本地保存远程reprepro包存档的私钥

Question

目前，我正在使用reprepro和inoticoming来维护远程计算机上的Debian包存档。

repo配置了以下发行版文件：

Origin: ...
Label: ...
Codename: squeeze
Architectures: i386 amd64 armhf source
Components: main
Description: ...
Log: /home/apt/log/reprepro.log

守护进程运行时：

inoticoming \
  --logfile /home/apt/log/upload.log \
  /home/apt/incoming \
  --stdout-to-log \
  --stderr-to-log \
  --suffix .changes \
  reprepro -Vb /home/apt --waitforlock 1000 processincoming default {} \;

我正在建设和签署我的包裹在当地，然后上传与dupload。但是，当我试图从该存档中安装一个包时，我会得到：

WARNING: The following packages cannot be authenticated!

有办法让签名有效吗？我绝对不想和远程机器分享我的私人GPG密钥。是否有其他工具或更适合的工作流？

Answer 1

apt使用的签名是在整个回购程序上(特别是在"Release“文件上，而不是在单个包上)。因此，它们必须作为将包添加到回购过程的一部分来生成。

通常，您会创建一个密钥，专门用于对存储库进行签名，并将其保存在用于管理回购的机器上。

另一种选择是在本地管理机器上的回购，然后使用像rsync这样的工具将其传输到服务器。

另一件工作可能是下载发行文件，并在每次更新回购后手动创建签名，但我自己还没有尝试过。