Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Accesso ai metadati del repository AL2023
<a name="repo-metadata-signing"></a>

A partire dalla release`2023.11.20260406`, i AL2023 repository includono firme crittografiche per i metadati dei repository. Ogni file del repository è accompagnato da un `repomd.xml` file di firma GPG separato (`repomd.xml.asc`) che è possibile utilizzare per verificare l'autenticità e l'integrità dei metadati del repository prima che i pacchetti vengano scaricati.

Questa firma si aggiunge alla firma del pacchetto RPM esistente ()`gpgcheck`, che verifica i singoli pacchetti. La firma dei metadati del repository verifica i metadati che descrivono il contenuto del repository, come l'elenco dei pacchetti disponibili e i relativi checksum.

## Come funziona la firma dei metadati nel repository
<a name="repo-metadata-signing-overview"></a>

Quando i AL2023 repository vengono pubblicati, i metadati del repository (`repomd.xml`) vengono firmati utilizzando una chiave KMS. AWS La firma distaccata risultante (`repomd.xml.asc`) viene posizionata accanto ai metadati nel repository.

Quando la abiliti `repo_gpgcheck` nella configurazione del repository, scarica e verifica DNF automaticamente la `repomd.xml.asc` firma rispetto alla chiave pubblica GPG prima di utilizzare i metadati del repository. Se la verifica della firma fallisce, DNF rifiuta i metadati del repository e non procede con le operazioni sui pacchetti da quel repository. [Per ulteriori informazioni in merito`repo_gpgcheck`, consulta il Configuration Reference. DNF](https://dnf.readthedocs.io/en/latest/conf_ref.html)

I seguenti AL2023 repository includono metadati firmati:
+ Archivio principale () `amazonlinux`
+ Archivio Kernel Livepatch () `kernel-livepatch`
+ Archivio NVIDIA () `amazonlinux-nvidia`
+ Pacchetti supplementari per il repository Amazon Linux () `amazonlinux-spal`

## Differenza tra e `gpgcheck` `repo_gpgcheck`
<a name="repo-metadata-signing-gpgcheck-vs-repo-gpgcheck"></a>


| Impostazione | Cosa verifica | Impostazione predefinita in AL2023 | 
| --- | --- | --- | 
| gpgcheck=1 | Verifica la firma GPG dei singoli pacchetti RPM prima dell'installazione. | Abilitato | 
| repo\$1gpgcheck=1 | Verifica la firma GPG dei metadati del repository () prima di utilizzare il repository. repomd.xml | Disabilitato (abilitato di default a partire dalla versione trimestrale) 2023.12 | 

Ti consigliamo vivamente di abilitare entrambi `gpgcheck` e. `repo_gpgcheck` Ciò garantisce che sia i metadati del repository che i singoli pacchetti vengano verificati prima dell'uso.

## Abilitazione della verifica dei metadati del repository
<a name="repo-metadata-signing-enable"></a>

È possibile abilitare la verifica dei metadati del repository per i singoli repository aggiornando i relativi file di configurazione.

**Importante**  
A partire dalla versione `2023.12` trimestrale, `repo_gpgcheck=1` sarà abilitata per impostazione predefinita nei file di configurazione del repository. AL2023 

### Abilita per un repository specifico
<a name="repo-metadata-signing-enable-per-repo"></a>

I file di configurazione AL2023 del repository sono `/etc/yum.repos.d/` impostati di `repo_gpgcheck=0` default. Per abilitare la verifica dei metadati del repository, modifica questo valore `1` in nella configurazione del repository. Ad esempio, per abilitarlo per il repository principale:

```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```

## Verifica del funzionamento della firma dei metadati del repository
<a name="repo-metadata-signing-verify"></a>

Dopo l'attivazione`repo_gpgcheck=1`, puoi verificare che la verifica dei metadati funzioni svuotando la DNF cache e aggiornando i metadati:

```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```

Se la verifica dei metadati ha esito positivo, DNF importa la chiave GPG (se non è già stata importata) e crea la cache dei metadati senza errori. Verrà visualizzato un output simile al seguente:

```
Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.
```

Se la verifica della firma fallisce, DNF visualizza un messaggio di errore che indica un errore di verifica della firma GPG e la creazione della cache dei metadati non riesce.

## Chiavi pubbliche GPG per i repository AL2023
<a name="repo-metadata-signing-gpg-keys"></a>

Le chiavi pubbliche GPG utilizzate per la verifica dei metadati del repository vengono installate dalla configurazione del repository corrispondente su. RPMs `/etc/pki/rpm-gpg/` La tabella seguente elenca le chiavi pubbliche utilizzate da ciascun repository.


| Repository | Chiave di firma del pacchetto | Chiave di firma Repodata | Distribuito in | 
| --- | --- | --- | --- | 
| Nucleo (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| Kernel Livepatch () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| NVIDIA () amazonlinux-nvidia | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release | 
| SPAL () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release | 

Queste chiavi vengono installate automaticamente quando si installa l'RPM di configurazione del repository corrispondente.