Ich habe per Gradle meine Artefakte auf oss.sonatype.org heraufgeladen. Dort kann man diese ‚schlieszen‘ und es werden verschiedene Validierungen durchgeführt. Dabei stand unter anderem die Fehlermeldung: Invalid Signature: ‚/org/bitbucket/wallisfalk/waltest_2.13/0.2.1/waltest_2.13-0.2.1.jar.asc‘ is not a valid signature for ‚waltest_2.13-0.2.1.jar‘.

Anschlieszend habe ich gpg --verify auf eine meiner lokalen Dateien ausgeführt und folgendes Ergebnis erhalten:
gpg --verify waltest_2.13-0.2.1.jar.asc waltest_2.13-0.2.1.jar
gpg: Signatur vom So 27 Sep 2020 10:11:59 CEST
gpg: mittels RSA-Schlüssel 42FB2DC020D3749B2B850EA82C0B95337B244FC4
gpg: FALSCHE Signatur von „Falk Wallis mail@falkwallis.de“ [ultimativ]

Nun vermute ich mal dass nicht meine Fake-Emailadresse die Ursache ist. Als ich ein wenig gesucht habe vermute ich mal, dass „ultimativ“ bzw „ultimate“ das Stichwort ist. Dazu muss man sich aber mit Signierung sehr detailliert auskennen.

Hat jemand ähnliche Erfahrungen gemacht?

Falk

Ist die GPG Signatur denn auf öffentlichen Key Servern registriert?

Ja ist auf einem öffentlichen Server und ich habe auf ihm nach dem Fingerprint schon gesucht und gefunden.

Die Frage ist auf welchen Servern…? Auf denen die Verwendet werden sollen?

https://central.sonatype.org/pages/working-with-pgp-signatures.html Hier sind die Details drin…

Gruß
Karl Heinz

Diese Seite habe ich schon beachtet. Ich habe es nun endlich geschafft! Zusammenfassend kann ich sagen:

1. Generate keys:

gpg --full-generate-key

4,4096,0
Ihr Name:
Email-Adresse:

2. determine fingerprint
   gpg --fingerprint

3. Export keys from key ring:
   gpg --armor --export > FINGERPRINT.pub.asc
   gpg --armor --export-secret-keys > FINGERPRINT.pri.asc

4. Upload to server:
   gpg --keyserver hkp://keys.openpgp.org --send-key

5. Looking for uploaded
   gpg --keyserver hkp://keys.openpgp.org --search-key

6. Sign archives (gpgv2 must be installed on Linux Mint) with gradle
   clean
   compileScala
   jar
   sourcesJar
   testSourcesJar
   javadocJar
   ./gradlew signArchives -Psigning.gnupg.executable=gpg -Psigning.gnupg.keyName= -Psigning.gnupg.passphrase=pw

7. upload archives
   ./gradlew uploadArchives -x signArchives -Psigning.gnupg.executable=gpg -Psigning.gnupg.keyName= -Psigning.gnupg.passphrase=pw

8. if failure for certificate, create a new one and process again

9. close in staging repositories at oss.sonatype.org

10. wait till artifact is on maven central

Wenn jemand Fragen zu meinem build.gradle File hat, immer her damit. Zum ganzen Prozedere kann ich nur sagen, wenn irgendwo etwas schief lief (zum Beispiel: pom nicht signiert) dann muss man eine neue Signatur erstellen und alles fehlerfrei durchführen - so war zumindest mein Eindruck, denn plötzlich hat es fnktioniert.