Rotación de la clave de firma para los paquetes de actualización

Obtenga información sobre cómo rotar la clave pública de GPG cuando GitHub Enterprise ServerGitHub actualiza la clave que se usa para firmar los paquetes de actualización.

En este artículo

Acerca de las claves de firma de paquetes de actualización

GitHub Enterprise Server Los paquetes de actualización se firman con una clave GPG para que los administradores puedan comprobar que los paquetes proceden de GitHub. Al instalar una actualización, el dispositivo verifica la firma del paquete con respecto a la clave pública GPG almacenada en su anillo de claves.

En ocasiones, GitHub puede girar esta clave de firma. Cuando esto sucede, debe actualizar la clave pública GPG en la instancia para poder instalar los paquetes de actualización firmados con la nueva clave. La instancia seguirá funcionando normalmente sin la rotación de claves, pero las actualizaciones producirán un error en la comprobación de la firma hasta que se actualice la clave.

Si no se ha girado la clave de firma, al intentar instalar un paquete de actualización se producirá el siguiente error:

Error: The file provided is not a valid GitHub Enterprise Server package.

Consideraciones para versiones no admitidas

GitHub recomienda encarecidamente actualizar a una versión compatible lo antes posible.

Las versiones de GitHub Enterprise Server anteriores a la 3.16 no se firman de nuevo con la nueva clave GPG. Si está en la versión 3.13 o anterior, no podrá rotar la clave pública de GPG hasta que esté en al menos la versión 3.14. Si rota su clave pública GPG antes de actualizar como mínimo a la versión 3.14, no podrá instalar actualizaciones posteriores, ya que la clave pública GPG anterior se eliminará de su instancia GitHub Enterprise Server.

Para obtener ayuda para determinar la ruta de actualización correcta, use .Asistente de actualización

Prerequisites

  • Acceso SSH a su instancia GitHub Enterprise Server. Para obtener más información, vea Acceder al shell administrativo (SSH).
  • La instancia debe poder llegar a enterprise.github.com a través de HTTPS para descargar el script de rotación. Si su instancia está detrás de un firewall restrictivo o en un entorno aislado, descargue el script desde una máquina externa y transfiéralo manualmente al dispositivo.

Rotación de la clave de firma en una instancia de un solo nodo

  1. Conéctese a la GitHub Enterprise Server instancia a través de SSH.

  2. Descargue el script de rotación proporcionado por GitHub.

    curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh

  3. Ejecute el script de rotación. El script debe ejecutarse dos veces: una vez como el admin usuario y una vez con sudo, porque la clave se almacena en las cuentas de administrador y raíz.

    chmod ug+x ./rotate-gpg.sh
./rotate-gpg.sh
sudo ./rotate-gpg.sh

  4. Compruebe que la rotación se completó correctamente. Cada ejecución del script imprime un mensaje de confirmación que incluye la nueva huella digital de clave.

Rotar la clave de firma en topologías HA o de clúster

En el caso de las instancias configuradas con alta disponibilidad o agrupación en clústeres, la clave debe girarse en cada nodo.

  1. Conéctese a cualquier nodo de la instalación de alta disponibilidad o clúster mediante SSH.

  2. Descargue el script de rotación proporcionado por GitHub.

    curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh

  3. Ejecute los siguientes comandos. El ghe-cluster-each comando copia el script en todos los nodos y lo ejecuta en todos los nodos.

    ghe-cluster-each -- chmod ug+x ./rotate-gpg.sh
ghe-cluster-each -- ./rotate-gpg.sh
ghe-cluster-each -- sudo ./rotate-gpg.sh

  4. Compruebe que la rotación se completó correctamente en cada nodo.

Comprobación de la clave de firma actual

Para comprobar qué clave de firma de GPG está instalada actualmente en la instancia, conéctese a través de SSH y ejecute:

gpg --list-keys --keyid-format long

La salida muestra la huella digital de la clave en el llavero. Compare la huella digital con el valor esperado publicado por GitHub para confirmar que la rotación se aplicó correctamente.

Qué esperar después de girar la clave

Después de girar la clave de firma:

  • La instancia sigue funcionando normalmente. No se requiere ningún tiempo de inactividad del usuario.
  • Los paquetes de actualización descargados anteriormente firmados con la clave anterior producirán un error en la comprobación. Descargue la versión de revisión más reciente disponible para obtener un paquete firmado con la nueva clave.
  • GitHub Enterprise Server Descargue solo las actualizaciones de la página de versiones oficiales. Para obtener más información, consulte GitHub Enterprise Server versiones.

Revertir una rotación de claves

El script de rotación quita la clave anterior del conjunto de claves GPG antes de importar la nueva clave. No hay ninguna forma incorporada de deshacer la rotación.

Si necesita ayuda para revertir una rotación de claves o recuperarse de una actualización con errores, póngase en contacto con Soporte de GitHub.