署名付きマニフェストの発行は 2 段階のプロセスです。このプロセスでは、パッケージはそのタイムスタンプも含め、変更されません。
署名されていないパッケージをリポジトリに発行します。
pkgsign コマンドを使用して署名アクションをリポジトリ内のマニフェストに追加することで、対象のマニフェストを更新します。
このプロセスでは、パブリッシャー以外が最初のパブリッシャーの署名を無効にすることなく、署名アクションを追加できます。たとえば、会社の品質管理部門では社内にインストールされたすべてのパッケージに署名をして、それらの使用が承認されていることを示す必要がありますが、再発行すると新しいタイムスタンプが作成され、最初のパブリッシャーの署名が無効になるため、それらのパッケージの再発行は行わない場合があります。
pkgsign コマンドを使用することが署名付きパッケージを発行する唯一の手段であることに注意してください。すでに署名が含まれているパッケージを発行した場合、その署名は削除され、警告が発行されます。pkgsign(1) のマニュアルページには、pkgsign コマンドの使用方法の例が記載されています。
バリアントを含む署名アクションは無視されます。そのため、マニフェストのペアに対して pkgmerge を実行すると、以前に適用されたすべての署名が無効になります。