자체 GPG 키 사용
자동 설치에서 사용할 리포지토리에 서명되지 않은 메타데이터가 있는 경우 일반적으로 insecure=1 커널 파라미터를 자동 설치 가능한 배포판 옵션으로 사용하고 AutoYaST 설치 파일에서 spacewalk/sles_no_signature_checks 코드 조각을 사용해야 합니다.
더 안전한 방법은 자체 GPG 키를 제공하는 것입니다.
|
이 방법은 SUSE 클라이언트에만 해당합니다. |
-
GPG 키를 생성합니다.
-
이 키를 사용하여 패키지의 메타데이터에 서명합니다.
-
설치 미디어의 초기 RAM 디스크에 추가합니다.
-
키를 생성한 후 이 키를 사용하여 메타데이터에 서명하는 방법은 리포지토리 메타데이터 서명을 참조하십시오.
-
네트워크 부팅을 위해 사용되는 설치 미디어에 키를 추가하는 방법은 PXE 부팅을 위한 자체 GPG 키를 참조하십시오.
-
CD-ROM에서 부팅하기 위해 사용되는 설치 미디어에 키를 추가하는 방법은 CD-ROM에서 자체 GPG 키를 참조하십시오.
-
|
새 GPG 키를 사용하여 메타데이터에 서명한 후에는 이미 온보딩된 클라이언트는 새 키에 대해 알 수 없습니다. 이상적으로는 메타데이터에 서명한 후 클라이언트를 등록해야 합니다. 그러한 리포지토리를 사용하는 클라이언트를 이미 온보딩한 경우 해결 방법은 해당 클라이언트에서 GPG 키 확인을 비활성화하는 것입니다. |
1. PXE 부팅을 위한 자체 GPG 키
PXE 부팅 프로세스에서 사용되는 초기 RAM 디스크(initrd)에는 일반적으로 SUSE의 GPG 키만 포함됩니다. 이 파일에 자체 키를 추가해야 하며, 이 키는 패키지를 확인하는 데 사용됩니다.
-
GPG 키를 찾기 위해 부팅 프로세스 중 사용된 동일한 경로로 디렉토리를 생성합니다.
mkdir -p tftproot/usr/lib/rpm/gnupg/keys
-
접미사
.asc를 추가하여 이 디렉토리에 GPG 키를 복사합니다.cp /srv/www/htdocs/pub/mgr-gpg-pub.key tftproot/usr/lib/rpm/gnupg/keys/mgr-gpg-pub.asc
-
최상위 디렉토리 내에서 컨텐트를 패키지화하고 설치 미디어 파일의 일부인
initrd에 추가합니다.cd tftproot find . | cpio -o -H newc | xz --check=crc32 -c >> /path/to/initrd
2. CD-ROM에서 자체 GPG 키
mksusecd 유틸리티를 사용하여 설치 이미지를 수정할 수 있습니다. 이 유틸리티는 Development Tools 모듈에 포함되어 있습니다.
-
GPG 키를 찾기 위해 부팅 프로세스 중 사용된 동일한 경로로 디렉토리를 생성합니다.
mkdir -p initrdroot/usr/lib/rpm/gnupg/keys
-
접미사
.asc를 추가하여 이 디렉토리에 GPG 키를 복사합니다.cp /srv/www/htdocs/pub/mgr-gpg-pub.key initrdroot/usr/lib/rpm/gnupg/keys/mgr-gpg-pub.asc
-
mksusecd를 사용하여 기존 ISO 이미지를 추가합니다.mksusecd --create <new-image>.iso --initrd initrdroot/ <old-image>.iso