Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connexion aux métadonnées du référentiel AL2023
<a name="repo-metadata-signing"></a>

À compter de leur publication`2023.11.20260406`, les AL2023 référentiels incluent des signatures cryptographiques pour les métadonnées des référentiels. Le `repomd.xml` fichier de chaque dépôt est accompagné d'un fichier de signature GPG détaché (`repomd.xml.asc`) que vous pouvez utiliser pour vérifier l'authenticité et l'intégrité des métadonnées du référentiel avant le téléchargement des packages.

Cette signature s'ajoute à la signature de package RPM existante (`gpgcheck`), qui vérifie les packages individuels. La signature des métadonnées du référentiel vérifie les métadonnées qui décrivent le contenu du référentiel, telles que la liste des packages disponibles et leurs checksums.

## Fonctionnement de la signature des métadonnées du référentiel
<a name="repo-metadata-signing-overview"></a>

Lorsque AL2023 des référentiels sont publiés, les métadonnées du référentiel (`repomd.xml`) sont signées à l'aide d'une clé AWS KMS. La signature détachée (`repomd.xml.asc`) qui en résulte est placée à côté des métadonnées dans le référentiel.

Lorsque vous l'activez `repo_gpgcheck` dans la configuration de votre référentiel, télécharge et vérifie DNF automatiquement la `repomd.xml.asc` signature par rapport à la clé publique GPG avant d'utiliser les métadonnées du référentiel. Si la vérification de signature échoue, DNF rejette les métadonnées du référentiel et ne procède pas aux opérations de package depuis ce référentiel. Pour plus d'informations`repo_gpgcheck`, consultez la [référence DNF de configuration](https://dnf.readthedocs.io/en/latest/conf_ref.html).

Les AL2023 référentiels suivants incluent des métadonnées signées :
+ Référentiel principal (`amazonlinux`)
+ Référentiel Kernel Livepatch () `kernel-livepatch`
+ Référentiel NVIDIA (`amazonlinux-nvidia`)
+ Packages supplémentaires pour le référentiel Amazon Linux (`amazonlinux-spal`)

## Différence entre `gpgcheck` et `repo_gpgcheck`
<a name="repo-metadata-signing-gpgcheck-vs-repo-gpgcheck"></a>


| Paramètre | Ce qu'il vérifie | Par défaut dans AL2023 | 
| --- | --- | --- | 
| gpgcheck=1 | Vérifie la signature GPG de chaque package RPM avant l'installation. | Activé | 
| repo\$1gpgcheck=1 | Vérifie la signature GPG des métadonnées du référentiel (repomd.xml) avant d'utiliser le référentiel. | Désactivé (activé par défaut à partir de la version 2023.12 trimestrielle) | 

Nous vous recommandons vivement d'activer à la fois `gpgcheck` et`repo_gpgcheck`. Cela garantit que les métadonnées du référentiel et les packages individuels sont vérifiés avant utilisation.

## Activation de la vérification des métadonnées du référentiel
<a name="repo-metadata-signing-enable"></a>

Vous pouvez activer la vérification des métadonnées des référentiels individuels en mettant à jour leurs fichiers de configuration.

**Important**  
À partir de la version `2023.12` trimestrielle, elle `repo_gpgcheck=1` sera activée par défaut dans les fichiers de configuration du AL2023 référentiel.

### Activer pour un référentiel spécifique
<a name="repo-metadata-signing-enable-per-repo"></a>

Les fichiers de configuration du AL2023 référentiel sont `/etc/yum.repos.d/` définis `repo_gpgcheck=0` par défaut. Pour activer la vérification des métadonnées du référentiel, remplacez cette valeur par celle `1` indiquée dans la configuration du référentiel. Par exemple, pour l'activer pour le référentiel principal :

```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```

## Vérifier que la signature des métadonnées du référentiel fonctionne
<a name="repo-metadata-signing-verify"></a>

Après l'activation`repo_gpgcheck=1`, vous pouvez vérifier que la vérification des métadonnées fonctionne en vidant le DNF cache et en actualisant les métadonnées :

```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```

Si la vérification des métadonnées réussit, DNF importe la clé GPG (si elle n'est pas déjà importée) et crée le cache de métadonnées sans erreur. Vous verrez des résultats similaires à ce qui suit :

```
Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.
```

Si la vérification de signature échoue, DNF affiche un message d'erreur indiquant un échec de vérification de signature GPG et l'échec de la création du cache de métadonnées.

## Clés publiques GPG pour les référentiels AL2023
<a name="repo-metadata-signing-gpg-keys"></a>

Les clés publiques GPG utilisées pour la vérification des métadonnées du référentiel sont installées par la configuration du référentiel correspondante RPMs sur`/etc/pki/rpm-gpg/`. Le tableau suivant répertorie les clés publiques utilisées par chaque référentiel.


| Référentiel | Clé de signature du package | Clé de signature Repodata | Distribué en | 
| --- | --- | --- | --- | 
| Noyau (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| Kernel Livepatch () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| NVIDIA (amazonlinux-nvidia) | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release | 
| SPALE () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release | 

Ces clés sont automatiquement installées lorsque vous installez le RPM de configuration du référentiel correspondant.