Aktualisierung des GPG-Schlüssels (Paketsignatur)

  • Für alle, die LiveConfig über eines unserer Repositories installiert haben:


    Der GPG-Schlüssel, der für die Signatur der Pakete und Repositories verwendet wird (pkgadmin@liveconfig.com) wurde ausgetauscht, da der alte Schlüssel zum 06.11.2014 abgelaufen ist.
    Key-ID ALT: 649BE239
    Key-ID NEU: 08708961


    Um den aktualisierten Key zu importieren, ist folgender Befehl notwendig:

    Code
    # Debian:
    wget -O - https://www.liveconfig.com/liveconfig.key | apt-key add -
    
    
    # CentOS/OpenSUSE:
    rpm --import https://www.liveconfig.com/liveconfig.key


    Das sind die selben Befehle, die auch auf der Download-Seite bei den Installationshinweisen jeweils angegeben sind.


    Wer den Schlüssel nicht aktualisiert, erhält sonst z.B. unter Debian die folgende Fehlermeldung beim nächsten "aptitude update":

    Zitat

    W: A error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://repo.liveconfig.com main Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 1059DFB908708961


    Wir planen, für den LiveConfig-Key künftig ein eigenes Paket bereitzustellen, welches dann (vor dem Ablauf des Schlüssels ;)) automatisch mit aktualisiert werden kann.


    Viele Grüße


    -Klaus Keppler

  • Bei mir kommt folgender Fehler:


    W: Während der Überprüfung der Signatur trat ein Fehler auf. Das Repository wurde nicht aktualisiert und die vorherigen Indexdateien werden verwendet. GPG-Fehler: http://repo.liveconfig.com main Release: Die folgenden Signaturen waren ungültig: KEYEXPIRED 1415273942


    W: Während der Überprüfung der Signatur trat ein Fehler auf. Das Repository wurde nicht aktualisiert und die vorherigen Indexdateien werden verwendet. GPG-Fehler: http://repo.liveconfig.com wheezy Release: Die folgenden Signaturen waren ungültig: KEYEXPIRED 1415273942


    W: Fehlschlag beim Holen von http://repo.liveconfig.com/debian/dists/main/Release


    W: Fehlschlag beim Holen von http://repo.liveconfig.com/debian/dists/wheezy/Release


    W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.



    System: Debian Wheezy

  • Hallo Nosxxx,


    es existiert aktuell leider noch ein Fehler im Repository. Bei der Signatur ist was schief gelaufen und der alte Key wurde verwendet.
    Der Fehler ist somit bekannt und an einer Lösung wird bereits gearbeitet.


    Sobald das Problem behoben ist melden wir uns.


    Viele Grüße
    Christoph Russow

  • Das Stable-Repo ist nun auch wieder korrekt signiert.


    Vorschlag:
    Um das Key-Rollout bei größeren Installationen zu vereinfachen, könnten wir vorübergehend die Signatur der Repositories entfernen und mit dem nächsten LiveConfig-Update gleichzeitig den Key aktualisieren lassen.
    Kommentare/Meinungen dazu?

  • Bei größeren Installation kann der Admin die Client-Software notfalls anweisen die Key-Verifizierung abzuschalten oder gezielt ignorieren. Solange die Pakete unsigniert sind installiere ich von den Repos keine Software!

  • Bei größeren Installation kann der Admin die Client-Software notfalls anweisen die Key-Verifizierung abzuschalten oder gezielt ignorieren. Solange die Pakete unsigniert sind installiere ich von den Repos keine Software!


    schließe mich dem an.
    gerade größere Installationen wissen, wie man das Problem löst - oder sollten es zumindest wissen.

  • Bin derselben Meinung wie meine Vorposter: Diejenigen die einen Server betreuen und damit eine große Verantwortung übernehmen, sollten es schon wissen, wie das geht. Alternativ könnte man ja eine kurze Anleitung in das Forum posten und darauf verweisen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!