关于apt-key在Debian 11和Ubuntu 22.04中不再可用

最新推荐文章于 2025-06-05 19:17:22 发布
最新推荐文章于 2025-06-05 19:17:22 发布
阅读量2.1k 收藏 12
点赞数 14
CC 4.0 BY-SA版权
分类专栏: # linux 文章标签: debian ubuntu 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45921549/article/details/138630754

APT-KEY(8) 命令手册

名称
apt-key - 已弃用的APT密钥管理工具

摘要
apt-key [--keyring filename] {add filename | del keyid | export keyid | exportall | list | finger | adv | update | net-update | {-v | --version} | {-h | --help}}

描述
apt-key 用于管理APT用于验证软件包的密钥列表。使用这些密钥验证的软件包将被认为是可信的。

apt-key 的使用已被弃用,除了在维护者脚本中使用apt-key del来从主密钥环中移除现有密钥。如果需要使用apt-key,还需要额外安装GNU隐私保护套件(包含在gnupg包中)。

apt-key(8) 将在Debian 11和Ubuntu 22.04中不再可用。

支持的密钥环文件
apt-key 仅支持二进制OpenPGP格式(也称为“GPG公钥环”),文件扩展名为“gpg”,而不是较新版本的gpg(1)引入的keybox数据库格式作为默认的密钥环文件格式。因此,任何APT版本的二进制密钥环文件应始终使用gpg --export创建。

另外,如果所有使用创建的密钥环的系统至少安装了apt版本1.4,您可以使用由gpg --armor --export创建的ASCII编码格式和“asc”扩展名。

命令
add filename (已弃用)
将新密钥添加到受信任密钥列表中。密钥从参数filename指定的文件中读取,如果filename是“-”,则从标准输入读取。

手动通过apt-key添加的密钥必须经过验证,以确保它们属于它们声称的仓库的所有者,否则apt-secure(8)基础设施将完全受到破坏。

注意:而不是使用此命令,应将密钥环直接放置在/etc/apt/trusted.gpg.d/目录中,并使用描述性名称以及“gpg”或“asc”作为文件扩展名。

del keyid (大部分已弃用)
从受信任密钥列表中移除一个密钥。

export keyid (已弃用)
将密钥keyid输出到标准输出。

exportall (已弃用)
将所有受信任的密钥输出到标准输出。

list, finger (已弃用)
列出带有指纹的受信任密钥。

adv (已弃用)
向gpg传递高级选项。使用adv --recv-key,例如,您可以直接从密钥服务器下载密钥到受信任的密钥集。注意,没有执行任何检查,因此如果不小心使用,很容易完全破坏apt-secure(8)基础设施。

update (已弃用)
使用存档密钥环更新本地密钥环,并从本地密钥环中移除不再有效的存档密钥。存档密钥环包含在您发行版的存档密钥环包中,例如Ubuntu中的ubuntu-keyring包。

注意,发行版不需要也不应该再使用此命令,而是直接在/etc/apt/trusted.gpg.d/目录中分发密钥环文件,因为这样可以避免依赖于gnupg,并且对于维护者和用户来说,通过简单地添加和删除文件来管理密钥更容易。

net-update (已弃用)
执行更新,类似于上面的更新命令,但是从URI获取存档密钥环并用主密钥验证它。这需要安装了wget(1),并且APT构建配置为有服务器可以获取和主密钥环可以验证。APT在Debian中不支持此命令,而是依赖于update,但Ubuntu的APT支持。

选项
注意,选项需要在前一节中描述的命令之前定义。

--keyring filename (已弃用)
使用此选项,可以指定特定密钥环文件,命令应在其上操作。默认情况下,命令会在trusted.gpg文件以及trusted.gpg.d目录中的所有部分上执行,尽管trusted.gpg是主密钥环,这意味着例如新密钥将被添加到此密钥环中。

