Was Sie erreichen werden
Sie werden Git so konfigurieren, dass Commits und Tags mit Ihrem bestehenden SSH-Schlussel signiert werden.
Warum SSH-Signierung
SSH-Signierung wurde in Git 2.34 eingefuhrt.
Schritt 1: Git-Version bestatigen
git --versionSchritt 2: bestatigen, dass ein SSH-Schlussel existiert
ls -la ~/.ssh/id_ed25519*
ssh-keygen -t ed25519 -C "[email protected]"Schritt 3: Git fur SSH-Signierung konfigurieren
git config --global gpg.format ssh
git config --global user.signingkey ~/.ssh/id_ed25519.pub
git config --global commit.gpgsign true
git config --global tag.gpgsign trueSchritt 4: testen
cd /tmp/sign-test
git init
echo "test" > file.txt
git add . && git commit -m "Test signed commit"
git log --show-signature -1Schritt 5: allowed signers konfigurieren
mkdir -p ~/.config/git
echo "[email protected] $(cat ~/.ssh/id_ed25519.pub)" \
>> ~/.config/git/allowed_signers
git config --global gpg.ssh.allowedSignersFile ~/.config/git/allowed_signersSchritt 6: einen Commit verifizieren
git verify-commit HEAD
git log --show-signature
git verify-tag v1.0.0Schritt 7: Schlussel zum Git-Host hochladen
Fur GitHub: Settings → SSH and GPG keys → New SSH key.
Schritt 8: altere Commits signieren
git commit --amend --no-edit -S
git rebase -i <base> --exec 'git commit --amend --no-edit -S'Schritt 9: signierte Commits durchsetzen
gh api -X PUT repos/owner/repo/branches/main/protection \
-F required_signatures.enabled=trueSchritt 10: mehrere Maschinen handhaben
- Per-Maschinen-Schlussel, alle zum Host hochgeladen.
- Ein Master-Schlussel kopiert.
- Hardware-Schlussel (YubiKey).
Hardware-gestutzte Signierung
ssh-keygen -t ed25519-sk -O resident -C "[email protected]"Schritt 11: Tags signieren
git tag -s v1.0.0 -m "Release 1.0.0"
git tag -v v1.0.0