NGINX Unit在RHEL系系统中GPG签名验证问题的技术分析

问题背景

在使用RHEL系操作系统（如CentOS Stream 9、Red Hat UBI等）安装NGINX Unit软件包时，部分用户遇到了GPG签名验证失败的问题。具体表现为当启用GPG检查（gpgcheck=1）和仓库GPG检查（repo_gpgcheck=1）时，系统会报错提示软件包签名验证失败。

问题现象

用户在使用microdnf或dnf5包管理器时，会收到如下错误信息：

error: package unit-1.32.1-1.el9.ngx.x86_64 cannot be verified and repo unit is GPG enabled: /var/cache/yum/metadata/unit-9-x86_64/packages/unit-1.32.1-1.el9.ngx.x86_64.rpm could not be verified.
/var/cache/yum/metadata/unit-9-x86_64/packages/unit-1.32.1-1.el9.ngx.x86_64.rpm:  digest:  SIGNATURE:  NOT OK

根本原因分析

经过技术分析，这个问题源于RHEL系操作系统包管理器的实现差异：

1. dnf与microdnf/dnf5的行为差异：标准dnf包管理器可以正确处理NGINX Unit仓库的GPG签名验证，而microdnf和dnf5则会出现验证失败的情况。

2. 多GPG密钥处理问题：NGINX Unit仓库使用了多个GPG密钥（包括旧密钥和新密钥），而microdnf在处理包含多个密钥的GPG密钥文件时存在实现缺陷。

3. 历史背景：NGINX在2024年6月更新了其GPG签名密钥，这可能导致部分系统在密钥过渡期间出现验证问题。

解决方案

根据不同的使用场景，可以采用以下解决方案：

1. 使用标准dnf包管理器

对于使用完整版RHEL系镜像（如CentOS Stream完整版）的用户，标准dnf包管理器可以正确处理GPG验证。仓库配置示例：

[unit]
name=unit repo
baseurl=https://packages.nginx.org/unit/rhel/$releasever/$basearch/
gpgcheck=1
enabled=1
repo_gpgcheck=0
gpgkey=https://nginx.org/keys/nginx_signing.key

2. 对于使用microdnf的环境

在Red Hat UBI等使用microdnf的轻量级镜像中，目前有以下临时解决方案：

• 禁用repo_gpgcheck：保留gpgcheck=1以确保软件包本身的签名验证，但禁用仓库元数据验证：

  repo_gpgcheck=0
  

• 完全禁用GPG检查（不推荐）：在受信任的内部环境中，可以临时完全禁用GPG检查：

  gpgcheck=0
  repo_gpgcheck=0
  

3. 使用Fedora或更新版本

Fedora 39等使用dnf5的较新系统已经修复了相关问题，可以考虑升级到这些系统版本。

技术建议

1. 安全权衡：虽然禁用GPG检查可以解决安装问题，但从安全角度考虑，建议仅在受控环境中使用此方案，并尽快寻找长期解决方案。

2. 容器镜像构建：在构建容器镜像时，可以考虑分阶段处理：

   • 构建阶段：临时禁用GPG检查以完成安装
   • 运行时：使用完整验证的基础镜像

3. 长期跟踪：建议关注Red Hat关于microdnf和dnf5的更新，特别是与GPG验证相关的改进。

结论

NGINX Unit软件包本身的GPG签名是完好且可验证的，当前问题主要源于RHEL系部分包管理器实现上的限制。用户可以根据自身环境选择合适的临时解决方案，同时关注相关包管理器的更新进展。对于安全性要求高的生产环境，建议使用标准dnf包管理器或等待Red Hat修复microdnf的相关问题。