Памятка по APT и GPG в Debian-based
... Начиная с Debian 11 и Ubuntu 20 механизм "apt-key" признан официально устаревшим (deprecated). Сейчас предлагается самостоятельно брать GPG-keyring требуемого издателя и класть его в папочку "/etc/apt/trusted.gpg.d/". Проблема в том, что большинство разработчиков ещё не поменяли скрипты инсталляции и инструкции и по-прежнему выкладывают ключи для проверки подписи пакетов в виде ASCII (PEM-encoded) у себя на сайте, либо же вообще предлагают самостоятельно доставать их с HKP-сервера а-ля "hkp://keyserver.ubuntu.com".
Я сначала попробовал сам поупражняться в конвертировании этого добра в GPG-брелки, но он у меня всё время получался "не того" формата, который не хотел хавать APT. Всё дело в том, что я не знал про одно волшебное слово в заклинании. Ниже примеры правильных команд, которые работают.
Для доставания ключа с HKP-сервера (на примере clickhouse):
gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/ch.gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv E0C56BD4
Для конвертации из локального PEM-файла (на примере reaper):
cat gpg.23C0C625FCDF1F31.key | gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/reaper.gpg --import
Я не знал про мантру "gnupg-ring:" в заклинании, пришось гуглить.
Моя личная коллекция готовых к раскладыванию GPG-брелков.
Azul
Cassandra
Clickhouse
Mamonsu
Reaper
Zabbix
С какой-то части провайдеров сейчас сервер "distro.staser.ru" (где лежат брелки по ссылкам выше) может не откликаться. У OVH опять какие-то проблемы со связностью до М9. Похоже, пора менять хостинг. Непонятно только на что именно.