我们将我们自己的一些软件包作为debs存放在我们自己的仓库中。 为了build立原型,我们一直在运行“未经validation的”。 现在我们试图更正确地做事情,做整个GPG事情。 我试过的,只是为了testing运行如下:
1)用gpg-gen做个钥匙
~$ gpg --list-keys /home/me/.gnupg/pubring.gpg -------------------------------- pub 4096R/BBBBB39F 2017-03-09 uid Someone Somebody <[email protected]> sub 4096R/129E9336 2017-03-09
(什么顺便说一句,那里是SUB的东西?)
2) aptly publish …这提示我为我的密钥input密钥,所以它必须在这个时候用密钥做一些事情。
3)使用gpg —export —armor > somefile.pubkey导出密钥
4)将一些file.pubkey复制到testing机器上
5)运行sudo apt-key add somefile.pubkey
sudo apt-key list /etc/apt/trusted.gpg -------------------- pub rsa4096 2017-03-09 [SC] E51B E216 4658 FB8B 6E42 8A09 F9BC EF4C BBBB B39F uid [ unknown] Someone Somebody <[email protected]> sub rsa4096 2017-03-09 [E] … … …
所以,似乎已经进入了。 这个子事情现在有不同的performance吗?
6)最后, sudo apt-get update :
~$ sudo apt-get update Hit:1 http://ftp.us.debian.org/debian stretch InRelease Hit:2 http://ftp.us.debian.org/debian stretch-updates InRelease Hit:3 http://security.debian.org stretch/updates InRelease Get:4 http://our.aptly.repo stretch InRelease [2317 B] Ign:4 http://our.aptly.repo stretch InRelease Fetched 2317 B in 9s (256 B/s) Reading package lists... Done W: GPG error: http://our.aptly.repo stretch InRelease: The following signatures were invalid: E51BE2164658FB8B6E428A09F9BCEF4CBBBBB39F W: The repository 'http://our.aptly.repo stretch InRelease' is not signed. N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use. N: See apt-secure(8) manpage for repository creation and user configuration details.
我不明白这里发生了什么事情。 进攻似乎是没有签名的东西? 我错过了什么步骤?
最新的Debian扩展安装不再接受SHA1签名。 然而,Aptly使用SHA1直到v0.9.7( 相关PR ,请注意,它也回溯到v0.9.6.1)。 我怀疑你使用的Aptly的版本比这个更旧。 如果是这样,请考虑将其回购添加到您的sources.list。