发布后如何签署 deb/apt 回购协议?
How to sign deb/apt repo after release?
我有关于更新托管在我自己的 deb 存储库中的软件包的问题。我是否应该使用新的私钥签署每个版本并放置新的 public 密钥?
任何时候您更改用于存储库的私钥,该存储库的所有用户都需要告诉 apt 信任您的新密钥(并且可能也停止信任旧密钥)。即使您的所有用户都是云中的自动化容器,设置起来也会很痛苦。当您的用户是人时,这种更改可能需要付出巨大的努力。
在正常情况下,没有特别的理由每次都需要使用新的私钥。像 Debian main 这样的长期存储库有时会轮换他们正在使用的密钥,但他们通过在实际开始使用它之前几个月或几年发布新密钥来做到这一点,以便所有感兴趣的系统都有机会提前开始信任它。这可能不是你此时想要做的。
我有关于更新托管在我自己的 deb 存储库中的软件包的问题。我是否应该使用新的私钥签署每个版本并放置新的 public 密钥?
任何时候您更改用于存储库的私钥,该存储库的所有用户都需要告诉 apt 信任您的新密钥(并且可能也停止信任旧密钥)。即使您的所有用户都是云中的自动化容器,设置起来也会很痛苦。当您的用户是人时,这种更改可能需要付出巨大的努力。
在正常情况下,没有特别的理由每次都需要使用新的私钥。像 Debian main 这样的长期存储库有时会轮换他们正在使用的密钥,但他们通过在实际开始使用它之前几个月或几年发布新密钥来做到这一点,以便所有感兴趣的系统都有机会提前开始信任它。这可能不是你此时想要做的。