В моей среде пакеты создаются запуском debuild -b и загружаются в репозиторий debian с помощью dput. Этап отладки сообщает мне, что пакет подписан, так что это должно быть круто. У меня есть ключи, сгенерированные с помощью gpg, он запрашивает кодовую фразу, я думаю, здесь нет проблем.
В репозитории debian есть mini-dinstall, работающий как демон.
Теперь, когда я устанавливаю новый пакет с сервера репозитория, я получаю предупреждение «Не удалось проверить подпись». Где пропущенные / неправильные шаги и как лучше всего подписывать пакеты deb?
Что касается пакетов и архивов Debian, существует два типа подписи. Первый - это актуальный .deb
файлы (и .orig.tar.gz
, .changes
и .dsc
), а второй - сгенерированные метаданные архива ( Release
файл). Подписание, которое происходит в рамках debuild
является первым, и эта подпись используется только для проверки того, что вам разрешено добавлять пакеты в архив (т.е. она проверяется reprepro
или mini-dinstall
в рамках обработки входящего пакета). Последний тип подписи должен выполняться менеджером архива (reprepro
, mini-dinstall
, а иногда и вручную), и это подпись, которая проверяется aptitude
и apt-get
при загрузке и установке пакетов.
Похоже, вы не настроили подписание сгенерированных метаданных архива. Вы можете сделать это, создав и настроив mini-dinstall
с release_signscript, или вручную подписав Release
файл и поставив подпись в Release.gpg
каждый раз при смене архива. Затем вам, очевидно, нужно добавить ключ на машинах, устанавливающих пакеты, используя apt-key
.