APT Update schlägt fehl: EXPKEYSIG 3F01618A51312F3F

Fehlermeldung

Beim Aktualisieren einer Unmanaged GitLab-Instanz entsteht folgende Fehlermeldung:


apt update
# Ausgabe

Die folgenden Signaturen waren ungültig: EXPKEYSIG 3F01618A51312F3F GitLab B.V. 
(package repository signing key) <packages@gitlab.com>

<br>

W: Während der Überprüfung der Signatur trat ein Fehler auf. Das Depot wurde nicht aktualisiert 
und die vorherigen Indexdateien werden verwendet. 
GPG-Fehler: https://packages.gitlab.com/gitlab/gitlab-ce/debian bookworm InRelease: 
Die folgenden Signaturen waren ungültig: 
EXPKEYSIG 3F01618A51312F3F GitLab B.V. (package repository signing key) <packages@gitlab.com>

W: Fehlschlag beim Holen von 
https://packages.gitlab.com/gitlab/gitlab-ce/debian/dists/bookworm/InRelease 
Die folgenden Signaturen waren ungültig: 
EXPKEYSIG 3F01618A51312F3F GitLab B.V. (package repository signing key) <packages@gitlab.com>

W: Einige Indexdateien konnten nicht heruntergeladen werden. 
Sie wurden ignoriert oder alte an ihrer Stelle benutzt.


Das Problem entsteht, da der bisherige Schlüssel zum Signieren von Updates am 01.03.2024 abgelaufen ist.



Lösung

Das Problem kann durch das Aktualisieren des aktuellen GPG-Archive-Keyrings behoben werden.


Aktuellen Schlüssel anzeigen:

# GitLab CE
gpg --keyring /usr/share/keyrings/gitlab_gitlab-ce-archive-keyring.gpg --list-keys

# GitLab EE
gpg --keyring /usr/share/keyrings/gitlab_gitlab-ee-archive-keyring.gpg --list-keys

# GitLab Runner
gpg --keyring /usr/share/keyrings/runner_gitlab-runner-archive-keyring.gpg --list-keys
# Ausgabe

/usr/share/keyrings/gitlab_gitlab-ce-archive-keyring.gpg
--------------------------------------------------------
pub   rsa4096 2020-03-02 [SC] [verfallen: 2024-03-01]
      F6403F6544A38863DAA0B6E03F01618A51312F3F
uid        [ verfallen ] GitLab B.V. (package repository signing key) <packages@gitlab.com>

Der Archive-Keyring ist in diesem Beispiel am 01.03.2024 abgelaufen.


Mit dem folgenden Befehl kann der Keyring für die jeweilige Installation aktualisiert werden:

# GitLab CE
wget -qO- https://packages.gitlab.com/gpg.key | \
    gpg --no-default-keyring --keyring /usr/share/keyrings/gitlab_gitlab-ce-archive-keyring.gpg --import

# GitLab EE    
wget -qO- https://packages.gitlab.com/gpg.key | \
    gpg --no-default-keyring --keyring /usr/share/keyrings/gitlab_gitlab-ee-archive-keyring.gpg --import

# GitLab Runner
wget -qO- https://packages.gitlab.com/gpg.key | \
    gpg --no-default-keyring --keyring /usr/share/keyrings/runner_gitlab-runner-archive-keyring.gpg --import


# Ausgabe

gpg: Schlüssel 3F01618A51312F3F: "GitLab B.V. (package repository signing key) <packages@gitlab.com>" 2 neue Signaturen
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                         neue Signaturen: 2


Das GitLab-Update kann anschließend ohne Fehler durchgeführt werden.