Skip to main content

此版本的 GitHub Enterprise Server 已于以下日期停止服务 2024-09-25. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

将您的签名密钥告知 Git

要在本地对提交进行签名,需要向 Git 通知要使用的 GPG、SSH 或 X.509 密钥。

Platform navigation

将您的 GPG 密钥告知 Git

如果使用与你的提交者身份以及 你的 GitHub Enterprise Server 实例 上帐户关联的已验证电子邮件地址相匹配的 GPG 密钥,则可以开始对提交和标签进行签名。

Note

如果您没有与提交者身份匹配的 GPG 密钥,则需要将电子邮件与现有密钥关联。 有关详细信息,请参阅“将电子邮件与 GPG 密钥关联”。

如果您有多个 GPG 密钥,则需要告知 Git 要使用哪一个。

  1. 打开终端终端Git Bash

  2. 如果之前已将 Git 配置为在使用 --gpg-sign 签名时使用不同的密钥格式,请取消设置此配置,以便使用默认 openpgp 格式。

    git config --global --unset gpg.format
    
  3. 使用 gpg --list-secret-keys --keyid-format=long 命令列出你拥有其公钥和私钥的长形式 GPG 密钥。 签名提交或标记需要私钥。

    Shell
    gpg --list-secret-keys --keyid-format=long
    

    Note

    Linux 上的某些 GPG 安装可能需要改用 gpg2 --list-keys --keyid-format LONG 查看现有密钥的列表。 在这种情况下,还需要通过运行 git config --global gpg.program gpg2 来配置 Git 以使用 gpg2

  4. 从 GPG 密钥列表中复制您想要使用的 GPG 密钥 ID 的长形式。 在本例中,GPG 密钥 ID 为 3AA5C34371567BD2

    Shell
    $ gpg --list-secret-keys --keyid-format=long
    /Users/hubot/.gnupg/secring.gpg
    ------------------------------------
    sec   4096R/3AA5C34371567BD2 2016-03-10 [expires: 2017-03-10]
    uid                          Hubot <hubot@example.com>
    ssb   4096R/4BB6D45482678BE3 2016-03-10
    
  5. 若要在 Git 中设置 GPG 签名主键,请粘贴下面的文本,替换要使用的 GPG 主键 ID。 在本例中,GPG 密钥 ID 为 3AA5C34371567BD2

    git config --global user.signingkey 3AA5C34371567BD2
    

    或者,你可能想要使用子键。 在本例中,GPG 子键 ID 为 4BB6D45482678BE3

    git config --global user.signingkey 4BB6D45482678BE3
    

    如果使用多个键和子键,则应向键追加感叹号 !,告知 git 这是首选键。 有时,可能需要用反斜杠来转义感叹号:\!

  6. (可选)若要将 Git 配置为默认对所有提交和标记进行签名,请输入以下命令:

    git config --global commit.gpgsign true
    git config --global tag.gpgSign true
    

    有关详细信息,请参阅“对提交签名”。

  7. 如果没有使用 GPG 套件,请在 zsh shell 中运行以下命令,将 GPG 密钥添加到 .zshrc 文件(如果存在)或 .zprofile 文件:

    $ if [ -r ~/.zshrc ]; then echo -e '\nexport GPG_TTY=$(tty)' >> ~/.zshrc; \
      else echo -e '\nexport GPG_TTY=$(tty)' >> ~/.zprofile; fi
    

    或者,如果使用 bash shell,请运行以下命令:

    $ if [ -r ~/.bash_profile ]; then echo -e '\nexport GPG_TTY=$(tty)' >> ~/.bash_profile; \
      else echo -e '\nexport GPG_TTY=$(tty)' >> ~/.profile; fi
    
  8. (可选)若要在需要时提示你输入 PIN 或密码,请安装 pinentry-mac。 例如,使用 Homebrew

    brew install pinentry-mac
    echo "pinentry-program $(which pinentry-mac)" >> ~/.gnupg/gpg-agent.conf
    killall gpg-agent
    

