![以最小的摩擦轮换 Debian 存储库使用的 GPG 密钥](https://linux22.com/image/933969/%E4%BB%A5%E6%9C%80%E5%B0%8F%E7%9A%84%E6%91%A9%E6%93%A6%E8%BD%AE%E6%8D%A2%20Debian%20%E5%AD%98%E5%82%A8%E5%BA%93%E4%BD%BF%E7%94%A8%E7%9A%84%20GPG%20%E5%AF%86%E9%92%A5.png)
我维护一个包含 Debian 软件包的半公开服务器。在不久的将来,用于签署软件包索引的 GPG 密钥将过期。因此,我正在寻找最佳实践,以最小的摩擦来轮换密钥。
到目前为止,所有用户都以类似的方式配置了存储库Docker 文档中的说明通过明确下载 GPG 密钥并将其加载到 apt 中:
curl -fsSL https://download.example.com/gpg | sudo apt-key add -
这对于初始配置非常有效,但如果需要轮换密钥,那就很麻烦了:一旦我在存储库上交换密钥,所有用户都会收到错误,因为包索引突然用不同的密钥签名。
一些专有应用程序在安装和更新过程中会自动安装(并可能替换)其 GPG 密钥(请参阅Microsoft Teams Ubuntu/Debian 软件包秘密添加 APT 源和 APT 密钥)。这听起来有点恐怖。另一个选择是添加一个仅包含 GPG 密钥的包并指示用户安装它。