Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anmeldung mit Repository-Metadaten AL2023
Ab der Veröffentlichung `2023.11.20260406` enthalten AL2023 Repositorys kryptografische Signaturen für Repository-Metadaten. Jeder `repomd.xml` Repository-Datei liegt eine separate GPG-Signaturdatei (`repomd.xml.asc`) bei, mit der Sie die Authentizität und Integrität der Repository-Metadaten überprüfen können, bevor Pakete heruntergeladen werden.
Diese Signierung erfolgt zusätzlich zur bestehenden RPM-Paketsignierung (`gpgcheck`), die einzelne Pakete verifiziert. Beim Signieren von Repository-Metadaten werden die Metadaten überprüft, die den Inhalt des Repositorys beschreiben, z. B. die Liste der verfügbaren Pakete und deren Prüfsummen.
## So funktioniert die Signatur von Repository-Metadaten
Wenn AL2023 Repositorys veröffentlicht werden, werden die Repository-Metadaten (`repomd.xml`) mit einem AWS KMS-Schlüssel signiert. Die daraus resultierende separate Signatur (`repomd.xml.asc`) wird neben den Metadaten im Repository platziert.
Wenn Sie die Option `repo_gpgcheck` in Ihrer Repository-Konfiguration aktivieren, DNF wird die `repomd.xml.asc` Signatur automatisch heruntergeladen und anhand des öffentlichen GPG-Schlüssels überprüft, bevor die Repository-Metadaten verwendet werden. Wenn die Signaturüberprüfung fehlschlägt, werden die DNF Repository-Metadaten zurückgewiesen und es werden keine Paketoperationen von diesem Repository aus durchgeführt. Weitere Informationen zu `repo_gpgcheck` finden Sie in der [DNFKonfigurationsreferenz.](https://dnf.readthedocs.io/en/latest/conf_ref.html)
Die folgenden AL2023 Repositorys enthalten signierte Metadaten:
+ Kern-Repository () `amazonlinux`
+ Kernel-Livepatch-Repository () `kernel-livepatch`
+ NVIDIA-Repository () `amazonlinux-nvidia`
+ Zusätzliche Pakete für das Amazon Linux-Repository (`amazonlinux-spal`)
## Unterschied zwischen `gpgcheck` und `repo_gpgcheck`
| Einstellung | Was es verifiziert | Standard in AL2023 |
| --- | --- | --- |
| gpgcheck=1 | Überprüft vor der Installation die GPG-Signatur einzelner RPM-Pakete. | Aktiviert |
| repo\_gpgcheck=1 | Überprüft die GPG-Signatur der Repository-Metadaten (repomd.xml), bevor das Repository verwendet wird. | Deaktiviert (ab der 2023.12 vierteljährlichen Veröffentlichung standardmäßig aktiviert) |
Wir empfehlen dringend, sowohl als auch `gpgcheck` zu aktivieren`repo_gpgcheck`. Dadurch wird sichergestellt, dass sowohl die Repository-Metadaten als auch die einzelnen Pakete vor der Verwendung überprüft werden.
## Überprüfung der Repository-Metadaten aktivieren
Sie können die Überprüfung von Repository-Metadaten für einzelne Repositorys aktivieren, indem Sie deren Konfigurationsdateien aktualisieren.
**Wichtig**
Ab der `2023.12` vierteljährlichen Version `repo_gpgcheck=1` wird diese Option standardmäßig in den AL2023 Repository-Konfigurationsdateien aktiviert.
### Für ein bestimmtes Repository aktivieren
Die AL2023 Repository-Konfigurationsdateien sind `repo_gpgcheck=0` standardmäßig `/etc/yum.repos.d/` festgelegt. Um die Überprüfung der Repository-Metadaten zu aktivieren, ändern Sie diesen Wert `1` in der Repository-Konfiguration auf. Um ihn beispielsweise für das Core-Repository zu aktivieren, gehen Sie wie folgt vor:
```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```
## Überprüfen, ob das Signieren von Repository-Metadaten funktioniert
Nach der Aktivierung können Sie überprüfen`repo_gpgcheck=1`, ob die Überprüfung der Metadaten funktioniert, indem Sie den DNF Cache leeren und die Metadaten aktualisieren:
```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```
Wenn die Metadatenüberprüfung erfolgreich ist, wird der GPG-Schlüssel DNF importiert (sofern er nicht bereits importiert wurde) und der Metadaten-Cache ohne Fehler erstellt. Die Ausgabe entspricht weitgehend der Folgenden:
```
Amazon Linux 2023 repository 1.7 MB/s | 1.8 kB 00:00
Importing GPG key 0xD832C631:
Userid : "Amazon Linux "
Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository 18 MB/s | 55 MB 00:03
Metadata cache created.
```
Wenn die Signaturüberprüfung fehlschlägt, DNF wird eine Fehlermeldung angezeigt, die darauf hinweist, dass die GPG-Signaturüberprüfung fehlgeschlagen ist und die Erstellung des Metadatencaches fehlschlägt.
## Öffentliche GPG-Schlüssel für Repositorien AL2023
Die öffentlichen GPG-Schlüssel, die für die Überprüfung der Repository-Metadaten verwendet werden, werden von der entsprechenden Repository-Konfiguration auf installiert. RPMs `/etc/pki/rpm-gpg/` In der folgenden Tabelle sind die öffentlichen Schlüssel aufgeführt, die von den einzelnen Repositorien verwendet werden.
| Repository | Schlüssel zum Signieren von Paketen | Repodata-Signaturschlüssel | Verteilt in |
| --- | --- | --- | --- |
| Kern (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release |
| Kernel-Live-Patch () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release |
| NVIDIA () amazonlinux-nvidia | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release |
| SPAL () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release |
Diese Schlüssel werden automatisch installiert, wenn Sie das entsprechende RPM für die Repository-Konfiguration installieren.