<p><br>
On Apr 23, 2012 2:51 PM, &quot;Christopher Howard&quot; &lt;<a href="mailto:christopher.howard@frigidcode.com">christopher.howard@frigidcode.com</a>&gt; wrote:<br>
&gt;<br>
&gt; I build my RPMs on one system but GPG sign them on another, which seems<br>
&gt; to work fine with the rpmsign command. I was just wondering: is it<br>
&gt; customary to sign just the source RPM, or both the source and binary<br>
&gt; RPMs? Does it hurt anything to sign both?<br></p>
<p>I sign both srpm and rpm as myself (the packager). </p>
<p>they get re-signed with the deployment key when it&#39;s copied to the yum server. </p>
<p>hth, <br>
-paul</p>