CentOS AlmaLinux RHEL

为了安全，在 RHEL9 及之后的版本已经默认禁用基于 SHA-1 签名的证书和相关组件。

而部分第三方仓库的签名文件还是老旧的 SHA-1 方式，导致无法正常安装。

CONDA

就比如 Python 的发行版 Conda 官方仓库就是，直接安装无法成功，会报错：

Importing GPG key 0x29D82806:
 Userid     : "Distribution Team <distribution_team@anaconda.com>"
 Fingerprint: 3416 1F5B F5EB 1D4B FBBB 8F0A 8AEB 4F8B 29D8 2806
 From       : https://repo.anaconda.com/pkgs/misc/gpgkeys/anaconda.asc
Is this ok [y/N]: y
warning: Signature not supported. Hash algorithm SHA1 not available.
Key import failed (code 2). Failing package is: conda-23.11.0-0.x86_64
 GPG Keys are configured as: https://repo.anaconda.com/pkgs/misc/gpgkeys/anaconda.asc
The downloaded packages were saved in cache until the next successful transaction.
You can remove cached packages by executing 'dnf clean packages'.
Error: GPG check FAILED

解决方式

如果用户希望使用或者对仓库内容信任，可以临时信任 SHA-1 签名算法，执行命令：

sudo update-crypto-policies --set LEGACY

即可将验签方式改为老版，安装完成后再改为默认。

sudo update-crypto-policies --set DEFAULT

小贴士：这里会弹出提示“重启后确保生效”，不过实际测试已经生效，谨慎起见还是建议重启系统。

---

附录

参考链接

• Enhancing RHEL Security: Understanding SHA-1 deprecation on RHEL 9 - Red Hat Blog

本文由 柒 创作，采用 知识共享署名4.0 国际许可协议进行许可。
转载本站文章前请注明出处，文章作者保留所有权限。
最后编辑时间： 2024-01-17 17:20 PM