BLOG | NGINX

Aktualisieren des GPG-Schlüssels für NGINX-Produkte

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
Nick Shadrin Miniaturbild
Nick Shadrin
Veröffentlicht am 08. August 2016

Wenn Sie NGINX Plus, NGINX Amplify oder die vorgefertigten NGINX Open Source-Binärdateien von nginx.org verwenden, müssen Sie möglicherweise jetzt den GPG-Schlüssel für Ihre NGINX-Software aktualisieren.

Die Schlüssel für einige NGINX-Software – Einzelheiten werden unten erläutert – laufen am Mittwoch, den 17. August, ab und Sie können Ihre Softwaresignaturen nicht verifizieren, bis Sie Ihren Schlüssel aktualisiert haben. Diese Ankündigung betrifft Sie nicht, wenn Sie NGINX Open Source von anderen Anbietern als NGINX, Inc. beziehen – beispielsweise in Betriebssystemdistributionen.

Ein GPG-Schlüssel ist Teil von Gnu Privacy Guard oder GnuPG. GnuPG ist eine freie Implementierung des OpenPGP- Standards – allgemein bekannt als PGP. Mit GPG-Schlüsseln wird überprüft, ob die Pakete in einem Repo vom Besitzer des Schlüssels erstellt wurden.

Wer muss den Schlüssel aktualisieren?

NGINX, Inc. verwendet GPG-Schlüssel für seine RPM-Pakete und Debian/Ubuntu-Repositories, damit Sie die Integrität und Herkunft des heruntergeladenen Pakets überprüfen können. Viele Benutzer von GPG-Schlüsseln legen fest, dass ihre Schlüssel regelmäßig ablaufen, und der GPG-Schlüssel für NGINX, Inc. läuft am kommenden 17. August ab. Sie müssen Ihren GPG-Schlüssel also aktualisieren, wenn Sie:

  • NGINX Plus verwenden
  • NGINX Amplify verwenden
  • Verwenden Sie NGINX Open Source-Binärdateien von NGINX, Inc.

Sie müssen Ihren GPG-Schlüssel nicht aktualisieren, wenn Sie NGINX Open Source verwenden, das heißt:

  • Aus einem Betriebssystempaket. Die meisten Betriebssysteme enthalten NGINX in ihren Repositories.
  • Von Ihnen aus der Quelle zusammengestellt. Sie können die Signatur des Quellpakets direkt mit dem Befehl gpg --verify überprüfen.

Aktualisieren des GPG-Schlüssels

Um zum aktualisierten Schlüssel zu wechseln, rufen Sie den Schlüssel einfach erneut ab und importieren Sie ihn erneut. Der Vorgang ist je nach Betriebssystem unterschiedlich.

Aktualisieren des Schlüssels unter Debian/Ubuntu

Wenn Ihre Schlüssel falsch konfiguriert sind, wird beim Ausführen von apt-get update einer der folgenden Fehler angezeigt:

nginx/x86_64/signature | 2,9 kB 00:00:10 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml: [Errno -1] Die repomd.xml-Signatur konnte für nginx nicht verifiziert werden.
nginx/x86_64/signature | 2,9 kB 00:00:00 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml: [Errno -1] GPG-Schlüssel nicht importiert, repomd.xml für Repo nginx kann nicht überprüft werden

Um Ihren Schlüssel zu aktualisieren, laden Sie den neuen GPG-Schlüssel herunter und überschreiben Sie den alten:

# curl -O https://nginx.org/keys/nginx_signing.key && apt-key add ./nginx_signing.key

Um das Ablaufdatum des neuen Schlüssels zu überprüfen, führen Sie apt-key list aus:

# apt-key list ... pub 2048R/7BD9BF62 2011-08-19 [läuft ab: 14.06.2024] uid nginx-Signaturschlüssel  …

Aktualisieren des Schlüssels unter Amazon Linux, CentOS, Oracle Linux, RHEL und SLES