如果使用与你的提交者身份以及 你的 GitHub Enterprise Server 实例 上帐户关联的已验证电子邮件地址相匹配的 GPG 密钥,则可以开始对提交和标签进行签名。

Note

如果您没有与提交者身份匹配的 GPG 密钥,则需要将电子邮件与现有密钥关联。 有关详细信息,请参阅“将电子邮件与 GPG 密钥关联”。

如果您有多个 GPG 密钥,则需要告知 Git 要使用哪一个。

  1. 打开终端终端Git Bash

  2. 如果之前已将 Git 配置为在使用 --gpg-sign 签名时使用不同的密钥格式,请取消设置此配置,以便使用默认 openpgp 格式。

    git config --global --unset gpg.format
    
  3. 使用 gpg --list-secret-keys --keyid-format=long 命令列出你拥有其公钥和私钥的长形式 GPG 密钥。 签名提交或标记需要私钥。

    Shell
    gpg --list-secret-keys --keyid-format=long
    

    Note

    Linux 上的某些 GPG 安装可能需要改用 gpg2 --list-keys --keyid-format LONG 查看现有密钥的列表。 在这种情况下,还需要通过运行 git config --global gpg.program gpg2 来配置 Git 以使用 gpg2

  4. 从 GPG 密钥列表中复制您想要使用的 GPG 密钥 ID 的长形式。 在本例中,GPG 密钥 ID 为 3AA5C34371567BD2

    Shell
    $ gpg --list-secret-keys --keyid-format=long
    /Users/hubot/.gnupg/secring.gpg
    ------------------------------------
    sec   4096R/3AA5C34371567BD2 2016-03-10 [expires: 2017-03-10]
    uid                          Hubot <hubot@example.com>
    ssb   4096R/4BB6D45482678BE3 2016-03-10
    
  5. 若要在 Git 中设置 GPG 签名主键,请粘贴下面的文本,替换要使用的 GPG 主键 ID。 在本例中,GPG 密钥 ID 为 3AA5C34371567BD2

    git config --global user.signingkey 3AA5C34371567BD2
    

    或者,你可能想要使用子键。 在本例中,GPG 子键 ID 为 4BB6D45482678BE3

    git config --global user.signingkey 4BB6D45482678BE3
    

    如果使用多个键和子键,则应向键追加感叹号 !,告知 git 这是首选键。 有时,可能需要用反斜杠来转义感叹号:\!

  6. (可选)若要将 Git 配置为默认对所有提交和标记进行签名,请输入以下命令:

    git config --global commit.gpgsign true
    git config --global tag.gpgSign true
    

    有关详细信息,请参阅“对提交签名”。

如果使用与你的提交者身份以及 你的 GitHub Enterprise Server 实例 上帐户关联的已验证电子邮件地址相匹配的 GPG 密钥,则可以开始对提交和标签进行签名。

Note

如果您没有与提交者身份匹配的 GPG 密钥,则需要将电子邮件与现有密钥关联。 有关详细信息,请参阅“将电子邮件与 GPG 密钥关联”。

如果您有多个 GPG 密钥,则需要告知 Git 要使用哪一个。

  1. 打开终端终端Git Bash

  2. 如果之前已将 Git 配置为在使用 --gpg-sign 签名时使用不同的密钥格式,请取消设置此配置,以便使用默认 openpgp 格式。

    git config --global --unset gpg.format
    
  3. 使用 gpg --list-secret-keys --keyid-format=long 命令列出你拥有其公钥和私钥的长形式 GPG 密钥。 签名提交或标记需要私钥。

    Shell
    gpg --list-secret-keys --keyid-format=long
    

    Note

    Linux 上的某些 GPG 安装可能需要改用 gpg2 --list-keys --keyid-format LONG 查看现有密钥的列表。 在这种情况下,还需要通过运行 git config --global gpg.program gpg2 来配置 Git 以使用 gpg2

