As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Login de metadados do repositório AL2023
<a name="repo-metadata-signing"></a>

A partir do lançamento`2023.11.20260406`, os AL2023 repositórios incluem assinaturas criptográficas para os metadados do repositório. Cada `repomd.xml` arquivo do repositório é acompanhado por um arquivo de assinatura GPG separado (`repomd.xml.asc`) que você pode usar para verificar a autenticidade e a integridade dos metadados do repositório antes que os pacotes sejam baixados.

Essa assinatura é adicional à assinatura do pacote RPM existente (`gpgcheck`), que verifica pacotes individuais. A assinatura de metadados do repositório verifica os metadados que descrevem o conteúdo do repositório, como a lista de pacotes disponíveis e suas somas de verificação.

## Como funciona a assinatura de metadados do repositório
<a name="repo-metadata-signing-overview"></a>

Quando AL2023 os repositórios são publicados, os metadados do repositório (`repomd.xml`) são assinados usando uma AWS chave KMS. A assinatura separada resultante (`repomd.xml.asc`) é colocada ao lado dos metadados no repositório.

Quando você habilita `repo_gpgcheck` na configuração do seu repositório, baixa e verifica DNF automaticamente a `repomd.xml.asc` assinatura em relação à chave pública GPG antes de usar os metadados do repositório. Se a verificação da assinatura falhar, DNF rejeita os metadados do repositório e não prossegue com as operações de pacote desse repositório. Para obter mais informações sobre`repo_gpgcheck`, consulte a [Referência DNF de configuração](https://dnf.readthedocs.io/en/latest/conf_ref.html).

Os seguintes AL2023 repositórios incluem metadados assinados:
+ Repositório principal () `amazonlinux`
+ Repositório Kernel Livepatch () `kernel-livepatch`
+ Repositório NVIDIA () `amazonlinux-nvidia`
+ Pacotes suplementares para o repositório Amazon Linux () `amazonlinux-spal`

## Diferença entre `gpgcheck` e `repo_gpgcheck`
<a name="repo-metadata-signing-gpgcheck-vs-repo-gpgcheck"></a>


| Configuração | O que ele verifica | Padrão em AL2023 | 
| --- | --- | --- | 
| gpgcheck=1 | Verifica a assinatura GPG de pacotes RPM individuais antes da instalação. | Habilitado | 
| repo\_gpgcheck=1 | Verifica a assinatura GPG dos metadados do repositório (repomd.xml) antes de usar o repositório. | Desativado (ativado por padrão a partir da versão 2023.12 trimestral) | 

É altamente recomendável que você habilite os dois `gpgcheck` `repo_gpgcheck` e. Isso garante que os metadados do repositório e os pacotes individuais sejam verificados antes do uso.

## Habilitando a verificação de metadados do repositório
<a name="repo-metadata-signing-enable"></a>

Você pode habilitar a verificação de metadados do repositório para repositórios individuais atualizando seus arquivos de configuração.

**Importante**  
A partir da versão `2023.12` trimestral, `repo_gpgcheck=1` será habilitado por padrão nos arquivos de configuração do AL2023 repositório.

### Habilitar para um repositório específico
<a name="repo-metadata-signing-enable-per-repo"></a>

Os arquivos de configuração do AL2023 repositório são `/etc/yum.repos.d/` definidos `repo_gpgcheck=0` por padrão. Para habilitar a verificação de metadados do repositório, altere esse valor para `1` na configuração do repositório. Por exemplo, para habilitá-lo para o repositório principal:

```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```

## Verificando se a assinatura de metadados do repositório está funcionando
<a name="repo-metadata-signing-verify"></a>

Depois de habilitar`repo_gpgcheck=1`, você pode verificar se a verificação de metadados está funcionando limpando o DNF cache e atualizando os metadados:

```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```

Se a verificação de metadados for bem-sucedida, DNF importe a chave GPG (se ainda não tiver sido importada) e criará o cache de metadados sem erros. Você verá uma saída semelhante à seguinte:

```
Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.
```

Se a verificação da assinatura falhar, DNF será exibida uma mensagem de erro indicando uma falha na verificação da assinatura GPG e falha na criação do cache de metadados.

## Chaves públicas GPG para repositórios AL2023
<a name="repo-metadata-signing-gpg-keys"></a>

As chaves públicas GPG usadas para verificação de metadados do repositório são instaladas pela configuração do repositório correspondente em. RPMs `/etc/pki/rpm-gpg/` A tabela a seguir lista as chaves públicas usadas por cada repositório.


| Repositório | Chave de assinatura do pacote | Chave de assinatura Repodata | Distribuído em | 
| --- | --- | --- | --- | 
| Núcleo (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| Livepatch do Kernel () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| NVIDIA () amazonlinux-nvidia | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release | 
| SPAL () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release | 

Essas chaves são instaladas automaticamente quando você instala o RPM de configuração do repositório correspondente.