对 Debian 软件包进行签名的最佳实践

对 Debian 软件包进行签名的最佳实践

在我的环境中,软件包是通过运行“debuild -b”创建的,并使用 dput 上传到 debian 存储库。debuild 步骤告诉我软件包已经签名,所以应该没问题。我用 gpg 生成了密钥,它要求输入密码,我想这里没问题。

Debian 存储库中有 mini-dinstall 作为守护进程运行。

现在,当我从存储库服务器安装新软件包时,我收到“无法验证签名”警告。缺少/错误的步骤在哪里?签署 deb 软件包的最佳做法是什么?

答案1

对于 Debian 软件包和档案,有两种签名类型。第一种是实际.deb文件(和.orig.tar.gz.changes.dsc),第二种是生成的档案元数据(Release具体来说是文件)。作为 的一部分进行的签名debuild是前者,此签名仅用于验证您是否有权将软件包添加到档案中(即,它由reprepro或作为传入软件包处理的一部分进行检查)。后一种签名需要由档案管理器( 、或有时手动)mini-dinstall完成,这是在下载和安装软件包时由和验证的签名。reprepromini-dinstallaptitudeapt-get

听起来你还没有设置生成的存档元数据的签名。你可以通过使用以下方式创建和配置来执行此操作mini-dinstallrelease_signscript,或者手动签署文件并在每次更改存档时Release输入签名。然后,您显然需要在使用安装软件包的机器上添加密钥。Release.gpgapt-key

相关内容