弃用
除了在维护者脚本中使用apt-key delapt-key的使用已被弃用。本节显示了如何替换现有的apt-key使用。

如果您现有的apt-key add使用如下:

wget -qO- https://myrepo.example/myrepo.asc | sudo apt-key add -

那么您可以直接替换为(尽管请注意下面的推荐):

wget -qO- https://myrepo.example/myrepo.asc | sudo tee /etc/apt/trusted.gpg.d/myrepo.asc

确保对ASCII编码密钥使用“asc”扩展名,对二进制OpenPGP格式(也称为“GPG公钥环”)使用“gpg”扩展名。二进制OpenPGP格式适用于所有APT版本,而ASCII编码格式适用于APT版本>= 1.4。

推荐:而不是将密钥放入/etc/apt/trusted.gpg.d目录,您可以将它们放在文件系统的任何位置,通过在sources.list中使用Signed-By选项并指向密钥文件的名称。有关详细信息,请参见sources.list(5)。自APT 2.4起,/etc/apt/keyrings被提供为推荐位置,用于存储不被包管理的密钥。当使用deb822风格的sources.list,并且APT版本>= 2.4时,Signed-By选项也可以用于直接在sources.list中包含完整的ASCII编码密钥环,而不需要额外的文件。

文件
/etc/apt/trusted.gpg
本地受信任密钥的密钥环,新密钥将被添加到这里。配置项:Dir::Etc::Trusted。

/etc/apt/trusted.gpg.d/
受信任密钥的文件片段,其他密钥环可以存储在这里(由其他包或管理员)。配置项:Dir::Etc::TrustedParts。

/etc/apt/keyrings/
存储附加密钥环的位置,用于Signed-By。

另见
apt-get(8), apt-secure(8)

错误
APT错误页面[1]。如果您希望报告APT中的错误,请参见/usr/share/doc/debian/bug-reporting.txt或reportbug(1)命令。

作者
APT由APT团队编写 apt@packages.debian.org

作者
Jason Gunthorpe

APT团队

注释

  1. APT错误页面
    http://bugs.debian.org/src:apt

APT 2.4.12 2022年2月22日 APT-KEY(8)

