リポジトリメタデータの署名

リポジトリメタデータを署名できるようにするにはカスタムGPGキーが必要です。

プロシージャ: カスタムGPGキーの生成

  1. rootユーザとして、gpgコマンドを使用して、新しいキーを生成します。

    gpg --gen-key

  2. プロンプトが表示されたら、サイズが2048ビットのRSAをキータイプとして選択し、キーの適切な有効期限を選択します。 新しいキーの詳細を確認して、「y」と入力して確定します。

  3. プロンプトが表示されたら、キーに関連付けられた名前と電子メールアドレスを入力します。 必要に応じて、キーの識別に役立つコメントを追加することもできます。 ユーザIDに問題がなければ、「O 」と入力して確定します。

  4. プロンプトが表示されたら、キーを保護するパスフレーズを入力します。

  5. キーは自動的にキーリングに追加されます。 キーリングにキーを一覧表示して確認できます。

    gpg --list-keys

  6. テキストエディタでファイルを開き、次の行を追加して、キーリングのパスワードを /etc/rhn/signing.conf設定ファイルに追加します。

    GPGPASS="password"

GPGキーの更新については、同期のトラブルシューティングを参照してください。

mgr-sign-metadata-ctlコマンドを使用してコマンドラインでメタデータ署名を管理できます。

プロシージャ: メタデータ署名の有効化

  1. 使用するキーの短い識別子を知っている必要があります。 使用可能な公開鍵を短い形式で一覧表示できます。

    gpg --keyid-format short --list-keys
...
pub   rsa2048/3E7BFE0A 2019-04-02 [SC] [expires: 2021-04-01]
      A43F9EC645ED838ED3014B035CFA51BF3E7BFE0A
uid         [ultimate] SUSE Manager
sub   rsa2048/118DE7FF 2019-04-02 [E] [expires: 2021-04-01]

  2. mgr-sign-metadata-ctlコマンドを使用してメタデータ署名を有効化します。

    mgr-sign-metadata-ctl enable 3E7BFE0A
OK. Found key 3E7BFE0A in keyring.
DONE. Set key 3E7BFE0A in /etc/rhn/signing.conf.
DONE. Enabled metadata signing in /etc/rhn/rhn.conf.
DONE. Exported key 4E2C3DD8 to /srv/susemanager/salt/gpg/mgr-keyring.gpg.
DONE. Exported key 4E2C3DD8 to /srv/www/htdocs/pub/mgr-gpg-pub.key.
NOTE. For the changes to become effective run:
   mgr-sign-metadata-ctl regen-metadata

  3. このコマンドを使用して設定が正しいことを確認できます。

    mgr-sign-metadata-ctl check-config

  4. サービスを再起動し、メタデータの再生成をスケジュールして変更を取得します。

    mgr-sign-metadata-ctl regen-metadata

mgr-sign-metadata-ctlコマンドを使用して他のタスクを実行することもできます。 mgr-sign-metadata-ctl --helpを使用して、完全なリストを表示します。

リポジトリメタデータ署名はグローバルオプションです。 有効にすると、サーバ上のすべてのソフトウェアチャンネルで有効になります。 これは、サーバに接続されているすべてのクライアントが、パッケージをインストールまたは更新できるようにするために、新しいGPGキーを信頼する必要があることを意味します。

プロシージャ: クライアントへのGPGキーのインポート

  1. GPGキーをクライアントに配備すると、salt状態で動作します。

  2. SUSE Manager Web UIを使用してhighstateを適用します。

GPGキーのトラブルシューティングの詳細については、同期のトラブルシューティングを参照してください。