Überprüfen Sie, ob Ihr Repository zum Prüfen und Validieren von GPG-Schlüsseln konfiguriert ist. Standardmäßig ist die Prüfung für NGINX- und NGINX Plus-Repositorys deaktiviert, für NGINX Amplify-Repositorys jedoch aktiviert. Die Prüfung ist deaktiviert, wenn Ihre Yum-Repository-Dateien in /etc/yum.repos.d die folgende Zeile enthalten:

gpgcheck=0

Hier ist eine Beispiel-Repository-Datei, /etc/yum.repos.d/nginx.repo , mit deaktivierter Prüfung:

[nginx]
Name=nginx-Repository
Baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
aktiviert=1

In diesem Fall ist keine Aktion erforderlich. (Beachten Sie, dass bei deaktivierter Prüfung beim Installieren neuer Pakete zwar eine Warnung angezeigt wird, die Installation jedoch trotzdem erfolgreich ist.)

Wenn Sie die GPG-Prüfung explizit konfiguriert haben, müssen Sie den Schlüssel ersetzen.

Sie können die Authentizität lokal heruntergeladener Pakete überprüfen, indem Sie den Befehl rpm -K ausführen:

  • Wenn der Schlüssel fehlt, wird dieser Fehler angezeigt:

    # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpm nginx-1.11.3-1.el7.ngx.x86_64.rpm: RSA sha1 ((MD5) PGP) md5 NICHT OK (SCHLÜSSEL FEHLT: (MD5) PGP#7bd9bf62)
  • Wenn der Schlüssel richtig konfiguriert ist, wird diese Meldung angezeigt:

  • # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpm nginx-1.11.3-1.el7.ngx.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Führen Sie die folgenden Schritte aus, um den GPG-Schlüssel zu aktualisieren:

  1. Überprüfen Sie, ob Sie derzeit den NGINX GPG-Schlüssel installiert haben:

    # rpm -qi gpg-pubkey-7bd9bf62-*

    Wenn der Schlüssel installiert ist, enthält die Ausgabe die Versionsnummer und das Build-Datum:

    ...
    Freigeben     : 5762b5f8
    ...
    Erstellungsdatum: Fr, 19. August 2011, 05:52:34 Uhr EDT ...

    Wenn es nicht installiert ist, wird diese Meldung angezeigt:

    Paket gpg-pubkey-7bd9bf62-* ist nicht installiert
  2. Entfernen Sie den aktuellen NGINX GPG-Schlüssel:

    # rpm -e --allmatches gpg-pubkey-7bd9bf62-*
  3. Laden Sie den neuen Schlüssel herunter und installieren Sie ihn:

    # curl -O https://nginx.org/keys/nginx_signing.key # rpm --import ./nginx_signing.key

    (Auf diesen Plattformen gibt es keine bestätigende Ausgabe.)

  4. Überprüfen Sie die Informationen zum Veröffentlichungs- und Erstellungsdatum für den neuen GPG-Schlüssel:

    # rpm -qi gpg-pubkey-7bd9bf62-* …
    Freigeben : 4e4e3262 ...
    Erstellungsdatum: Do 16. Juni 2016 10:21:44 Uhr EDT

Aktualisieren des Schlüssels unter FreeBSD

Das Paketverwaltungssystem von FreeBSD verwendet keinen GPG-Schlüssel, daher ist keine Aktion erforderlich.

Überprüfen der Authentizität eines GPG-Schlüssels

Sie können zusätzlich die Echtheit des heruntergeladenen GPG-Schlüssels überprüfen. GPG verwendet das Konzept des „Web of Trust“: Ein Schlüssel kann mit dem Schlüssel einer anderen Person signiert werden, der wiederum mit einem weiteren Schlüssel signiert ist, und so weiter.

Mit diesem Ansatz ist es häufig möglich, eine Kette zwischen einem beliebigen Schlüssel und dem Schlüssel einer Ihnen bekannten und vertrauensvollen Person aufzubauen und so die Authentizität des ersten Schlüssels in der Kette zu überprüfen. Dieses Konzept wird im GPG Mini Howto ausführlich beschrieben. Schlüssel von NGINX, Inc. verfügen über genügend Signaturen, sodass ihre Echtheit relativ einfach überprüft werden kann.

Unterstützung erhalten

So erhalten Sie Unterstützung beim Aktualisieren Ihres GPG-Schlüssels:


„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."