4.3. 导入自定义 GPG 密钥

对于要安全创建和发布其自身 RPM 的客户，我们强烈建议您使用 GNU 隐私卫士（GPG）签注所有自定义 RPM。有关生成 GPG 密钥并创建 GPG 签名的软件包的详情请参考第 4.2.1 节 “生成 GnuPG 密钥对”。

签注软件包后，必须让所有导入这些 RPM 的系统部署此公共密钥。完成此任务有两个步骤：第一，为公共密钥生成中央管理位置，以便客户端系统可以搜索此密钥；第二，为每个系统在本地 GPG 密钥环中添加此密钥。

第一步很常见，可以使用推荐用来处理红帽网络客户端系统应用程序的网站方法完成。要完成这一步，请在 web 服务器中创建一个公共的目录并将 GPG 公共签名放在那个目录中即可：

cp /some/path/YOUR-RPM-GPG-KEY /var/www/html/pub/

然后客户端系统可使用　Wget　下载该密钥：

wget -O- -q http://your_proxy_or_sat.your_domain.com/pub/YOUR-RPM-GPG-KEY

-O- 选项会将结果发送到标准输出中，而使用 -q 选项的 Wget 不会输出结果。请记住，使用您的密钥文件名替换 YOUR-RPM-GPG-KEY。

客户端系统获得密钥后，会将其导入到本地的 GPG 密钥环中。不同的操作系统需要不同的方法。

对于红帽企业版 Linux 3 或之后的系统，使用以下命令：

rpm --import /path/to/YOUR-RPM-GPG-KEY

成功将 GPG 添加到客户端后，该系统就应该可以验证使用相应密钥签名的自定义 RPM。

注意

使用自定义 RPM 和频道时，请为这些软件包生成自定义 GPG 密钥。要在 Kickstart 侧写中添加 GPG 密钥的位置。

需要将 GPG 密钥添加到客户端系统，否则 Kickstart 安装会失败。