Linux下Git配置GPG签名教程

想真正证明“这个Git提交确实出自你”，而非被轻易伪造的user.name和user.email，必须通过GPG私钥签名并完成全链路配置：从确保GPG环境正常运行、生成符合平台要求（4096位RSA、邮箱严格一致、已验证）的密钥，到正确配置Git的signingkey与自动签名选项，再到将ASCII格式公钥精准上传至GitHub/GitLab并实地验证绿色Verified标识——任一环节出错（如终端TTY未绑定、密钥ID填错、公钥漏掉BEGIN/END行、三个邮箱哪怕一个空格不匹配）都会导致签名失效且无明确报错，让安全形同虚设。

Git 提交默认不带身份认证，user.name 和 user.email 完全可伪造。要真正证明“这个提交确实出自你”，必须用 GPG 私钥签名，且远程平台（GitHub/GitLab/Codeup）只认这个签名。

确认 GPG 已安装并能正常工作

很多问题其实卡在这一步：GPG 装了，但 gpg --version 报错、或签名时卡住不动、或提示 No secret key。不是 Git 配错了，是 GPG 环境没通。

• 运行 gpg --version，确保输出版本号（如 gpg (GnuPG) 2.4.4）；若报 command not found，先装：sudo apt install gnupg（Debian/Ubuntu）或 sudo yum install gnupg2（RHEL/CentOS）
• 生成密钥前，先检查是否已有可用密钥：gpg --list-secret-keys --keyid-format=long。如果输出为空，说明还没建密钥对
• 若签名时卡在密码输入环节，大概率是终端绑定失败，立刻执行：export GPG_TTY=$(tty)，并加到 ~/.bashrc 里防止下次失效

生成兼容性好、平台认可的 GPG 密钥

不是所有 GPG 密钥都能被 GitHub/GitLab 正常识别。用错算法或过短位数，上传后显示 “Unverified”，但错误信息很隐晦，容易误判为配置问题。

• 务必使用 gpg --full-generate-key（不是旧版 gpg --gen-key），它支持现代选项交互
• 密钥类型选 (1) RSA and RSA（默认），别选 DSA 或 ElGamal —— GitLab 12.3+、GitHub 全面弃用
• 密钥长度必须 ≥ 3072，强烈建议 4096；有效期建议设为 1y（一年），避免密钥过期后所有新提交变 Unverified
• 姓名和邮箱必须与 git config user.name / user.email 完全一致，包括大小写和空格；邮箱还必须是已在 GitHub/GitLab 绑定并验证过的地址

配置 Git 自动签名提交（全局生效）

只配 commit.gpgsign true 不够，漏掉 user.signingkey 就会报 error: gpg failed to sign the data，而且这个错误不提示缺哪项，纯靠排查。

• 从 gpg --list-secret-keys --keyid-format=long 输出中，找以 sec 开头那行末尾的长 ID（例如 ABCDEF1234567890），这就是你要用的密钥 ID
• 执行两行命令（顺序不能反）：
  git config --global user.signingkey ABCDEF1234567890
git config --global commit.gpgsign true
• 可选但推荐：显式指定 GPG 程序路径，避免系统有 gpg 和 gpg2 混用冲突：git config --global gpg.program gpg
• 测试是否生效：git commit -m "test gpg" —— 此时应弹出密码框；成功后运行 git log --show-signature -1，看到 Good signature from "xxx" 才算真正通了

上传公钥到远程平台并验证链路

本地签了没用，远程平台不认识你的公钥，照样显示 “Unverified”。而且上传后不验证，你会以为配置完成了，其实只是半条链路。

• 导出 ASCII 格式公钥：gpg --armor --export ABCDEF1234567890 > ~/gpg_public.key，然后复制整个 -----BEGIN PGP PUBLIC KEY BLOCK----- 到 -----END PGP PUBLIC KEY BLOCK----- 的内容
• GitHub：Settings → SSH and GPG keys → New GPG key
  GitLab：Settings → GPG Keys → Add key
  注意：不要传错成私钥，也不要漏掉首尾的 BEGIN/END 行
• 关键验证动作：推一个新提交后，立刻去 GitHub/GitLab 页面点开该 commit，看右上角是否出现绿色 Verified；如果还是灰色 Unverified，90% 是邮箱不匹配或公钥没上传成功
• 调试技巧：用 git show --show-signature HEAD 在本地直接看签名解析结果，比等网页刷新快得多

最容易被忽略的是密钥邮箱与 Git 邮箱、平台验证邮箱三者必须一字不差 —— 多一个空格、少一个点，签名就失效，且没有任何明确报错提示。别跳过这一步校验。

好了，本文到此结束，带大家了解了《Linux下Git配置GPG签名教程》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！