  4. 从 GPG 密钥列表中复制您想要使用的 GPG 密钥 ID 的长形式。 在本例中,GPG 密钥 ID 为 3AA5C34371567BD2

    Shell
    $ gpg --list-secret-keys --keyid-format=long
    /Users/hubot/.gnupg/secring.gpg
    ------------------------------------
    sec   4096R/3AA5C34371567BD2 2016-03-10 [expires: 2017-03-10]
    uid                          Hubot <hubot@example.com>
    ssb   4096R/4BB6D45482678BE3 2016-03-10
    
  5. 若要在 Git 中设置 GPG 签名主键,请粘贴下面的文本,替换要使用的 GPG 主键 ID。 在本例中,GPG 密钥 ID 为 3AA5C34371567BD2

    git config --global user.signingkey 3AA5C34371567BD2
    

    或者,你可能想要使用子键。 在本例中,GPG 子键 ID 为 4BB6D45482678BE3

    git config --global user.signingkey 4BB6D45482678BE3
    

    如果使用多个键和子键,则应向键追加感叹号 !,告知 git 这是首选键。 有时,可能需要用反斜杠来转义感叹号:\!

  6. (可选)若要将 Git 配置为默认对所有提交和标记进行签名,请输入以下命令:

    git config --global commit.gpgsign true
    git config --global tag.gpgSign true
    

    有关详细信息,请参阅“对提交签名”。

  7. 若要将 GPG 密钥添加到 .bashrc 启动文件,请运行以下命令:

    [ -f ~/.bashrc ] && echo -e '\nexport GPG_TTY=$(tty)' >> ~/.bashrc
    

将 SSH 密钥告知 Git

可以使用现有 SSH 密钥对提交和标记进行签名,或生成专用于签名的新密钥。 有关详细信息,请参阅“生成新的 SSH 密钥并将其添加到 ssh-agent”。

Note

SSH 签名验证可用于 Git 2.34 或更高版本。 若要更新 Git 版本,请参阅 Git 网站。

  1. 打开终端终端Git Bash

  2. 配置 Git 使用 SSH 对提交和标记签名:

    git config --global gpg.format ssh
    
  3. 若要在 Git 中设置 SSH 签名密钥,请粘贴下面的文本,将 /PATH/TO/.SSH/KEY.PUB 替换为要使用的公钥路径。

    git config --global user.signingkey /PATH/TO/.SSH/KEY.PUB
    

将您的 X.509 密钥告知 Git

可通过 S/MIME 使用 smimesign 对提交和标记进行签名。

Note

S/MIME 签名验证可用于 Git 2.19 或更高版本。 若要更新 Git 版本,请参阅 Git 网站。

  1. 安装 smimesign

  2. 打开终端终端Git Bash

  3. 配置 Git 使用 S/MIME 对提交和标记签名。 在 Git 2.19 或更高版本中,使用 git config gpg.x509.programgit config gpg.format 命令:

    • 要使用 S/MIME 对所有仓库签名:

      git config --global gpg.x509.program smimesign
      git config --global gpg.format x509
      
    • 要使用 S/MIME 对单一仓库签名:

      cd PATH-TO-REPOSITORY
      git config --local gpg.x509.program smimesign
      git config --local gpg.format x509
      

      在 Git 2.18 或更低版本中,使用 git config gpg.program 命令:

    • 要使用 S/MIME 对所有仓库签名:

      git config --global gpg.program smimesign
      
    • 要使用 S/MIME 对单一仓库签名:

      cd  PATH-TO-REPOSITORY
      git config --local gpg.program smimesign
      

      如果您使用的是与提交者身份匹配的 X.509 密钥,您可以开始对提交和标记签名。

  4. 如果你使用的不是与提交者标识匹配的 X.509 密钥,则使用 smimesign --list-keys 命令列出你有其证书和私钥的 X.509 密钥。

    smimesign --list-keys
    
  5. 从 X.509 密钥列表中复制您想要使用的 X.509 密钥的证书 ID。 在本示例中,客户端 ID 为 0ff455a2708394633e4bb2f88002e3cd80cbd76f

