Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Inicio de sesión de metadatos del repositorio AL2023
<a name="repo-metadata-signing"></a>

A partir del lanzamiento`2023.11.20260406`, AL2023 los repositorios incluyen firmas criptográficas para los metadatos del repositorio. Cada `repomd.xml` archivo del repositorio va acompañado de un archivo de firma GPG independiente (`repomd.xml.asc`) que puede utilizar para comprobar la autenticidad e integridad de los metadatos del repositorio antes de descargar los paquetes.

Esta firma se suma a la firma del paquete RPM existente (`gpgcheck`), que verifica los paquetes individuales. La firma de los metadatos del repositorio verifica los metadatos que describen el contenido del repositorio, como la lista de paquetes disponibles y sus sumas de verificación.

## Cómo funciona la firma de metadatos del repositorio
<a name="repo-metadata-signing-overview"></a>

Cuando se publican AL2023 los repositorios, los metadatos del repositorio (`repomd.xml`) se firman con una clave AWS KMS. La firma separada resultante (`repomd.xml.asc`) se coloca junto a los metadatos en el repositorio.

Cuando lo habilitas `repo_gpgcheck` en la configuración de tu repositorio, descarga y verifica DNF automáticamente la `repomd.xml.asc` firma con la clave pública GPG antes de usar los metadatos del repositorio. Si se produce un error en la verificación de la firma, DNF rechaza los metadatos del repositorio y no continúa con las operaciones de empaquetado desde ese repositorio. Para obtener más información al respecto`repo_gpgcheck`, consulte la [Referencia DNF de configuración](https://dnf.readthedocs.io/en/latest/conf_ref.html).

Los siguientes AL2023 repositorios incluyen metadatos firmados:
+ Repositorio principal () `amazonlinux`
+ Repositorio Kernel Livepatch () `kernel-livepatch`
+ Repositorio NVIDIA () `amazonlinux-nvidia`
+ Paquetes complementarios para el repositorio de Amazon Linux (`amazonlinux-spal`)

## Diferencia entre `gpgcheck` y `repo_gpgcheck`
<a name="repo-metadata-signing-gpgcheck-vs-repo-gpgcheck"></a>


| Opción | Qué verifica | Predeterminado en AL2023 | 
| --- | --- | --- | 
| gpgcheck=1 | Verifica la firma GPG de los paquetes RPM individuales antes de la instalación. | Habilitado | 
| repo\_gpgcheck=1 | Verifica la firma GPG de los metadatos del repositorio (repomd.xml) antes de usarlo. | Desactivado (activado de forma predeterminada a partir de la versión 2023.12 trimestral) | 

Le recomendamos encarecidamente que active las dos `gpgcheck` opciones`repo_gpgcheck`. Esto garantiza que tanto los metadatos del repositorio como los paquetes individuales se verifiquen antes de usarlos.

## Habilitar la verificación de los metadatos del repositorio
<a name="repo-metadata-signing-enable"></a>

Puede habilitar la verificación de los metadatos de los repositorios individuales actualizando sus archivos de configuración.

**importante**  
A partir de la versión `2023.12` trimestral, se `repo_gpgcheck=1` activará de forma predeterminada en los archivos de configuración del AL2023 repositorio.

### Habilitar para un repositorio específico
<a name="repo-metadata-signing-enable-per-repo"></a>

Los archivos de configuración del AL2023 repositorio están `/etc/yum.repos.d/` `repo_gpgcheck=0` configurados de forma predeterminada. Para habilitar la verificación de los metadatos del repositorio, cambie este valor a `1` en la configuración del repositorio. Por ejemplo, para habilitarlo en el repositorio principal:

```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```

## Comprobar que la firma de metadatos del repositorio funciona
<a name="repo-metadata-signing-verify"></a>

Tras habilitarla`repo_gpgcheck=1`, puedes comprobar que la verificación de los metadatos funciona borrando la DNF caché y actualizando los metadatos:

```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```

Si la verificación de los metadatos se realiza correctamente, DNF importa la clave GPG (si aún no se ha importado) y crea la caché de metadatos sin errores. Verá una salida similar a la siguiente:

```
Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.
```

Si la verificación de la firma no se realiza correctamente, DNF muestra un mensaje de error que indica un error en la verificación de la firma GPG y un error al crear la caché de metadatos.

## Claves públicas GPG para repositorios AL2023
<a name="repo-metadata-signing-gpg-keys"></a>

Las claves públicas GPG utilizadas para la verificación de los metadatos del repositorio se instalan mediante la configuración del repositorio correspondiente en. RPMs `/etc/pki/rpm-gpg/` En la siguiente tabla se enumeran las claves públicas utilizadas por cada repositorio.


| Repository | Clave de firma de paquetes | Clave de firma de Repodata | Distribuido en | 
| --- | --- | --- | --- | 
| Núcleo (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| Kernel Livepatch () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| NVIDIA () amazonlinux-nvidia | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release | 
| SPAL () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release | 

Estas claves se instalan automáticamente al instalar el RPM de configuración del repositorio correspondiente.