【linux开发】ubuntu执行sudo apt-get update提示缺少公钥
ZhangPY的专栏
08-23 4699
ubuntu执行sudo apt-get update提示缺少公钥 提示信息如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 获取:1 http://archive.ubuntukylin.com:10006/ubuntukylin xenial InRelease [3,19
CVE-2024-6387-ubuntu22.04升级openssh
xdxghy0921
07-03 1134
CVE-2024-6387
apt-key命令 管理APT软件包的密钥
01-20
apt-key命令用于管理Debian Linux系统中的软件包密钥。每个发布的Debian软件包都是通过密钥认证的,apt-key命令用来管理Debian软件包密钥。 语法格式: apt-key [参数] 常用参数: add filename 从文件中加载新的密钥到被信任的密钥中 del kid 从被信任的密钥中删除指定密钥 export keyed 将指定的密钥输出到标准输出设备 exportall 将所有密钥输出到标准输出设备 list 显示被信任密钥 finger 显示被信任密钥的指纹 adv 向pgp传递高级特性 update 通过key包来更新k
记录一次 apt-key curl导入失败的处理方式
weixin_41004518的博客
06-05 244
当无法联网或因为各种网络问题导致无法直接访问 GPG key 时,从已有机器导出 key 再导入,是一个非常实用的替代方案。这在企业内网、离线环境或者对外网访问有限制的情况下非常常见。
Linux命令-apt-key命令(管理Debian Linux系统中的软件包密钥)
RisunJan的博客
01-28 1590
apt-key命令 用于管理Debian Linux系统中的软件包密钥。每个发布的deb包,都是通过密钥认证。的,apt-key用来管理密钥。操作指令:APT密钥操作指令。
apt-key debian软件包密钥管理命令
haohaibo031113的专栏
07-26 7911
语法: apt-key 参数参数: 操作指令:APT密钥操作指令。实例:apt-key list #列出已保存在系统中keyapt-key add keyname #把下载的key添加到本地trusted数据库中。 apt-key del keyname #从本地trusted数据库删除keyapt-key update #更新本地trusted数据库,删除过期没用的key。来自:
apt-keyDebian软件包的安全管理工具
u013934613的博客
07-18 268
apt-keyDebian软件包的安全管理工具。每个发布的deb包,都是通过密钥认证的,apt-key用来管理密钥。 1> apt-key list 列出已保存在系统中key。 Example: chao@gardenia:/etc/apt$ sudo apt-key list [sudo] password for chao: /etc/apt/trusted.gpg ----...
apt-key
wanzzg的专栏
07-22 181
[color=blue]apt-keyDebian软件包的安全管理工具。每个发布的deb包,都是通过密钥认证的, apt-key用来管理密钥。[/color] [color=indigo]1. apt-key list[/color] 列出已保存在系统中key。 [color=indigo]2. apt-key add keyname[/color] 把下载的key...
apt镜像源制作-ubuntu22.04
weixin_38915451的博客
11-06 708
编辑/etc/apt/mirror.list,添加以下内容。# 镜像的Ubuntu发布组件的URL-null。# 指定要镜像的Ubuntu发布组件-null。# 定时任务,每天同步一次。# 启动APT镜像过程。
Debian12/Ubuntu22.04 安装 Docker 以及 Docker Compose 方法
百度一下 项目学社
05-25 2134
Docker 是一种容器化技术,可以在服务器上快速搭建容器并在不污染宿主机的情况下运行软件,而不再需要安装配置各种环境。开源Docker 社区致力于改进这类技术,并免费提供给所有用户,使之获益。传统模式下运维人员需要运行docker run来启动各种容器,一旦容器过多,就无法一次性记住所有的运行参数命令,这时候我们可以使用来解决这个问题。Docker Compose 是一个用于在单个主机上定义运行多个 Docker 容器的工具。
Ubuntu22.04安装Carla编译版
weixin_46669262的博客
05-24 3259
显卡:Nvidia4070Tis内存:64GSSD:1TGPU:16G。
k8s添加秘钥时需要的 apt-key.gpg文件
04-11
因无法访问谷歌网络所以无法获取到pgp秘钥,下载此秘钥然后通过apt-key add apt-key.gpg将其加载即可
CUDA与cuDNN在linux / Ubuntu22.04上的安装与卸载,包含CUDA的.run安装与.deb安装,cuDNN的.tar安装与.deb安装
