Red Hat Training
A Red Hat training course is available for Red Hat Satellite
Chapitre 4. Import de clés GPG personnalisées
Pour les clients qui prévoient de construire et de distribuer leurs propres RPM de manière sécurisée, il est fortement recommandé que tous les RPM personnalisés soient signés à l'aide de GPG (GNU Privacy Guard). La génération de clés GPG et la construction de paquetages signés GPG sont examinées dans le Guide de gestion de canaux de Red Hat Network.
Une fois les paquetages signés, la clé publique doit être déployée sur tous les systèmes qui importent ces RPM. Cette tâche a deux étapes : créez tout d'abord un emplacement central pour la clé publique afin que les clients puissent l'obtenir, et ajoutez ensuite la clé au porte-clés GPG local pour chaque système.
La première étape est commune et peut être effectuée en utilisant l'approche du site Web recommandée pour le déploiement d'applications client RHN (reportez-vous à la Section 2.1, « Déploiement des derniers RPM client de Red Hat Network »). Pour ce faire, créez un répertoire public sur le serveur Web et placez-y la signature GPG publique :
cp /some/path/YOUR-RPM-GPG-KEY /var/www/html/pub/
La clé peut être téléchargée par les systèmes client à l'aide de Wget :
wget -O- -q http://your_proxy_or_sat.your_domain.com/pub/YOUR-RPM-GPG-KEY
L'option
-O- envoie les résultats vers la sortie standard alors que l'option -q configure l'exécution de Wget en mode quiet (sortie désactivée). Souvenez-vous de remplacer la variable YOUR-RPM-GPG-KEY par le nom de fichier de votre clé.
Une fois que la clé est disponible sur le système de fichiers client, importez la dans le porte-clés GPG local. Différents systèmes d'exploitation requièrent différentes méthodes.
Pour Red Hat Enterprise Linux 3 ou une version supérieure, utilisez la commande suivante :
rpm --import /path/to/YOUR-RPM-GPG-KEY
Pour Red Hat Enterprise Linux 2.1, utilisez la commande suivante :
gpg $(up2date --gpg-flags) --import /path/to/YOUR-RPM-GPG-KEY
Une fois que la clé GPG a bien été ajoutée au client, le système devrait pouvoir valider les RPM personnalisés signés avec la clé correspondante.
