在RPM签名上进行PoC,目前处于停滞状态。我使用git bash在笔记本电脑上创建了GPG密钥。然后导出公钥,私钥和trustdb。在我的GitLab项目中,我添加了所有3个文件。我的yml如下:
rpm_sign:
stage: sign
image: centos:latest
only:
- master
script:
- yum install -y rpm-sign
- gpg --import public.pgp
- gpg --import private.pgp
- gpg --import-ownertrust < trust.txt
- gpg --list-keys --keyid-format LONG
- gpg --list-secret-keys --keyid-format LONG
- rpm --define "_gpg_name eavibis" --define "_signature gpg" --addsign ics-service-rpm-1.0.3-1.noarch.rpm
- rpm --checksig ics-service-rpm-1.0.3-1.noarch.rpm
- tar -zcvf signed_rpm.tar.gz *.rpm
tags:
- docker-devuser
artifacts:
paths:
- $CI_PROJECT_DIR/*.tar.gz
expire_in: 1 hour
如果我两次运行addsign命令,则在第二次运行时,我收到消息:
警告:ics-service-rpm-1.0.3-1.noarch.rpm已包含相同的签名,正在跳过
这清楚地表明已添加符号。但是,在checksig命令输出中,出现以下错误:
ics-service-rpm-1.0.3-1.noarch.rpm:RSA sha1((MD5)PGP)md5不好(丢失密钥:(MD5)PGP#3d525b88)]]]
我在做什么错?
在RPM签名上进行PoC,目前处于停滞状态。我使用git bash在笔记本电脑上创建了GPG密钥。然后导出公钥,私钥和trustdb。在我的GitLab项目中,我添加了所有3个文件。...
您必须将GPG导入rpmdb: