SIGNIERUNG VON PAKETEN:¶

rpmsign --addsign|--resign [rpmsign-options] PAKETDATEI …

rpmsign --delsign PAKETDATEI …

rpmsign --delfilesign PAKETDATEI …

Rpmsign-Optionen¶

[--rpmv3] [--fskpath SCHLÜSSEL] [--signfiles]

OPTIONEN ZUM SIGNIEREN¶

--rpmv3

Erzwingt das Hinzufügen von RPM-V3-Kopf- und RPM-V3-Nutzdaten-Signaturen. Diese sind teuer und eine redundante Last für Pakete, wenn ein separater Nutzdaten-Hash existiert (Pakete, die mit RPM >= 4.14 gebaut wurden). Rpmsign erkennt eine Notwendigkeit von V3-Signaturen automatisch; diese Option kann aber verwendet werden, um ihre Erzeugung zu erzwingen, falls die Signatur der Pakete mit RPM < 4.14 voll überprüfbar sein muss oder aus anderen Gründen der Interoperabilität.

--fskpath SCHLÜSSEL

Verwendet mit --signfiles, verwendet Dateisignierungsschlüssel SCHLÜSSEL.

--certpath ZERTIFIKAT

Verwendet mit --signverity, verwendet Dateisignierungszertifikat ZERTIFIKAT.

--verityalgo ALG

Mit --signverity verwendet, um den Algorithmus zur Signierung vorzugeben. SHA256 und SHA512 werden unterstützt, wobei SHA256 die Voreinstellung ist, wenn dieses Argument nicht angegeben ist. Er kann auch mit dem Makro %_verity_algorithm angegeben werden.

--signfiles

Signiert Paketdateien. Das Makro %_binary_filedigest_algorithm muss vor dem Bau des Paketes auf einen unterstützten Algorithmus gesetzt werden. Die unterstützten Algorithmen sind SHA1, SHA256, SHA384 und SHA512, die mit 2, 8, 9 und 10 entsprechend repräsentiert werden. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) muss vor dem Signieren des Paketes gesetzt sein. Er kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key konfiguriert werden.

--signverity

Signiert Paketdateien mit »fsverify«-Signaturen. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) und das Dateisignierungszertifikat müssen vor dem Signieren des Paketes gesetzt sein. Der Schlüssel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key und das Zertifikat auf der Befehlszeile mit --certpath oder dem Makro %_file_signing_cert konfiguriert werden.

KONFIGURATION DER SIGNIERSCHLÜSSEL¶

Um Pakete signieren zu können, müssen Sie Ihr eigenes Schlüsselpaar (aus öffentlichem und privaten Schlüssel) erzeugen - schauen Sie dazu in das GPG-Handbuch. Zusätzlich muss rpm(8) so konfiguriert werden, dass es GnuPG und die entsprechenden Schlüssel mit den folgenden Makros findet:

%_gpg_name

Der Name des »Benutzers«, dessen Schlüssel Sie zur Signierung Ihrer Pakete verwenden möchten. Dies ist normalerweise die einzige notwendige Konfiguration.

%_gpg_path

Der Ort Ihres GnuPG-Schlüsselbunds, wenn er von der Voreinstellung $GNUPGHOME abweicht.

%__gpg

Der Pfad der ausführbaren Datei von GnuPG; normalerweise vorkonfiguriert.

Um zum Beispiel GnuPG zur Signierung von Paketen als der Benutzer »John Doe <jdoe@foo.com>« unter Verwendung der ausführbaren Datei /opt/bin/gpg mit den Schlüsselbunden verwenden zu können, die in /etc/rpm/.gpg liegen, würden Sie

%_gpg_path /etc/rpm/.gpg
%_gpg_name John Doe <jdoe@foo.com>
%__gpg /opt/bin/gpg
    

in einer Makro-Konfigurationsdatei, normalerweise ~/.config/rpm/macros. Siehe unter Makro-Konfiguration in rpm(8) für weitere Details.