BLOG | NGINX

Actualización de la clave GPG para productos NGINX

Miniatura de Nick Shadrin
Nick Shadrin
Publicado el 8 de agosto de 2016

Si usa NGINX Plus, NGINX Amplify o los binarios de código abierto NGINX prediseñados de nginx.org , es posible que deba actualizar la clave GPG para su software NGINX ahora.

Las claves para algunos programas NGINX (los detalles se explican a continuación) caducarán el miércoles 17 de agosto y no podrá verificar sus firmas de software hasta que haya actualizado su clave. Este anuncio no le afecta si obtiene NGINX Open Source de proveedores distintos de NGINX, Inc., por ejemplo, en distribuciones de sistemas operativos.

Una clave GPG es parte de Gnu Privacy Guard , o GnuPG. GnuPG es una implementación libre del estándar OpenPGP , ampliamente conocido como PGP. Las claves GPG se utilizan para verificar que los paquetes de un repositorio fueron creados por el propietario de la clave.

¿Quién necesita actualizar la clave?

NGINX, Inc. utiliza claves GPG en sus paquetes RPM y repositorios Debian/Ubuntu para que usted pueda verificar la integridad y el origen del paquete descargado. Muchos usuarios de claves GPG configuran sus claves para que caduquen periódicamente, y la clave GPG para NGINX, Inc. caducará el próximo 17 de agosto. Entonces necesitas actualizar tu clave GPG si:

  • Utilice NGINX Plus
  • Utilice NGINX Amplify
  • Utilice los binarios de código abierto NGINX proporcionados por NGINX, Inc.

No necesita actualizar su clave GPG si utiliza NGINX de código abierto que es:

  • De un paquete de sistema operativo. La mayoría de los sistemas operativos incluyen NGINX en sus repositorios.
  • Compilado por usted desde la fuente. Puede verificar la firma del paquete fuente directamente utilizando el comando gpg --verify .

Actualización de la clave GPG

Para cambiar a la clave actualizada, simplemente vuelva a obtener y importar la clave. El proceso varía según el sistema operativo.

Actualización de la clave en Debian/Ubuntu

Si tiene claves mal configuradas, verá uno de los siguientes errores cuando ejecute apt-get update :

nginx/x86_64/signature                                                   | 2.9 kB  00:00:10 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml: [Errno -1] repomd.xml signature could not be verified for nginx
nginx/x86_64/signature                                                   | 2.9 kB  00:00:00 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml: [Errno -1] Gpg Keys not imported, cannot verify repomd.xml for repo nginx

Para actualizar su clave, descargue la nueva clave GPG y sobrescriba la anterior:

# curl -O https://nginx.org/keys/nginx_signing.key && apt-key add ./nginx_signing.key

Para verificar la fecha de vencimiento de la nueva clave, ejecute apt-key list :

# apt-key list
...
pub   2048R/7BD9BF62 2011-08-19 [expires: 2024-06-14]
uid                  nginx signing key <signing-key@nginx.com>
...

Actualización de la clave en Amazon Linux, CentOS, Oracle Linux, RHEL y SLES

Compruebe si su repositorio está configurado para comprobar y validar claves GPG. De forma predeterminada, la verificación está deshabilitada para los repositorios NGINX y NGINX Plus, pero habilitada para los repositorios NGINX Amplify. La verificación se deshabilita si los archivos del repositorio yum en /etc/yum.repos.d incluyen la siguiente línea:

gpgcheck=0

Aquí hay un archivo de repositorio de muestra, /etc/yum.repos.d/nginx.repo , con la verificación deshabilitada:

[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
enabled=1

En este caso no es necesaria ninguna acción. (Tenga en cuenta que con la verificación deshabilitada, verá una advertencia cuando instale paquetes nuevos, pero la instalación aún será exitosa).

Si ha configurado explícitamente la comprobación GPG, deberá reemplazar la clave.

Puede comprobar la autenticidad de los paquetes descargados localmente ejecutando el comando rpm -K :

  • Si falta la clave, verá este error:

    # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpmnginx-1.11.3-1.el7.ngx.x86_64.rpm: RSA sha1 ((MD5) PGP) md5 NOT OK (MISSING KEYS: (MD5) PGP#7bd9bf62)
  • Si la clave está configurada correctamente, verá este mensaje:

  • # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpmnginx-1.11.3-1.el7.ngx.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Realice los siguientes pasos para actualizar la clave GPG:

  1. Comprueba si actualmente tienes instalada la clave GPG de NGINX:

    # rpm -qi gpg-pubkey-7bd9bf62-*

    Si la clave está instalada, la salida incluye el número de versión y la fecha de compilación:

    ...
    Release     : 5762b5f8
    ...
    Build Date  : Fri 19 Aug 2011 05:52:34 AM EDT
    ...

    Si no está instalado, aparece este mensaje:

    package gpg-pubkey-7bd9bf62-* is not installed
  2. Eliminar la clave GPG actual de NGINX:

    # rpm -e --allmatches gpg-pubkey-7bd9bf62-*
  3. Descargue e instale la nueva clave:

    # curl -O https://nginx.org/keys/nginx_signing.key# rpm --import ./nginx_signing.key

    (No hay salida confirmada en estas plataformas).

  4. Consulte la información de la fecha de lanzamiento y compilación de la nueva clave GPG:

    # rpm -qi gpg-pubkey-7bd9bf62-*...
    Release     : 4e4e3262
    ...
    Build Date  : Thu 16 Jun 2016 10:21:44 AM EDT

Actualización de la clave en FreeBSD

El sistema de gestión de paquetes FreeBSD no utiliza una clave GPG, por lo que no es necesaria ninguna acción.

Verificación de la autenticidad de una clave GPG

También puedes verificar la autenticidad de la clave GPG descargada. GPG utiliza el concepto de “red de confianza”: una clave puede firmarse con la clave de otra persona, que a su vez está firmada por otra clave, y así sucesivamente.

Este enfoque a menudo permite construir una cadena entre una clave arbitraria y la clave de alguien que usted conoce y en quien confía personalmente, verificando así la autenticidad de la primera clave de la cadena. Este concepto se describe en detalle en el GPG Mini Howto . Las claves de NGINX, Inc. tienen suficientes firmas para que su autenticidad sea relativamente fácil de comprobar.

Obtener apoyo

Para obtener ayuda mientras actualiza su clave GPG:


"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.