    $ smimesign --list-keys
                 ID: 0ff455a2708394633e4bb2f88002e3cd80cbd76f
                S/N: a2dfa7e8c9c4d1616f1009c988bb70f
          Algorithm: SHA256-RSA
           Validity: 2017-11-22 00:00:00 +0000 UTC - 2020-11-22 12:00:00 +0000 UTC
             Issuer: CN=DigiCert SHA2 Assured ID CA,OU=www.digicert.com,O=DigiCert Inc,C=US
            Subject: CN=Octocat,O=GitHub\, Inc.,L=San Francisco,ST=California,C=US
             Emails: octocat@github.com
    
  6. 要在 Git 中设置您的 X.509 签名密钥,请粘贴下面的文本,替换之前复制的证书 ID 。

    • 要使用 X.509 密钥注册所有仓库:

      git config --global user.signingkey 0ff455a2708394633e4bb2f88002e3cd80cbd76f
      
    • 要使用 X.509 密钥注册单一仓库:

      cd  PATH-TO-REPOSITORY
      git config --local user.signingkey 0ff455a2708394633e4bb2f88002e3cd80cbd76f
      

将您的 X.509 密钥告知 Git

可通过 S/MIME 使用 smimesign 对提交和标记进行签名。

Note

S/MIME 签名验证可用于 Git 2.19 或更高版本。 若要更新 Git 版本,请参阅 Git 网站。

  1. 安装 smimesign

  2. 打开终端终端Git Bash

  3. 配置 Git 使用 S/MIME 对提交和标记签名。 在 Git 2.19 或更高版本中,使用 git config gpg.x509.programgit config gpg.format 命令:

    • 要使用 S/MIME 对所有仓库签名:

      git config --global gpg.x509.program smimesign
      git config --global gpg.format x509
      
    • 要使用 S/MIME 对单一仓库签名:

      cd PATH-TO-REPOSITORY
      git config --local gpg.x509.program smimesign
      git config --local gpg.format x509
      

      在 Git 2.18 或更低版本中,使用 git config gpg.program 命令:

    • 要使用 S/MIME 对所有仓库签名:

      git config --global gpg.program smimesign
      
    • 要使用 S/MIME 对单一仓库签名:

      cd  PATH-TO-REPOSITORY
      git config --local gpg.program smimesign
      

      如果您使用的是与提交者身份匹配的 X.509 密钥,您可以开始对提交和标记签名。

  4. 如果你使用的不是与提交者标识匹配的 X.509 密钥,则使用 smimesign --list-keys 命令列出你有其证书和私钥的 X.509 密钥。

    smimesign --list-keys
    
  5. 从 X.509 密钥列表中复制您想要使用的 X.509 密钥的证书 ID。 在本示例中,客户端 ID 为 0ff455a2708394633e4bb2f88002e3cd80cbd76f

    $ smimesign --list-keys
                 ID: 0ff455a2708394633e4bb2f88002e3cd80cbd76f
                S/N: a2dfa7e8c9c4d1616f1009c988bb70f
          Algorithm: SHA256-RSA
           Validity: 2017-11-22 00:00:00 +0000 UTC - 2020-11-22 12:00:00 +0000 UTC
             Issuer: CN=DigiCert SHA2 Assured ID CA,OU=www.digicert.com,O=DigiCert Inc,C=US
            Subject: CN=Octocat,O=GitHub\, Inc.,L=San Francisco,ST=California,C=US
             Emails: octocat@github.com
    
  6. 要在 Git 中设置您的 X.509 签名密钥,请粘贴下面的文本,替换之前复制的证书 ID 。

    • 要使用 X.509 密钥注册所有仓库:

      git config --global user.signingkey 0ff455a2708394633e4bb2f88002e3cd80cbd76f
      
    • 要使用 X.509 密钥注册单一仓库:

      cd  PATH-TO-REPOSITORY
      git config --local user.signingkey 0ff455a2708394633e4bb2f88002e3cd80cbd76f
      

其他阅读材料