如何重新同步 saltstack？reposync 失败并显示错误消息“由于缺少 GPG 密钥，正在删除 [...]。”

在 RHEL 7.4 系统上，我添加 salt-latest repo 如下：

yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm

请注意，除其他事项外，这将创建以下两个 GPG 密钥文件：

/etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
/etc/pki/rpm-gpg/saltstack-signing-key

供以后参考，请注意 CentOS 密钥的指纹以 f4a80eb5 结尾：

# gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt

pub  4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
      Key fingerprint = 6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5

尝试重新同步下载：

mkdir /root/foobar

reposync --gpgcheck --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata

它会失败并出现如下错误：

Removing babel-0.9.6-8.el7.noarch.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.i686.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.x86_64.rpm, due to missing GPG key.

因此，我手动下载了所有失败的文件（在 for 循环中）并检查了它们的签名密钥的签名。它们都是一样的，因此这里仅举其中一个例子：

wget http://repo.saltstack.com/yum/redhat/7/x86_64/latest/base/babel-0.9.6-8.el7.noarch.rpm

rpm -K babel-0.9.6-8.el7.noarch.rpm

babel-0.9.6-8.el7.noarch.rpm: RSA sha1 ((MD5) PGP) md5 NOT OK (MISSING KEYS: (MD5) PGP#f4a80eb5)

注意，该密钥PGP#f4a80eb5与上面引用的密钥匹配F4A8 0EB5。那么为什么它无法通过 gpg 检查呢？

我尝试过的方法包括：

• 我编辑/etc/yum.repos.d/salt-latest.repo并更改了该gpgkey=行。这三种变体都出现了同样的失败。据我所知，更改该gpgkey=行没有任何效果：

  gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key
  gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
  gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key,file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
  

• 我尝试reposync不用 来运行--gpgcheck。它可以工作，但显然，这样使用不好。

  reposync --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata
  

• 我想知道 reposync 是否拒绝使用密钥，因为它太弱了？MD5。但我想不出任何方法来确认或否认这一点。

• 我想知道密钥是否真的有有效期？但我找不到任何方法来确认或否认这一点。