辑器来把它们剪贴到一个文本文件中,但是直接把输出转写入登录目录中的文件可能更加简易可行。这样,你就可以保存证书以备将来之用,或将其移到软盘中,存放在一个安全之处。

其输出会类似:

sec  1024D/823D25A9 2000-04-26  Your Name <you@example.com>
	
Create a revocation certificate for this key?

[Y] 来创建列出钥匙的废弃证书。下一步,你会被要求选择废弃原因或提供描述。确认了原因后,输入你用来生成钥匙的口令句。

废弃证书(revoke.asc)创建完毕后,它会位于你的登录目录中。你应该把它复制到一张软盘中,并存放在一个安全的地方。(如果你不知道如何在 Red Hat Linux 中把文件复制到软盘上,请参阅 《Red Hat Linux 入门指南》。)