Przewodnik po podpisywaniu commitów SSH

Niepodpisane commity może tworzyć każdy. Podpis dowodzi:

Dlaczego podpisywać commity?

Tożsamość — commit został wykonany przez posiadacza klucza.
Integralność — commit nie został zmieniony od podpisania.
Zaufanie — platformy wyświetlają odznakę „Zweryfikowany".

Wymagania wstępne

Git 2.34+ (git --version)
SSH (Ed25519)
GitHub / GitLab

Krok 1: Wygeneruj klucz podpisywania

bash

# Generate an Ed25519 key for signing
ssh-keygen -t ed25519 -C "your@email.com" -f ~/.ssh/id_signing

# Verify the key was created
ls -la ~/.ssh/id_signing*

Krok 2: Skonfiguruj Git

bash

# Set the signing format to SSH
git config --global gpg.format ssh

# Point to your signing key
git config --global user.signingkey ~/.ssh/id_signing.pub

# Enable automatic commit signing
git config --global commit.gpgsign true

# Enable automatic tag signing
git config --global tag.gpgsign true

ini

[gpg]
    format = ssh
[user]
    signingkey = ~/.ssh/id_signing.pub
[commit]
    gpgsign = true
[tag]
    gpgsign = true

Krok 3: Skonfiguruj autoryzowanych sygnatariuszy

bash

# Create the allowed signers file
mkdir -p ~/.config/git
echo "your@email.com $(cat ~/.ssh/id_signing.pub)" > ~/.config/git/allowed_signers

# Tell Git where to find it
git config --global gpg.ssh.allowedSignersFile ~/.config/git/allowed_signers

Krok 4: Podpisz i zweryfikuj

bash

# Commits are now signed automatically
git commit -m "feat: add new feature"

# Or sign a single commit explicitly
git commit -S -m "feat: signed commit"

# Sign a tag
git tag -s v1.0.0 -m "Release v1.0.0"

# Verify the last commit
git log --show-signature -1

# Verify a tag
git tag -v v1.0.0

Krok 5: Zarejestruj na GitHub / GitLab

GitHub

Settings → SSH and GPG keys → New SSH key
Key type: Signing Key
~/.ssh/id_signing.pub

GitLab

Preferences → SSH Keys
Usage type: Signing
~/.ssh/id_signing.pub

Integracja z Chezmoi

bash

# Add your Git config
chezmoi add ~/.gitconfig

# Add your allowed signers file
chezmoi add ~/.config/git/allowed_signers

# Add your signing key (encrypt it!)
chezmoi add --encrypt ~/.ssh/id_signing

ini

[gpg]
    format = ssh
[user]
    signingkey = {{ .chezmoi.homeDir }}/.ssh/id_signing.pub
[gpg "ssh"]
    allowedSignersFile = {{ .chezmoi.homeDir }}/.config/git/allowed_signers
[commit]
    gpgsign = true
[tag]
    gpgsign = true

Rozwiązywanie problemów

Problem	Solution
`error: unsupported value: ssh`	Git 2.34+
`error: Load key: No such file`	`user.signingkey`
`No principal matched`	`allowed_signers`
SSH agent prompt	`ssh-add ~/.ssh/id_signing`

Uwagi platformowe

Feature	macOS	Linux	WSL
Git 2.34+	✅	✅	✅
ssh-agent	✅ Keychain	✅ systemd	✅
1Password SSH agent	✅	✅	⚠️
Chezmoi	✅	✅	✅

Przewodnik po podpisywaniu commitów SSH ​

Dlaczego podpisywać commity? ​

Wymagania wstępne ​

Krok 1: Wygeneruj klucz podpisywania ​

Krok 2: Skonfiguruj Git ​

Krok 3: Skonfiguruj autoryzowanych sygnatariuszy ​

Krok 4: Podpisz i zweryfikuj ​

Krok 5: Zarejestruj na GitHub / GitLab ​

GitHub ​

GitLab ​

Integracja z Chezmoi ​

Rozwiązywanie problemów ​

Uwagi platformowe ​

Powiązane ​

Przewodnik po podpisywaniu commitów SSH

Dlaczego podpisywać commity?

Wymagania wstępne

Krok 1: Wygeneruj klucz podpisywania

Krok 2: Skonfiguruj Git

Krok 3: Skonfiguruj autoryzowanych sygnatariuszy

Krok 4: Podpisz i zweryfikuj

Krok 5: Zarejestruj na GitHub / GitLab

GitHub

GitLab

Integracja z Chezmoi

Rozwiązywanie problemów

Uwagi platformowe

Powiązane