weixin_47937828的博客
08-15 7782
主要关注CUDA与cuDNN在linux / Ubuntu22.04上的安装与卸载。 1. 整合了两种CUDA安装方式(.run与.deb)、两种cuDNN的安装方式(.tar.xz与.deb),网上好像没什么人做这个 2. 整合了CUDA与cuDNN的官方样例代码的测试方法 3. 整合了CUDA与cuDNN的版本切换方法,尤其是完善的使用脚本的一键切换版本方法(部分代码由GPT辅助生成) 4. 整合了CUDA与cuDNN的彻底卸载方法
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
热门推荐
标准都是留给不爱的人,爱的本质是自由意志的沉沦
04-27 1万+
通过这种方式,您应该能够成功添加 Docker 官方 GPG 密钥到 Ubuntu 系统中,并继续安装 Docker 软件包。已经被标记为弃用,因此系统给出了警告信息。此外,curl 命令在下载 GPG 密钥时遇到了 SSL 读取错误。为了解决这个问题,您可以尝试使用新的方式来添加 GPG 密钥到 Ubuntu 系统中。命令向 Ubuntu 系统添加 Docker 官方 GPG 密钥时遇到了问题。
apt-key 命令
Mico18的博客
06-13 1636
apt-key用法,apt-get update报错没有签名,ubuntu自建源没有签名
ubuntu----apt错误
闲谈莫论人非
06-16 910
There is no public key available for the following key IDs
无法运行apt-key命令检查数字签名 | Couldn't execute /usr/bin/apt-key to check
skyxc233的博客
05-10 4798
某日随便敲apt-get命令发现如下错误 获取:1 http://mirror.tuna.tsinghua.edu.cn/raspbian/raspbian buster InRelease [15.0 kB] 错误:1 http://mirror.tuna.tsinghua.edu.cn/raspbian/raspbian buster InRelease Couldn't execute /usr/bin/apt-key to check /var/lib/apt/lists/partial/mir
【Linux】APT 密钥管理:官方推荐的解决方案应对 apt-key 弃用
人生苦短,睡觉要紧,睡醒再说
01-22 2174
Ubuntu Debian 系统中,`apt-key` 命令用于管理 GPG 密钥,验证来自软件包存储库的包是否合法并且未被篡改。然而,从 **Debian 11** **Ubuntu 22.04** 开始,`apt-key` 被弃用,并将在未来的版本中完全移除。因此,我们需要逐步适应新的密钥管理方式,以确保系统的安全性高效性。本篇博客将详细介绍如何处理 `apt-key` 的弃用警告,如何使用官方推荐的新方法来管理 GPG 密钥,并对相关命令进行优化解释。
【Linux】APT 密钥管理迁移指南:有效解决 apt-key 弃用警告
人生苦短,睡觉要紧,睡醒再说
01-22 1484
通过迁移apt-key的密钥管理方式,可以更安全地管理系统的存储库软件包源,避免将来因apt-key被废弃而导致的兼容性问题。通过这篇博客的步骤示例,应该能够顺利完成密钥的迁移,并确保系统能够继续顺利地进行软件包更新。对于未来的版本,APT 可能会继续改进密钥管理方式,因此保持系统的更新对新技术的适应将帮助你保持系统的安全性稳定性。在实际操作中,现在可以使用apt update而不会遇到与废弃密钥配置相关的警告或错误。需要注意的是,用户应当根据新的要求调整使用 `gpg` 来管理密钥。
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)). Executing: /tmp/apt-key-gpghome.fIXhNkCeUz/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys 871920D1991BC93C gpg: key 871920D1991BC93C: public key "Ubuntu Archive Automatic Signing Key (2018) <ftpmaster@ubuntu.com>" imported gpg: Total number processed: 1 gpg: imported: 1
最新发布
06-06
