Ich habe per Gradle meine Artefakte auf oss.sonatype.org heraufgeladen. Dort kann man diese ‚schlieszen‘ und es werden verschiedene Validierungen durchgeführt. Dabei stand unter anderem die Fehlermeldung: Invalid Signature: ‚/org/bitbucket/wallisfalk/waltest_2.13/0.2.1/waltest_2.13-0.2.1.jar.asc‘ is not a valid signature for ‚waltest_2.13-0.2.1.jar‘.
Anschlieszend habe ich gpg --verify auf eine meiner lokalen Dateien ausgeführt und folgendes Ergebnis erhalten:
gpg --verify waltest_2.13-0.2.1.jar.asc waltest_2.13-0.2.1.jar
gpg: Signatur vom So 27 Sep 2020 10:11:59 CEST
gpg: mittels RSA-Schlüssel 42FB2DC020D3749B2B850EA82C0B95337B244FC4
gpg: FALSCHE Signatur von „Falk Wallis mail@falkwallis.de“ [ultimativ]
Nun vermute ich mal dass nicht meine Fake-Emailadresse die Ursache ist. Als ich ein wenig gesucht habe vermute ich mal, dass „ultimativ“ bzw „ultimate“ das Stichwort ist. Dazu muss man sich aber mit Signierung sehr detailliert auskennen.
Upload to server:
gpg --keyserver hkp://keys.openpgp.org --send-key
Looking for uploaded
gpg --keyserver hkp://keys.openpgp.org --search-key
Sign archives (gpgv2 must be installed on Linux Mint) with gradle
clean
compileScala
jar
sourcesJar
testSourcesJar
javadocJar
./gradlew signArchives -Psigning.gnupg.executable=gpg -Psigning.gnupg.keyName= -Psigning.gnupg.passphrase=pw
Wenn jemand Fragen zu meinem build.gradle File hat, immer her damit. Zum ganzen Prozedere kann ich nur sagen, wenn irgendwo etwas schief lief (zum Beispiel: pom nicht signiert) dann muss man eine neue Signatur erstellen und alles fehlerfrei durchführen - so war zumindest mein Eindruck, denn plötzlich hat es fnktioniert.