我维护一个包含 Debian 软件包的半公开服务器。在不久的将来,用于签署软件包索引的 GPG 密钥将过期。因此,我正在寻找最佳实践,以最小的摩擦来轮换密钥。
到目前为止,所有用户都以类似的方式配置了存储库Docker 文档中的说明通过明确下载 GPG 密钥并将其加载到 apt 中:
curl -fsSL https://download.example.com/gpg | sudo apt-key add -
这对于初始配置非常有效,但如果需要轮换密钥,那就很麻烦了:一旦我在存储库上交换密钥,所有用户都会收到错误,因为包索引突然用不同的密钥签名。
一些专有应用程序在安装和更新过程中会自动安装(并可能替换)其 GPG 密钥(请参阅Microsoft Teams Ubuntu/Debian 软件包秘密添加 APT 源和 APT 密钥)。这听起来有点恐怖。另一个选择是添加一个仅包含 GPG 密钥的包并指示用户安装它。