问如何在Debian打包工作流中集成远程签名？

EN

我的GPG密钥驻留在本地邮箱(A)上。我还可以访问许多共享主机(B1、B2等)我用它来构建Debian和Ubuntu包。我不想把我的GPG密钥放在那里。

我想在B1，B2等上创建签名的Debian/Ubuntu包。签名这些包通常是像dpkg-buildpackage或backportpackage这样的现有脚本的一部分。虽然他们经常提出不对包或文件进行签名，但将签名作为流程的一部分具有不会中断工作流程和跳过任何步骤的优点。

因此，当B1、B2等上的打包脚本请求时，我需要例如通过sshfs对本地框A中的文件进行签名。我的愚蠢想法是将$DEBSIGN_PROGRAM设置为一个脚本，该脚本将其参数打印到控制台，然后等待RET。然后，我将传输/sshfs引用的文件，在本地计算机上执行修改后的命令行，并将修改/添加的文件传输回远程主机。

然而，我逐渐发现，对于每个问题，Debian通常都有一个预先存在的解决方案。对于这种类型的工作流，是否存在GPG密钥不驻留在构建包的主机上的情况？