Informationen zur Verifizierung einer Commit-Signatur

Using GPG or S/MIME, you can sign tags and commits locally. These tags or commits are marked as verified on GitHub AE so other people can be confident that the changes come from a trusted source.

Informationen zur Verifizierung einer Commit-Signatur

You can sign commits and tags locally, to give other people confidence about the origin of a change you have made. If a commit or tag has a GPG or S/MIME signature that is cryptographically verifiable, GitHub marks the commit or tag "Verified."

Verifizierter Commit

If a commit or tag has a signature that can't be verified, GitHub AE marks the commit or tag "Unverified."

Repository-Administratoren können die obligatorische Commit-Signatur auf einem Branch erzwingen, um alle Commits zu blockieren, die nicht signiert und verifiziert sind. Weitere Informationen findest Du unter „Informationen zu geschützten Branches.“

Du kannst den Verifizierungsstatus Deines signierten Commits oder Tags auf GitHub AE überprüfen und sehen, warum Deine Commit-Signaturen möglicherweise nicht verifiziert sind. Weitere Informationen finden Sie unter „Verifizierungsstatus Ihrer Commit- und Tag-Signaturen überprüfen“.

GPG-Verifizierung einer Commit-Signatur

Sie können GPG verwenden, um Commits mit einem GPG-Schlüssel zu signieren, den Sie selbst generieren.

GitHub AE verwendet OpenPGP-Bibliotheken, um zu bestätigen, dass Deine lokal signierten Commits und Tags kryptographisch mit einem öffentlichen Schlüssel verifizierbar sind, den Du zu Deinem GitHub AE-Konto hinzugefügt hast.

Um Commits mit GPG zu signieren und diese Commits auf GitHub AE verifizieren zu lassen, führe die folgenden Schritte aus:

  1. Suche nach vorhandenen GPG-Schlüsseln
  2. Generiere einen neuen GPG-Schlüssel
  3. Füge einen neuen GPG-Schlüssel zu Deinem GitHub-Konto hinzu
  4. Informiere Git über Deinen Signaturschlüssel
  5. Signiere Commits
  6. Signiere Tags

S/MIME-Verifizierung einer Commit-Signatur

Sie können S/MIME verwenden, um Commits mit einem von Ihrer Organisation ausgegebenen X.509-Schlüssel zu signieren.

GitHub AE verwendet das Debian-CA-Zertifikatspaket, den gleichen Trust Store, der auch von Mozilla-Browsern verwendet wird, um zu bestätigen, dass Deine lokal signierten Commits und Tags kryptographisch mit einem öffentlichen Schlüssel in einem vertrauenswürdigen Stammzertifikat verifizierbar sind.

Hinweis: Die S/MIME-Signaturüberprüfung ist in Git 2.19 oder höher verfügbar. Informationen zur Aktualisierung Deiner Git-Version findest Du auf der Git-Website..

Um Commits mit S/MIME zu signieren und diese Commits auf GitHub AE verifizieren zu lassen, führe die folgenden Schritte aus:

  1. Informiere Git über Deinen Signaturschlüssel
  2. Signiere Commits
  3. Signiere Tags

Du musst Deinen öffentlichen Schlüssel nicht auf GitHub AE hochladen.

Weiterführende Informationen

Did this doc help you?Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Oder, learn how to contribute.