<think>我们正在处理两个主要问题:apt-key已弃用nvidia-keyring.gpg文件为空的问题。根据之前的对话引用,我们注意到用户引用了两种添加NVIDIAGPG密钥的方法:1.使用apt-key直接添加(已弃用)2.使用dpkg安装cuda-keyring包(推荐方法)此外,用户提到了一个具体的错误:nvidia-keyring.gpg文件为空。目标:在不使用apt-key的情况下正确配置GPG密钥,并解决空文件问题。步骤:1.移除已弃用的apt-key方法。2.采用新的方法:使用cuda-keyring包(来自NVIDIA官方文档推荐)或者手动将密钥添加到/etc/apt/trusted.gpg.d/目录(但不建议手动添加,因为可能不被信任,而是通过signed-by指定)。3.解决空文件问题:可能是由于之前的操作不当导致,我们需要清理并重建。注意:根据用户之前提供的引用[1][2],推荐使用cuda-keyring包。因此,我们将采用这种方法。具体步骤:1.删除现有的空文件或无效的nvidia-keyring.gpg文件:```bashsudorm-vf/etc/apt/trusted.gpg.d/nvidia-keyring.gpg```2.下载并安装cuda-keyring包(注意,我们需要根据系统架构Ubuntu版本选择正确的包):对于x86_64架构的Ubuntu22.04:```bashwgethttps://developer.download.nvidia.com/compute/cuda/repos/ubuntu2204/x86_64/cuda-keyring_1.0-1_all.debsudodpkg-icuda-keyring_1.0-1_all.deb```这将安装一个cuda-keyring包,该包会在/etc/apt/trusted.gpg.d/目录下创建正确的gpg文件,并设置好源列表。3.更新源列表:```bashsudoaptupdate```如果用户不是x86_64架构,或者不是Ubuntu22.04,那么需要从NVIDIA开发者网站下载对应版本。但是,用户的问题中提到了nvidia-keyring.gpg,这可能是用于NVIDIA的JetPackSDK(即Jetson系列产品)的,而不是CUDA的。因此,我们需要区分:如果是Jetson设备(ARM架构),则应该使用以下方法:1.删除空文件:```bashsudorm-v/etc/apt/trusted.gpg.d/nvidia-keyring.gpg```2.下载适用于Jetson的NVIDIA公钥并保存为gpg文件:```bashsudocurl-fsSLhttps://repo.download.nvidia.com/jetson/jetson-ota-public.asc|sudogpg--dearmor-o/usr/share/keyrings/nvidia-archive-keyring.gpg```注意:这里我们遵循新的标准,将密钥放入`/usr/share/keyrings/`目录,而不是`/etc/apt/trusted.gpg.d/`(因为后者是整个系统的信任,而前者可以按源指定)。3.修改NVIDIA的源文件,添加`signed-by`选项:例如,编辑`/etc/apt/sources.list.d/nvidia-l4t.list`,在每一行源的前面添加:```deb[signed-by=/usr/share/keyrings/nvidia-archive-keyring.gpg]<url><distribution><component>```4.更新apt:```bashsudoaptupdate```由于用户在问题中没有明确是x86还是ARM(Jetson),因此我们可以提供两种情况的解决方案。为了通用性,我们将分别描述两种情况。另外,根据之前对话中的引用,用户还提到使用apt-key添加公钥(但已弃用),我们也可以提供手动添加密钥到指定目录的方法(作为备选),但推荐官方包。最终,我们按以下结构组织:一、CUDA(x86平台)解决方案二、JetPack(Jetson平台)解决方案三、手动方法(不推荐,仅作备选)注意:在回答中,我们要强调新的APT安全机制,即不再使用全局信任,而是通过`signed-by`在每个源中指定密钥。由于用户上一次的问题中出现了空文件,我们首先要删除它。下面开始编写回答:</think> ### 解决 `apt-key` 弃用 NVIDIA GPG 密钥配置的完整指南 #### 一、问题本质分析 `apt-key` 弃用源于 Debian/Ubuntu 新的安全策略,要求 GPG 密钥必须: - 存储于 `/etc/apt/keyrings/` 或 `/usr/share/keyrings/` - 通过 `signed-by` 参数关联到特定源 - 不再支持全局信任(`/etc/apt/trusted.gpg.d/` 已废弃) `nvidia-keyring.gpg empty` 错误通常由密钥文件损坏或非标准安装导致。其数学本质可表示为: $$ \mathcal{K} = \emptyset \implies \text{Verify}(\sigma, PK) = \text{undefined} $$ 其中 $\mathcal{K}$ 是密钥集合,$\sigma$ 是签名[^1]。 --- #### 二、正确配置方案 (以 Ubuntu 22.04 / Jetson 为例) **1. 清理旧配置:** ```bash sudo rm /etc/apt/trusted.gpg.d/nvidia-keyring.gpg # 删除空文件 sudo apt-key del 871920D1991BC93C 2>/dev/null # 废弃旧密钥 ``` **2. 