3rd Partyのリポジトリのパッケージを使うときに、そこが提供しているキーリングをインストールしようとすると警告される。
これはこれで正しいのだけれども、なんだか微妙だ。
% sudo apt install -y -V apt-transport-https
% sudo apt update --allow-insecure-repositories
% sudo apt install -y -V --allow-unauthenticated groonga-keyring
% sudo apt update
% sudo apt install -y -V groonga
上記はgroonga.orgからパッケージをインストールする手順なのだけれども、--allow-insecure-repositories
やら --allow-unauthenticated
なんてオプションをつけてコマンドを実行しないといけない。しかもそれでも警告はでるので不安になる。
いっそのこと、groonga-keyringをDebian公式に入れてしまえばいいんじゃないだろうか、という案がでた。
ただしなんだか筋がよくないような気がしてもやもやしていたのでdebian-develで相談してみた。
Q: Where is keyring packaging guideline?
結局のところ、わざわざkeyringをDebian公式に入れなくてもいいやり方があった。
Paulさんがそういうときのドキュメントがあるよ、と教えてくれた。
DebianRepository/UseThirdParty - Debian Wiki
keyringをhttpsなサイトにおいて、wgetで/usr/share/keyringsに配置、apt-lineでは以下のような感じで signed-by
を指定する、という塩梅だった。
deb [signed-by=/usr/share/keyrings/groonga-archive-keyring.gpg] https://packages.groonga.org/debian/ stretch main