업그레이드 패키지에 대한 서명 키 회전

GitHub Enterprise Server에서 업그레이드 패키지 서명에 사용되는 키를 업데이트할 때 GitHub의 GPG 공개 키를 교체하는 방법을 알아보세요.

이 기사에서

업그레이드 패키지 서명 키 정보

GitHub Enterprise Server 업그레이드 패키지는 GPG 키로 서명되므로 관리자는 패키지의 원본 GitHub을 확인할 수 있습니다. 업그레이드를 설치할 때 어플라이언스는 키링에 저장된 GPG 공개 키에 대해 패키지 서명을 확인합니다.

경우에 따라 GitHub 이 서명 키를 회전할 수 있습니다. 이 경우 새 키로 서명된 업그레이드 패키지를 설치하려면 먼저 인스턴스에서 GPG 공개 키를 업데이트해야 합니다. 인스턴스는 키 회전 없이 정상적으로 작동하지만 업그레이드는 키가 업데이트될 때까지 서명 확인에 실패합니다.

서명 키가 회전되지 않은 경우 다음 오류와 함께 업그레이드 패키지 설치 시도가 실패합니다.

Error: The file provided is not a valid GitHub Enterprise Server package.

지원되지 않는 버전에 대한 고려 사항

GitHub 가능한 한 빨리 지원되는 버전으로 업그레이드하는 것이 좋습니다.

3.16 이전 버전은 GitHub Enterprise Server 새 GPG 키로 다시 서명되지 않습니다. 버전 3.13 이하인 경우 버전 3.14 이상이 될 때까지 GPG 공개 키를 회전할 수 없습니다. 3.14 이상으로 업그레이드하기 전에 GPG 공개 키를 회전하는 경우 이전 GPG 공개 키가 인스턴스에서 GitHub Enterprise Server 제거되므로 업그레이드를 설치할 수 없습니다.

올바른 업그레이드 경로를 결정하는 데 도움이 필요하면 업그레이드 도우미을 사용하세요.

사전 요구 사항

  • GitHub Enterprise Server 인스턴스에 대한 SSH 액세스 자세한 내용은 관리 셸(SSH)에 액세스을(를) 참조하세요.
  • 인스턴스는 회전 스크립트를 다운로드할 수 있도록 HTTPS를 통해 enterprise.github.com에 연결할 수 있어야 합니다. 인스턴스가 제한적인 방화벽 뒤에 있거나 대기 간격이 있는 환경에 있는 경우 외부 컴퓨터에서 스크립트를 다운로드하여 수동으로 어플라이언스로 전송합니다.

단일 노드 인스턴스에서 서명 키 회전

  1. SSH를 통해 인스턴스에 연결합니다 GitHub Enterprise Server .

  2. GitHub에서 제공하는 회전 스크립트를 다운로드하세요.

    curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh

  3. 회전 스크립트를 실행합니다. 키가 관리자 계정과 루트 계정 모두에 저장되므로 스크립트를 두 번 실행해야 합니다. 한 번은 admin 사용자로, 또 한 번은 sudo로 실행해야 합니다.

    chmod ug+x ./rotate-gpg.sh
./rotate-gpg.sh
sudo ./rotate-gpg.sh

  4. 회전이 성공적으로 완료되었는지 확인합니다. 스크립트의 각 실행은 새 키 지문을 포함하는 확인 메시지를 출력합니다.

HA 또는 클러스터 토폴로지에서 서명 키 회전

고가용성 또는 클러스터링으로 구성된 인스턴스의 경우 모든 노드에서 키를 회전해야 합니다.

  1. SSH를 통해 HA 또는 클러스터 설치의 모든 노드에 연결합니다.

  2. GitHub에서 제공하는 회전 스크립트를 다운로드하십시오.

    curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh

  3. 다음 명령을 실행합니다. 이 ghe-cluster-each 명령은 스크립트를 모든 노드에 복사하고 모든 노드에서 실행합니다.

    ghe-cluster-each -- chmod ug+x ./rotate-gpg.sh
ghe-cluster-each -- ./rotate-gpg.sh
ghe-cluster-each -- sudo ./rotate-gpg.sh

  4. 각 노드에서 회전이 성공적으로 완료되었는지 확인합니다.

현재 서명 키 확인

현재 인스턴스에 설치된 GPG 서명 키를 확인하려면 SSH를 통해 연결하고 다음을 실행합니다.

gpg --list-keys --keyid-format long

출력은 키링에 키의 지문을 표시합니다. 지문 값을 GitHub에서 게시한 예상 값과 비교하여 로테이션이 올바르게 적용되었는지 확인합니다.

키를 회전한 후 예상되는 사항

서명 키를 회전한 후:

  • 인스턴스는 정상적으로 계속 작동합니다. 사용자 가동 중지 시간이 필요하지 않습니다.
  • 이전 키로 서명된 이전에 다운로드한 업그레이드 패키지는 확인에 실패합니다. 사용 가능한 최신 패치 릴리스를 다운로드하여 새 키로 서명된 패키지를 가져옵니다.
  • 공식 릴리스 페이지에서만 업데이트를 다운로드 GitHub Enterprise Server 합니다. 자세한 내용은 릴리스를 참조GitHub Enterprise Server하세요.

키 회전 되돌리기

회전 스크립트는 새 키를 가져오기 전에 GPG 키링에서 이전 키를 제거합니다. 회전을 실행 취소하는 기본 제공 방법은 없습니다.

키 회전을 되돌리거나 실패한 업그레이드에서 복구하는 데 도움이 필요한 경우 문의하세요 GitHub 지원.