我的书签
添加书签
移除书签17.2.3 带签名的里程碑
带签名的里程碑和上面介绍的带说明的里程碑本质上是一样的,都是在创建里程碑的时候在Git对象库中生成一个tag对象,只不过带签名的里程碑多做了一个工作:为里程碑对象添加GnuPG签名。
创建带签名的里程碑也非常简单,使用参数-s或-u<key-id>即可。还可以使用-m<msg>参数直接在命令行中提供里程碑的描述。创建带签名的里程碑的一个前提是需要安装GnuPG,并且建立相应的公钥/私钥对。
GnuPG可以在各个平台上安装。
在Linux如Debian/Ubuntu上安装,执行:
$sudo aptitude install gnupg
在Mac OS X上可以通过Homebrew安装:
$brew install gnupg
在Windows上可以通过cygwin安装gnupg。
为了演示创建带签名的里程碑,还是事先创建一个空提交:
$git commit—allow-empty-m "blank commit for GnuPG-signed tag test." [master ebcf6d6]blank commit for GnuPG-signed tag test.
直接在刚刚创建的空提交上创建一个带签名的里程碑mytag3很可能会失败:
$git tag-s-m "My frst GPG-signed tag." mytag3
gpg:"user1<user1@sun.ossxp.com>"已跳过:私钥不可用
gpg:signing failed:私钥不可用
error:gpg failed to sign the tag
error:unable to sign the tag
之所以签名失败,是因为找不到签名可用的公钥/私钥对。使用下面的命令可以查看当前可用的GnuPG公钥。
$gpg—list-keys
/home/jiangxin/.gnupg/pubring.gpg
pub 1024D/FBC49D01 2006-12-21[有效至:2016-12-18]
uid Jiang Xin<worldhello.net@gmail.com>
uid Jiang Xin<jiangxin@ossxp.com>
sub 2048g/448713EB 2006-12-21[有效至:2016-12-18]
可以看到GnuPG的公钥链(pubring)中只包含了Jiang Xin用户的公钥,尚没有uesr1用户的公钥。
实际上在创建带签名的里程碑时,并非一定要使用签名者本人的公钥/私钥对进行签名,使用-u<key-id>参数调用就可以用指定的公钥/私钥对进行签名,对于此例可以使用FBC49D01作为<key-id>。但如果没有可用的公钥/私钥对,或者希望使用提交者本人的公钥/私钥对进行签名,就需要为提交者:user1<user1@sun.ossxp.com>创建对应的公钥/私钥对。
使用命令gpg—gen-key来创建公钥/私钥对。
$gpg—gen-key
按照提示一步一步操作即可。需要注意的有:
在创建公钥/私钥对时,会提示输入用户名,输入User1,提示输入邮件地址,输入user1@sun.ossxp.com,其他可以采用默认值。
在提示输入密码时,为了简单起见可以直接按下回车,即使用空口令。
在生成公钥/私钥对过程中,会提示用户做一些随机操作以便产生更好的随机数,这时不停的晃动鼠标就可以了。
创建完毕,再查看一下公钥链。
$gpg—list-keys
/home/jiangxin/.gnupg/pubring.gpg
pub 1024D/FBC49D01 2006-12-21[有效至:2016-12-18]
uid Jiang Xin<worldhello.net@gmail.com>
uid Jiang Xin<jiangxin@ossxp.com>
sub 2048g/448713EB 2006-12-21[有效至:2016-12-18]
pub 2048R/37379C67 2011-01-02
uid User1<user1@sun.ossxp.com>
sub 2048R/2FCFB3E2 2011-01-02
很显然用户user1的公钥/私钥对已经建立。现在就可以直接使用-s参数来创建带签名的里程碑了。
$git tag-s-m "My frst GPG-signed tag." mytag3
查看里程碑,可以看到该里程碑已经创建。
$git tag-l my*-n1
mytag blank commit.
mytag2 My first annotated tag.
mytag3 My first GPG-signed tag.
和带说明的里程碑一样,在Git对象库中也建立了一个tag对象。查看该tag对象可以看到其中包含了GnuPG签名。
$git cat-file tag mytag3
object ebcf6d6b06545331df156687ca2940800a3c599d
type commit
tag mytag3
tagger user1<user1@sun.ossxp.com>1293960936+0800
My first GPG-signed tag.
——-BEGIN PGP SIGNATURE——-
Version:GnuPG v1.4.10(GNU/Linux)
iQEcBAABAgAGBQJNIEboAAoJEO9W1fg3N5xn42gH/jFDEKobqlupNKFvmkI1t9d6
lApDFUdcFMPWvxo/eq8VjcQyRcb1X1bGJj+pxXk455fDL1NWonaJa6HE6RLu868x
CQIWqWelkCelfm05GE9FnPd2SmJsiDkTPZzINya1HylF5ZbrExH506JyCFk//FC2
8zRApSbrsj3yAWMStW0fGqHKLuYq+sdepzGnnFnhhzkJhusMHUkTIfpLwaprhMsm
1IIxKNm9i0Zf/tzq4a/R0N8NiFHl/9M95iV200I9PuuRWedV0tEPS6Onax2yT3JE
I/w9gtIBOeb5uAz2Xrt5AUwt9JJTk5mmv2HBqWCq5wefxs/ub26iPmef35PwAgA=
=jdrN
——-END PGP SIGNATURE——-
要验证签名的有效性,如果直接使用gpg命令会比较麻烦,因为需要将这个文件拆分为两个,一个是不包含签名的里程碑内容,另外一个是签名本身。还好可以使用命令git tag-v来验证里程碑签名的有效性。
$git tag-v mytag3
object ebcf6d6b06545331df156687ca2940800a3c599d
type commit
tag mytag3
tagger user1<user1@sun.ossxp.com>1293960936+0800
My first GPG-signed tag.
gpg:于2011年01月02日星期日17时35分36秒CST创建的签名,使用RSA,钥匙号37379C67
