リポジトリメタデータの署名
リポジトリメタデータを署名できるようにするにはカスタムGPGキーが必要です。
|
サーバコンテナ内でシェルにアクセスするには、コンテナホストで |
-
rootユーザとして、
gpgコマンドを使用して、新しいキーを生成します。mgrctl exec -- gpg --gen-key
-
プロンプトが表示されたら、サイズが2048ビットの
RSAをキータイプとして選択し、キーの適切な有効期限を選択します。 新しいキーの詳細を確認して、「y」と入力して確定します。 -
プロンプトが表示されたら、キーに関連付けられた名前と電子メールアドレスを入力します。 必要に応じて、キーの識別に役立つコメントを追加することもできます。 ユーザIDに問題がなければ、「
O」と入力して確定します。 -
プロンプトが表示されたら、キーを保護するパスフレーズを入力します。
-
キーは自動的にキーリングに追加されます。 キーリングにキーを一覧表示して確認できます。
gpg --list-keys
-
テキストエディタでファイルを開き、次の行を追加して、キーリングのパスワードを
/etc/rhn/signing.conf設定ファイルに追加します。GPGPASS="password"
GPGキーの更新については、同期のトラブルシューティングを参照してください。
mgr-sign-metadata-ctlコマンドを使用してコマンドラインでメタデータ署名を管理できます。
-
使用するキーの短い識別子を知っている必要があります。 使用可能な公開鍵を短い形式で一覧表示できます。
mgrctl exec -- gpg --keyid-format short --list-keys ... pub rsa2048/3E7BFE0A 2019-04-02 [SC] [expires: 2021-04-01] A43F9EC645ED838ED3014B035CFA51BF3E7BFE0A uid [ultimate] SUSE Manager sub rsa2048/118DE7FF 2019-04-02 [E] [expires: 2021-04-01] -
mgr-sign-metadata-ctlコマンドを使用してメタデータ署名を有効化します。mgrctl exec -- mgr-sign-metadata-ctl enable 3E7BFE0A OK. Found key 3E7BFE0A in keyring. DONE. Set key 3E7BFE0A in /etc/rhn/signing.conf. DONE. Enabled metadata signing in /etc/rhn/rhn.conf. DONE. Exported key 4E2C3DD8 to /srv/susemanager/salt/gpg/mgr-keyring.gpg. DONE. Exported key 4E2C3DD8 to /var/spacewalk/gpg/<KEY_NAME>.key. NOTE. For the changes to become effective run: mgr-sign-metadata-ctl regen-metadata
-
このコマンドを使用して設定が正しいことを確認できます。
mgrctl exec -- mgr-sign-metadata-ctl check-config
-
サービスを再起動し、メタデータの再生成をスケジュールして変更を取得します。
mgrctl exec -- mgr-sign-metadata-ctl regen-metadata
mgr-sign-metadata-ctlコマンドを使用して他のタスクを実行することもできます。 mgr-sign-metadata-ctl --helpを使用して、完全なリストを表示します。
リポジトリメタデータ署名はグローバルオプションです。 有効にすると、サーバ上のすべてのソフトウェアチャンネルで有効になります。 これは、サーバに接続されているすべてのクライアントが、パッケージをインストールまたは更新できるようにするために、新しいGPGキーを信頼する必要があることを意味します。
-
GPGキーをクライアントに配備すると、salt状態で動作します。
-
SUSE Manager Web UIを使用してhighstateを適用します。
GPGキーのトラブルシューティングの詳細については、同期のトラブルシューティングを参照してください。