独自のGPGキーを使用する

自動インストールのために使用しているリポジトリに署名されていないメタデータがある場合は、通常、自動インストールのディストリビューションのオプションとしてinsecure=1カーネルパラメータを使用し、AutoYaSTインストールファイルでspacewalk/sles_no_signature_checksコードスニペットを使用する必要があります。

より安全な代替方法は、独自のGPGキーを提供することです。

この操作は、SUSEクライアントにのみ適用されます。

手順: 独自のGPGキーを追加する
  1. GPGキーを作成します。

  2. このキーを使用して、パッケージのメタデータに署名します。

  3. インストールメディアの初期RAMディスクにこのキーを追加します。

    • キーを作成し、そのキーを使用してメタデータに署名する方法については、リポジトリメタデータの署名を参照してください。

    • ネットワークブートに使用するインストールメディアにキーを追加する方法については、PXEブート用の独自のGPGキーを参照してください。

    • CD-ROMからのブートに使用するインストールメディアにキーを追加する方法については、CD-ROM内の独自のGPGキーを参照してください。

新しいGPGキーを使用してメタデータに署名した場合、オンボード済みのクライアントはこの新しいキーを認識しません。 クライアントを登録する前に、メタデータに署名することが理想的です。

リポジトリを使用するオンボード済みのクライアントの場合、修正方法は、そのクライアントでGPGキーのチェックを無効にすることです。

1. PXEブート用の独自のGPGキー

PXEブートプロセスで使用される初期RAMディスク(initrd)には、通常SUSEのGPGキーのみが格納されています。 パッケージをチェックするために使用できるように、このファイルに独自のキーを追加する必要があります。

プロシージャ: 初期RAMディスクにGPGキーを追加する
  1. GPGキーを見つけるためにブートプロセス中に使用されるものと同じパスにディレクトリを作成します。

    mkdir -p tftproot/usr/lib/rpm/gnupg/keys
  2. .ascサフィックスを付けてこのディレクトリにGPGキーをコピーします。

    cp /srv/www/htdocs/pub/mgr-gpg-pub.key tftproot/usr/lib/rpm/gnupg/keys/mgr-gpg-pub.asc
  3. 最上位のディレクトリ内で、コンテンツをパッケージ化し、インストールメディアファイルの一部であるinitrdに追加します。

    cd tftproot
    find . | cpio -o -H newc | xz --check=crc32 -c >> /path/to/initrd

2. CD-ROM内の独自のGPGキー

mksusecdユーティリティでインストールイメージを修正できます。 このユーティリティは、Development Toolsモジュールに含まれています。

プロシージャ: インストールISOイメージにGPGキーを追加する
  1. GPGキーを見つけるためにブートプロセス中に使用されるものと同じパスにディレクトリを作成します。

    mkdir -p initrdroot/usr/lib/rpm/gnupg/keys
  2. .ascサフィックスを付けてこのディレクトリにGPGキーをコピーします。

    cp /srv/www/htdocs/pub/mgr-gpg-pub.key initrdroot/usr/lib/rpm/gnupg/keys/mgr-gpg-pub.asc
  3. mksusecdで既存のISOイメージを修正します。

    mksusecd --create <new-image>.iso --initrd initrdroot/ <old-image>.iso