BLOG | NGINX

Mise à jour de la clé GPG pour les produits NGINX

NGINX-Partie-de-F5-horiz-black-type-RGB
Nick Shadrin Miniature
Nick Shadrin
Publié le 08 août 2016

Si vous utilisez NGINX Plus, NGINX Amplify ou les binaires Open Source NGINX prédéfinis de nginx.org , vous devrez peut-être mettre à jour la clé GPG de votre logiciel NGINX maintenant.

Les clés de certains logiciels NGINX – dont les détails sont expliqués ci-dessous – expireront le mercredi 17 août et vous ne pourrez pas vérifier les signatures de vos logiciels tant que vous n’aurez pas mis à jour votre clé. Cette annonce ne vous concerne pas si vous obtenez NGINX Open Source auprès de fournisseurs autres que NGINX, Inc. – par exemple, dans des distributions de systèmes d'exploitation.

Une clé GPG fait partie de Gnu Privacy Guard , ou GnuPG. GnuPG est une implémentation libre de la norme OpenPGP – largement connue sous le nom de PGP. Les clés GPG sont utilisées pour vérifier que les packages d'un référentiel ont été créés par le propriétaire de la clé.

Qui a besoin de mettre à jour la clé ?

NGINX, Inc. utilise des clés GPG sur ses packages RPM et ses référentiels Debian/Ubuntu afin que vous puissiez vérifier l'intégrité et l'origine du package téléchargé. De nombreux utilisateurs de clés GPG configurent leurs clés pour qu'elles expirent périodiquement, et la clé GPG pour NGINX, Inc. expire le 17 août prochain. Vous devez donc mettre à jour votre clé GPG si vous :

  • Utiliser NGINX Plus
  • Utilisez NGINX Amplify
  • Utilisez les binaires Open Source NGINX fournis par NGINX, Inc.

Vous n'avez pas besoin de mettre à jour votre clé GPG si vous utilisez NGINX Open Source, c'est-à-dire :

  • À partir d'un package de système d'exploitation. La plupart des systèmes d’exploitation incluent NGINX dans leurs référentiels.
  • Compilé par vous à partir de la source. Vous pouvez vérifier la signature du package source directement à l’aide de la commande gpg --verify .

Mise à jour de la clé GPG

Pour passer à la clé mise à jour, récupérez et réimportez simplement la clé. Le processus diffère selon le système d'exploitation.

Mise à jour de la clé sur Debian/Ubuntu

Si vous avez mal configuré les clés, vous verrez l'une des erreurs suivantes lorsque vous exécuterez apt-get update :

nginx/x86_64/signature | 2,9 Ko 00:00:10 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml : [Errno -1] La signature repomd.xml n'a pas pu être vérifiée pour nginx
nginx/x86_64/signature | 2,9 Ko 00:00:00 !!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml : [Errno -1] Les clés Gpg ne sont pas importées, impossible de vérifier repomd.xml pour le référentiel nginx

Pour mettre à jour votre clé, téléchargez la nouvelle clé GPG et écrasez l'ancienne :

# curl -O https://nginx.org/keys/nginx_signing.key && apt-key add ./nginx_signing.key

Pour vérifier la date d'expiration de la nouvelle clé, exécutez apt-key list :

# apt-key list ... pub 2048R/7BD9BF62 2011-08-19 [expire : [2024-06-14] uid clé de signature nginx  ...

Mise à jour de la clé sur Amazon Linux, CentOS, Oracle Linux, RHEL et SLES

Vérifiez si votre référentiel est configuré pour vérifier et valider les clés GPG. Par défaut, la vérification est désactivée pour les référentiels NGINX et NGINX Plus, mais activée pour les référentiels NGINX Amplify. La vérification est désactivée si vos fichiers de référentiel yum dans /etc/yum.repos.d incluent la ligne suivante :

gpgcheck=0

Voici un exemple de fichier de référentiel, /etc/yum.repos.d/nginx.repo , avec la vérification désactivée :

[nginx]
name=référentiel nginx
baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
enabled=1

Dans ce cas, aucune action n'est nécessaire. (Notez qu'avec la vérification désactivée, vous voyez un avertissement lorsque vous installez de nouveaux packages, mais l'installation réussit quand même.)

Si vous avez explicitement configuré la vérification GPG, vous devez remplacer la clé.

Vous pouvez vérifier l'authenticité des packages téléchargés localement en exécutant la commande rpm -K :

  • Si la clé est manquante, vous voyez cette erreur :

    # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpm nginx-1.11.3-1.el7.ngx.x86_64.rpm: RSA sha1 ((MD5) PGP) md5 NON OK (CLÉS MANQUANTES : (MD5) PGP#7bd9bf62)

  • Si la clé est correctement configurée, vous voyez ce message :

    • # rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpm nginx-1.11.3-1.el7.ngx.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Procédez comme suit pour mettre à jour la clé GPG :

  1. Vérifiez si vous avez actuellement la clé NGINX GPG installée :

    # rpm -qi gpg-pubkey-7bd9bf62-*

    Si la clé est installée, la sortie inclut le numéro de version et la date de construction :

    ...
Libérer     : 5762b5f8
...
Date de construction : Vendredi 19 août 2011 05:52:34 HAE...

    S'il n'est pas installé, ce message apparaît :

    le paquet gpg-pubkey-7bd9bf62-* n'est pas installé

  2. Supprimer la clé GPG NGINX actuelle :

    # rpm -e --allmatches gpg-pubkey-7bd9bf62-*

  3. Téléchargez et installez la nouvelle clé :

    # curl -O https://nginx.org/keys/nginx_signing.key # rpm --import ./nginx_signing.key

    (Il n'y a aucune sortie de confirmation sur ces plateformes.)

  4. Vérifiez les informations sur la date de sortie et de build de la nouvelle clé GPG :

    # rpm -qi gpg-pubkey-7bd9bf62-* ...
Libérer : 4e4e3262 ...
Date de construction : jeudi 16 juin 2016 10:21:44 AM EDT

Mise à jour de la clé sur FreeBSD

Le système de gestion des paquets FreeBSD n'utilise pas de clé GPG, aucune action n'est donc nécessaire.

Vérification de l'authenticité d'une clé GPG

Vous pouvez également vérifier l’authenticité de la clé GPG téléchargée. GPG utilise le concept de « Web of trust » : une clé peut être signée avec la clé de quelqu’un d’autre, qui à son tour est signée par une autre clé, et ainsi de suite.

Cette approche permet souvent de construire une chaîne entre une clé arbitraire et la clé d’une personne que vous connaissez et en qui vous avez personnellement confiance, vérifiant ainsi l’authenticité de la première clé de la chaîne. Ce concept est décrit en détail dans le GPG Mini Howto . Les clés de NGINX, Inc. ont suffisamment de signatures pour que leur authenticité soit relativement facile à vérifier.

Obtenir de l'aide

Pour obtenir de l'aide lors de la mise à jour de votre clé GPG :

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."