SIGNIERUNG VON PAKETEN:¶

rpm --addsign|--resign [Rpmsign-Optionen] PAKETDATEI …

rpm --delsign PAKETDATEI …

rpm --delfilesign PAKETDATEI …

Rpmsign-Optionen¶

[--rpmv3] [--fskpath SCHLÜSSEL] [--signfiles]

OPTIONEN ZUM SIGNIEREN¶

--rpmv3

Erzwingt das Hinzufügen von RPM-V3-Kopf- und RPM-V3-Nutzdaten-Signaturen. Diese sind teuer und eine redundante Last für Pakete, wenn ein separater Nutzdaten-Hash existiert (Pakete, die mit RPM >= 4.14 gebaut wurden). RPM erkennt eine Notwendigkeit von V3-Signaturen automatisch; diese Option kann aber verwendet werden, um ihre Erzeugung zu erzwingen, falls die Signatur der Pakete mit RPM < 4.14 voll überprüfbar sein muss oder aus anderen Gründen der Interoperabilität.

--fskpath SCHLÜSSEL

Verwendet mit --signfiles, verwendet Dateisignierungsschlüssel SCHLÜSSEL.

--certpath ZERTIFIKAT

Verwendet mit --signverity, verwendet Dateisignierungszertifikat ZERTIFIKAT.

--verityalgo ALG

Mit --signverity verwendet, um den Algorithmus zur Signierung vorzugeben. SHA256 und SHA512 werden unterstützt, wobei SHA256 die Voreinstellung ist, wenn dieses Argument nicht angegeben ist. Er kann auch mit dem Makro %_verity_algorithm angegeben werden.

--signfiles

Signiert Paketdateien. Das Makro %_binary_filedigest_algorithm muss vor dem Bau des Paketes auf einen unterstützten Algorithmus gesetzt werden. Die unterstützten Algorithmen sind SHA1, SHA256, SHA384 und SHA512, die mit 2, 8, 9 und 10 entsprechend repräsentiert werden. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) muss vor dem Signieren des Paketes gesetzt sein. Er kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key konfiguriert werden.

--signverity

Signiert Paketdateien mit »fsverify«-Signaturen. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) und das Dateisignierungszertifikat müssen vor dem Signieren des Paketes gesetzt sein. Der Schlüssel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key und das Zertifikat auf der Befehlszeile mit --certpath oder dem Makro %_file_signing_cert konfiguriert werden.

VERWENDUNG VON GPG ZUR SIGNIERUNG VON PAKETEN¶

Um Pakete mit GPG signieren zu können, muss rpm(8) konfiguriert sein, GPG starten zu können und in der Lage sein, den richtigen Schlüsselbund mit den passenden Schlüsseln zu finden. In der Voreinstellung verwendet rpm(8) die gleichen Konventionen wie GPG, um Schlüsselbunde zu finden, und zwar die Umgebungsvariable $GNUPGHOME. Wenn Ihre Schlüsselbunde nicht dort abgelegt sind, wo GPG sie erwartet, dann müssen Sie das Makro %_gpg_path so konfigurieren, dass es den Ort der zu verwendenden GPG-Schlüsselbunde enthält. Wenn Sie in der Lage sein wollen, Pakete zu signieren, die Sie selbst erzeugt haben, müssen Sie ebenso Ihr eigenes öffentliches und privates Schlüsselpaar erzeugen (schauen Sie dazu in das GPG-Handbuch). Sie werden auch die rpm(8)-Makros konfigurieren müssen.

%_gpg_name

Der Name des »Benutzers«, dessen Schlüssel Sie zur Signierung Ihrer Pakete verwenden möchten.

Um zum Beispiel GPG zur Signierung von Paketen als der Benutzer »John Doe <jdoe@foo.com>« unter Verwendung der ausführbaren Datei /usr/bin/gpg mit den Schlüsselbunden verwenden zu können, die in /etc/rpm/.gpg liegen, würden Sie

%_gpg_path /etc/rpm/.gpg
%_gpg_name John Doe <jdoe@foo.com>
%__gpg /usr/bin/gpg
    

in eine Makro-Konfigurationsdatei einbinden. Verwenden Sie /etc/rpm/macros für systemweite Konfigurationen und ~/.rpmmacros für benutzerspezifische Konfigurationen. Üblicherweise ist es ausreichend, nur %_gpg_name zu setzen.