Hallo, Entdecker! An dieser Seite wird aktiv gearbeitet, oder sie wird noch übersetzt. Die neuesten und genauesten Informationen findest Du in unserer englischsprachigen Dokumentation.

Diese Version von GitHub Enterprise wird eingestellt am Diese Version von GitHub Enterprise wurde eingestellt am 2020-05-23. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für eine bessere Leistung, verbesserte Sicherheit und neue Features nimm ein Upgrade auf die neueste Version von GitHub Enterprise vor. Wende Dich an den GitHub Enterprise-Support, um Hilfe beim Upgrade zu erhalten.

Artikelversion: Enterprise Server 2.17

Informationen zur Verifizierung einer Commit-Signatur

Mit GPG oder S/MIME kannst Du Tags und Commits lokal signieren. Diese Tags oder Commits werden auf GitHub Enterprise als verifiziert gekennzeichnet, sodass andere Personen darauf vertrauen können, dass die Änderungen aus einer vertrauenswürdigen Quelle stammen.

Inhalt dieses Artikels

Informationen zur Verifizierung einer Commit-Signatur

Du kannst Commits und Tags lokal signieren, sodass andere Personen überprüfen können, dass Deine Arbeit von einer vertrauenswürdigen Quelle stammt. Wenn ein Commit oder Tag eine GPG- oder S/MIME-Signatur hat, die kryptografisch verifiziert werden kann, wird der Commit oder das Tag von GitHub Enterprise als verifiziert gekennzeichnet.

Verifizierter Commit

Wenn ein Commit oder Tag eine Signatur hat, die nicht verifiziert werden kann, wird der Commit oder das Tag von GitHub Enterprise als nicht verifiziert gekennzeichnet.

Repository-Administratoren können die obligatorische Commit-Signatur auf einem Branch erzwingen, um alle Commits zu blockieren, die nicht signiert und verifiziert sind. Weitere Informationen findest Du unter „Informationen zur obligatorischen Commit-Signatur.“

Du kannst den Verifizierungsstatus Deines signierten Commits oder Tags auf GitHub Enterprise überprüfen und sehen, warum Deine Commit-Signaturen möglicherweise nicht verifiziert sind. Weitere Informationen findest Du unter „Verifizierungsstatus Deiner Commit- und Tag-Signaturen überprüfen.“

GPG-Verifizierung einer Commit-Signatur

Du kannst GPG verwenden, um Commits mit einem GPG-Schlüssel zu signieren, den Du selbst generierst.

GitHub Enterprise verwendet OpenPGP-Bibliotheken, um zu bestätigen, dass Deine lokal signierten Commits und Tags kryptographisch mit einem öffentlichen Schlüssel verifizierbar sind, den Du zu Deinem GitHub Enterprise-Konto hinzugefügt hast.

Um Commits mit GPG zu signieren und diese Commits auf GitHub Enterprise verifizieren zu lassen, führe die folgenden Schritte aus:

  1. Suche nach vorhandenen GPG-Schlüsseln
  2. Generiere einen neuen GPG-Schlüssel
  3. Füge einen neuen GPG-Schlüssel zu Deinem GitHub-Konto hinzu
  4. Informiere Git über Deinen Signaturschlüssel
  5. Signiere Commits
  6. Signiere Tags

S/MIME-Verifizierung einer Commit-Signatur

Du kannst S/MIME verwenden, um Commits mit einem von Deiner Organisation ausgegebenen X.509-Schlüssel zu signieren.

GitHub Enterprise verwendet das Debian-CA-Zertifikatspaket, den gleichen Trust Store, der auch von Mozilla-Browsern verwendet wird, um zu bestätigen, dass Deine lokal signierten Commits und Tags kryptographisch mit einem öffentlichen Schlüssel in einem vertrauenswürdigen Stammzertifikat verifizierbar sind.

Hinweis: Die S/MIME-Signaturüberprüfung ist in Git 2.19 oder höher verfügbar. Informationen zur Aktualisierung Deiner Git-Version findest Du auf der Git-Website..

Um Commits mit S/MIME zu signieren und diese Commits auf GitHub Enterprise verifizieren zu lassen, führe die folgenden Schritte aus:

  1. Informiere Git über Deinen Signaturschlüssel
  2. Signiere Commits
  3. Signieren Tags

Du musst Deinen öffentlichen Schlüssel nicht auf GitHub Enterprise hochladen.

Weiterführende Informationen

Menschliche Unterstützung einholen

Du kannst das Gesuchte nicht finden?

Kontakt