在我的环境中,软件包是通过运行'debuild -b'创build的,并通过dput上传到debian仓库。 debuild步骤告诉我,包已经签名,所以应该很酷。 我有我的密钥生成与gpg,它要求的密码,没有问题,我想这里。
debian版本库有mini-dinstall作为守护进程运行。
现在,当我从存储库服务器安装新的软件包,并得到'签名无法validation'的警告。 缺失/错误步骤在哪里以及签署软件包的最佳做法是什么?
关于Debian软件包和档案,有两种types的签名。 第一个是实际的.deb文件(和.orig.tar.gz , .changes和.dsc ),第二个是生成的归档元数据(特定Release文件)。 作为debuild一部分发生的签名是前者,而这个签名仅用于validation您是否允许将包添加到归档文件中(即,可以通过reprepro或mini-dinstall作为传入包处理的一部分进行检查) 。 后一种types的签名需要归档pipe理器( reprepro , mini-dinstall或者有时候手动)来完成,这是签名,在下载和安装软件包时由aptitude和apt-getvalidation。
这听起来像你没有设置生成的归档元数据的签名。 您可以通过使用release_signscript创build和configurationmini-dinstall来完成此操作,也可以在每次更改存档时手动签署Release文件并将签名放入Release.gpg 。 那么您显然需要使用apt-key在安装软件包的机器上添加apt-key 。