独自のGPGキーを使用する
自動インストールのために使用しているリポジトリに署名されていないメタデータがある場合は、通常、自動インストールのディストリビューションのオプションとしてinsecure=1
カーネルパラメータを使用し、AutoYaSTインストールファイルでspacewalk/sles_no_signature_checks
コードスニペットを使用する必要があります。
より安全な代替方法は、独自のGPGキーを提供することです。
この操作は、SUSEクライアントにのみ適用されます。 |
-
GPGキーを作成します。
-
このキーを使用して、パッケージのメタデータに署名します。
-
インストールメディアの初期RAMディスクにこのキーを追加します。
-
キーを作成し、そのキーを使用してメタデータに署名する方法については、リポジトリメタデータの署名を参照してください。
-
ネットワークブートに使用するインストールメディアにキーを追加する方法については、PXEブート用の独自のGPGキーを参照してください。
-
CD-ROMからのブートに使用するインストールメディアにキーを追加する方法については、CD-ROM内の独自のGPGキーを参照してください。
-
新しいGPGキーを使用してメタデータに署名した場合、オンボード済みのクライアントはこの新しいキーを認識しません。 クライアントを登録する前に、メタデータに署名することが理想的です。 リポジトリを使用するオンボード済みのクライアントの場合、修正方法は、そのクライアントでGPGキーのチェックを無効にすることです。 |
1. PXEブート用の独自のGPGキー
PXEブートプロセスで使用される初期RAMディスク(initrd
)には、通常SUSEのGPGキーのみが格納されています。 パッケージをチェックするために使用できるように、このファイルに独自のキーを追加する必要があります。
-
GPGキーを見つけるためにブートプロセス中に使用されるものと同じパスにディレクトリを作成します。
mkdir -p tftproot/usr/lib/rpm/gnupg/keys
-
.asc
サフィックスを付けてこのディレクトリにGPGキーをコピーします。cp /srv/www/htdocs/pub/mgr-gpg-pub.key tftproot/usr/lib/rpm/gnupg/keys/mgr-gpg-pub.asc
-
最上位のディレクトリ内で、コンテンツをパッケージ化し、インストールメディアファイルの一部である
initrd
に追加します。cd tftproot find . | cpio -o -H newc | xz --check=crc32 -c >> /path/to/initrd
2. CD-ROM内の独自のGPGキー
mksusecd
ユーティリティでインストールイメージを修正できます。 このユーティリティは、Development Toolsモジュールに含まれています。
-
GPGキーを見つけるためにブートプロセス中に使用されるものと同じパスにディレクトリを作成します。
mkdir -p initrdroot/usr/lib/rpm/gnupg/keys
-
.asc
サフィックスを付けてこのディレクトリにGPGキーをコピーします。cp /srv/www/htdocs/pub/mgr-gpg-pub.key initrdroot/usr/lib/rpm/gnupg/keys/mgr-gpg-pub.asc
-
mksusecd
で既存のISOイメージを修正します。mksusecd --create <new-image>.iso --initrd initrdroot/ <old-image>.iso