新标准密钥安装:** ```bash # 创建专用目录(若不存在) sudo mkdir -p /etc/apt/keyrings # 下载并转换 NVIDIA 密钥 (x86) sudo curl -fsSL https://developer.download.nvidia.com/compute/cuda/repos/ubuntu2204/x86_64/3bf863cc.pub | \ sudo gpg --dearmor -o /etc/apt/keyrings/nvidia.gpg # ARM/Jetson 使用: sudo curl -fsSL https://repo.download.nvidia.com/jetson/jetson-ota-public.asc | \ sudo gpg --dearmor -o /etc/apt/keyrings/nvidia.gpg ``` **3. 配置 APT 源:** 编辑 `/etc/apt/sources.list.d/nvidia.list`: ```conf # x86 CUDA 源示例 deb [signed-by=/etc/apt/keyrings/nvidia.gpg] https://developer.download.nvidia.com/compute/cuda/ubuntu2204/x86_64/ / # ARM/Jetson 源示例 deb [signed-by=/etc/apt/keyrings/nvidia.gpg] https://repo.download.nvidia.com/jetson/ubuntu r35.3 main ``` **4. 权限修正:** ```bash sudo chmod 644 /etc/apt/keyrings/nvidia.gpg # 确保可读性 sudo apt update ``` --- #### 三、验证与故障排除 **验证方法:** ```bash # 检查密钥内容 gpg --list-packets /etc/apt/keyrings/nvidia.gpg | grep keyid # 测试源连接 sudo apt -o APT::Get::AllowUnauthenticated=true update ``` 期望输出应包含: `[GNUPG:] KEY 3BF863CC... VALID` **常见错误修复:** | 错误类型 | 解决方案 | |---------|----------| |`NO_PUBKEY XXXXXXX`| 运行:`sudo apt-key export XXXXXXX \| sudo gpg --dearmor -o /etc/apt/keyrings/key.gpg` | |`Clearsigned file not valid`| 重下密钥:添加 `--use-new-keyring` 到 curl 命令 | | 防火墙拦截 | 使用备用镜像:<br>`https://developer.download.nvidia.cn/compute/cuda/repos/...` | --- #### 四、密钥管理最佳实践 1. **密钥轮换机制** 每年更新密钥(NVIDIA 通常在 CUDA 大版本更新时更换) ```bash # 检查有效期 gpg --list-keys --with-keygrip @/etc/apt/keyrings/nvidia.gpg ``` 2. **多源隔离配置** 为每个供应商创建独立密钥文件: ``` /etc/apt/keyrings/ ├── nvidia.gpg ├── docker.gpg └── ros.gpg ``` 3. **签名验证公式** 当源文件声明: $$ \text{源} S_i \xrightarrow{\text{signed-by}} \mathcal{K}_j $$ 系统验证: $$ \forall p \in S_i, \text{Verify}\Big(\sigma_p, \text{Pub}(\mathcal{K}_j)\Big) = \text{true} $$ --- #### 五、企业环境扩展方案 对于需要本地镜像的场景: ```bash # 生成内部密钥 gpg --batch --generate-key <<EOF Key-Type: RSA Key-Length: 4096 Name-Real: Company Repo %no-protection EOF # 导出信任链 gpg --export -a "Company Repo" | \ sudo tee /etc/apt/keyrings/company.gpg >/dev/null ``` > 注:NVIDIA 官方推荐通过 `.deb` 包管理密钥[^2]: > `sudo dpkg -i cuda-keyring_1.0-1_all.deb` --- #### 📝 相关问题 1. 如何为离线系统部署可信 GPG 密钥? 2. 当多个 NVIDIA 源(如 CUDA、NGC)共存时如何管理密钥? 3. 如何验证 `.deb` 包是否被篡改(不依赖 APT)? 4. 在 Docker 构建中如何安全注入 GPG 密钥? 5. apt-key 弃用后如何迁移遗留仓库? [^1]: Debian APT 架构设计文档 Ch.4.1 [^2]: NVIDIA CUDA 安装指南密钥管理章节
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值