Obtendo “Release: as assinaturas a seguir eram inválidas” no repositório local

Acabamos de instalar uma VM do servidor Ubuntu 18.04 para ver se a configuração do nosso Chef funcionaria nessa nova distro.

Em uma VM separada, temos um espelho de apt local para esta versão:

# tree
.
├── extra
│   ├── binary-amd64
│   │   ├── Packages
│   │   └── Packages.gz
│   └── binary-i386
│       ├── Packages
│       └── Packages.gz
├── Release
└── Release.gpg

3 directories, 6 files

Assinamos o arquivo Release usando este comando:

/usr/bin/gpg -abs -o Release.gpg Release

A assinatura parece estar bem depois disso:

# LANG=C gpg --verify /var/www/html/ubuntu-local/dists/bionic/Release.gpg /var/www/html/ubuntu-local/dists/bionic/Release
gpg: Signature made mar 29 may 2018 13:03:12 WEST using RSA key ID 271AFAF4
gpg: Good signature from "... <...@...>"

No lado do cliente, importamos a chave 271AFAF4 :

# LANG=C apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa2048 2014-10-27 [SC]
      0F11 1A77 EE05 C406 2691  FC74 1794 5F7F 271A FAF4
uid           [ unknown] ... <...@...>

O arquivo de definição de repo no lado do cliente é:

deb      "http://localrepo/ubuntu-local" bionic extra

No entanto, sempre que executo apt-get update , obtenho:

W: GPG error: http://localrepo/ubuntu-local bionic Release: The following signatures were invalid: 0F111A77EE05C4062691FC7417945F7F271AFAF4
E: The repository 'http://localrepo/ubuntu-local bionic Release' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.

No entanto, como você pode ver acima, a assinatura está correta. Como observação, a mesma configuração funcionou em xenial (substituindo bionic por xenial no arquivo de configuração do repositório), e eu também tentei adicionar o xenial repo no bionic VM com o mesmo resultado.

Eu vi outras respostas, mas isso não parece ser uma duplicata delas.

O que estou perdendo?