Actualización de la clave GPG para productos NGINX

Si usa NGINX Plus, NGINX Amplify o los binarios de código abierto NGINX prediseñados de nginx.org , es posible que deba actualizar la clave GPG para su software NGINX ahora.

Las claves para algunos programas NGINX (los detalles se explican a continuación) caducarán el miércoles 17 de agosto y no podrá verificar sus firmas de software hasta que haya actualizado su clave. Este anuncio no le afecta si obtiene NGINX Open Source de proveedores distintos de NGINX, Inc., por ejemplo, en distribuciones de sistemas operativos.

Una clave GPG es parte de Gnu Privacy Guard , o GnuPG. GnuPG es una implementación libre del estándar OpenPGP , ampliamente conocido como PGP. Las claves GPG se utilizan para verificar que los paquetes de un repositorio fueron creados por el propietario de la clave.

¿Quién necesita actualizar la clave?

NGINX, Inc. utiliza claves GPG en sus paquetes RPM y repositorios Debian/Ubuntu para que usted pueda verificar la integridad y el origen del paquete descargado. Muchos usuarios de claves GPG configuran sus claves para que caduquen periódicamente, y la clave GPG para NGINX, Inc. caducará el próximo 17 de agosto. Entonces necesitas actualizar tu clave GPG si:

• Utilice NGINX Plus
• Utilice NGINX Amplify
• Utilice los binarios de código abierto NGINX proporcionados por NGINX, Inc.

No necesita actualizar su clave GPG si utiliza NGINX de código abierto que es:

• De un paquete de sistema operativo. La mayoría de los sistemas operativos incluyen NGINX en sus repositorios.
• Compilado por usted desde la fuente. Puede verificar la firma del paquete fuente directamente utilizando el comando gpg --verify .

Actualización de la clave GPG

Para cambiar a la clave actualizada, simplemente vuelva a obtener y importar la clave. El proceso varía según el sistema operativo.

Actualización de la clave en Debian/Ubuntu

Si tiene claves mal configuradas, verá uno de los siguientes errores cuando ejecute apt-get update :

nginx/x86_64/signature | 2.9 kB 00:00:10 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml: [Errno -1] No se pudo verificar la firma repomd.xml para nginx

nginx/x86_64/signature | 2.9 kB 00:00:00 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml: [Errno -1] Las claves Gpg no se importaron, no se puede verificar repomd.xml para el repositorio nginx

Para actualizar su clave, descargue la nueva clave GPG y sobrescriba la anterior:

# curl -O https://nginx.org/keys/nginx_signing.key && apt-key agregar ./nginx_signing.key

Para verificar la fecha de vencimiento de la nueva clave, ejecute apt-key list :

# apt-key list ... pub 2048R/7BD9BF62 2011-08-19 [caduca: [14/06/2024] clave de firma de uid nginx  ...

Actualización de la clave en Amazon Linux, CentOS, Oracle Linux, RHEL y SLES

Compruebe si su repositorio está configurado para comprobar y validar claves GPG. De forma predeterminada, la verificación está deshabilitada para los repositorios NGINX y NGINX Plus, pero habilitada para los repositorios NGINX Amplify. La verificación se deshabilita si los archivos del repositorio yum en /etc/yum.repos.d incluyen la siguiente línea:

gpgcheck=0

Aquí hay un archivo de repositorio de muestra, /etc/yum.repos.d/nginx.repo , con la verificación deshabilitada:

[nginx]
nombre=repositorio nginx
urlbase=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
habilitado=1

En este caso no es necesaria ninguna acción. (Tenga en cuenta que con la verificación deshabilitada, verá una advertencia cuando instale paquetes nuevos, pero la instalación aún será exitosa).

Si ha configurado explícitamente la comprobación GPG, deberá reemplazar la clave.

Puede comprobar la autenticidad de los paquetes descargados localmente ejecutando el comando rpm -K :

• Si falta la clave, verá este error:

  # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpm nginx-1.11.3-1.el7.ngx.x86_64.rpm: RSA sha1 ((MD5) PGP) md5 NO OK (FALTAN CLAVES: (MD5) PGP#7bd9bf62)

• Si la clave está configurada correctamente, verá este mensaje:

# rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpm nginx-1.11.3-1.el7.ngx.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Realice los siguientes pasos para actualizar la clave GPG:

1. Comprueba si actualmente tienes instalada la clave GPG de NGINX:

   # rpm -qi gpg-pubkey-7bd9bf62-*

   Si la clave está instalada, la salida incluye el número de versión y la fecha de compilación:

   ...
   Liberar     : 5762b5f8
   ...
   Fecha de construcción: Viernes 19 de agosto de 2011, 05:52:34 a.m.EDT
   ...

   Si no está instalado, aparece este mensaje:

   El paquete gpg-pubkey-7bd9bf62-* no está instalado

2. Eliminar la clave GPG actual de NGINX:

   # rpm -e --allmatches gpg-pubkey-7bd9bf62-*

3. Descargue e instale la nueva clave:

   # curl -O https://nginx.org/keys/nginx_signing.key # rpm --import ./nginx_signing.key

   (No hay salida confirmada en estas plataformas).

4. Consulte la información de la fecha de lanzamiento y compilación de la nueva clave GPG:

   # rpm -qi gpg-pubkey-7bd9bf62-* ...
   Liberar : 4e4e3262 ...
   Fecha de construcción: Jueves 16 de junio de 2016, 10:21:44 a. m. EDT

Actualización de la clave en FreeBSD

El sistema de gestión de paquetes FreeBSD no utiliza una clave GPG, por lo que no es necesaria ninguna acción.

Verificación de la autenticidad de una clave GPG

También puedes verificar la autenticidad de la clave GPG descargada. GPG utiliza el concepto de “red de confianza”: una clave puede firmarse con la clave de otra persona, que a su vez está firmada por otra clave, y así sucesivamente.

Este enfoque a menudo permite construir una cadena entre una clave arbitraria y la clave de alguien que usted conoce y en quien confía personalmente, verificando así la autenticidad de la primera clave de la cadena. Este concepto se describe en detalle en el GPG Mini Howto . Las claves de NGINX, Inc. tienen suficientes firmas para que su autenticidad sea relativamente fácil de comprobar.

Obtener apoyo

Para obtener ayuda mientras actualiza su clave GPG:

• Clientes de NGINX Plus: comuníquese con nuestro equipo de soporte
• Usuarios de código abierto de NGINX: obtengan soporte de otros miembros de la comunidad NGINX
• NGINX Amplify: Inicie sesión en NGINX Amplify y haga clic en el icono ? en la esquina inferior derecha de la pantalla.