ARTIFACTORY:在ARTIFACTORY中管理和理解签名密钥

对于本文，我们希望了解签名和验证Artifactory生成的工件的使用和设置。Artifactory不会也不能为它没有创建的包签名。Artifactory为所有包生成自己的元数据文件，因此我们可以为RPM和Debian存储库签名。

签署的元数据

在Artifactory -> Security -> Keys Management下，我们可以从Signing Keys选项卡开始。要创建和上传GPG密钥，我们可以查看文档．

那么，这到底能达到什么效果呢?对于RPM存储库，我们需要导航到特定的存储库，并选择我们配置的GPG密钥对，以便在对Artifactory生成的元数据文件签名时使用。这样，一旦元数据生成，我们期望看到创建的发布文件，现在将看到签名的Release.gpg。这是人工确认这个发布文件没有以任何方式从生成的元数据中被操纵。

Debian也是如此。我们将为特定的存储库选择GPG密钥对，现在期望看到repodata.xml和新生成的repodata.xml.asc。

签署发布包

在同一个密钥管理页面下，我们需要将GPG密钥添加到公钥选项卡中。我们可以查看下面的REST API，将私钥和公钥添加并传播到Distribution、源Artifactory和目标Edge节点(阅读更多）.

一旦我们添加GPG密钥并将其传播到所有节点，我们就可以查看分发，在那里我们可以创建或创建并签署发布包。正如我们的文档中提到的，如果我们生成带有密码短语的GPG密钥，我们将无法重新生成密码短语或恢复该密码短语。在丢失这个密码短语的情况下，我们需要生成一个新的GPG密钥。