我想创建一个脚本,用于在我的Docker镜像中下载和GPG验证文件。从Apache文档中可以看到,为了进行验证,我需要执行以下操作:
gpg --import KEYS
gpg --verify downloaded_file.tgz.asc downloaded_file.tgz
我希望跳过第一步,因为它会更改“某些文件的位置”。原因是我想尽可能保持docker映像的原始状态。我更喜欢简单地调用类似于:
gpg --using-keys KEYS --verify file.tgz.asc file.tgz
。这可行吗?
我尝试使用
--no-default-keyring --keyring KEYS
,如此处所述,但我无法正确解释输出(它打印Can't check signature: public key not found
)。当我删除--no-default-keyring
时,输出似乎很好,但我之前已导入了KEYS文件,不知道如何取消导入以查看清晰的结果。KEYS、.tgz和.tgz.asc文件来自Apache Kafka。
gpg --no-default-keyring --keyring KEYS --list-keys
的输出是什么? - Jens Erat